一种融合图像空间特征注意力机制的恶意代码识别模型北大核心CSCD

恶意代码识别对保护计算机使用者的隐私、优化计算资源具有积极意义。现存恶意代码识别模型通常会将恶意代码转换为图像,再通过深度学习技术对图像进行分类。经恶意代码识别模型转换后的图像呈现两个特点,一是图像的末尾通常被填充上黑色像素,使图像中存在明显的重点特征(即代码部分)和非重点特征(即填充部分),二是代码之间具有语义特征相关性,而在将它们按顺序转换成像素时,这种相关性也在像素之间保留。然而,现有恶意代码检测模型没有针对恶意代码的特点设计,这导致对恶意图像在深层次特征提取方面的能力相对偏弱。鉴于此,文章提出了一种新的恶意代码检测模型,特别针对恶意图像的两个关键特点进行了设计。首先,将原始的恶意代码转换成图像,并对其进行预处理。然后通过一个FA-SA模块提取重点特征,并通过两个FA-SeA模块捕捉像素之间的相关性特征。文章所提模型不仅简化了恶意代码检测的网络结构,还提升了深层次特征提取能力及检测准确率。实验结果表明,文章融合注意力模块的方法对提升模型的识别效果具有显著帮助。在Malimg数据集上,恶意代码识别准确率达到了96.38%,比现存基于CNN的模型提高了3.56%。     

基于VGGNet的恶意代码变种分类

针对代码复用在同一恶意家族样本中普遍存在的现象,提出了一种利用代码复用特征的恶意样本分类方法。首先将文件的二进制序列分割成RGB三色通道的值,从而将恶意样本转换为彩色图;然后用这些图片基于VGG卷积神经网络生成恶意样本分类模型;最后在模型训练阶段利用随机失活算法解决过拟合和梯度消失问题以及降低神经网络计算开销。该方法使用Malimg数据集25个族的9342个样本进行评估,平均分类准确率达96.16%,能有效地分类恶意代码样本。实验结果表明,与灰度图相比,所提方法将二进制文件转换为彩色图能更明显地强调图像特征,尤其是对于二进制序列中含有重复短数据片段的文件,而且利用特征更明显的训练集,神经网络能生成分类效果更好的分类模型。所提方法预处理操作简单,分类结果响应较快,因此适用于大规模恶意样本的快速分类等即时性要求较高的场景。     

基于改进MobileNetV2的恶意代码分类方法

针对传统恶意代码分类方法存在的精度不足、预测时间成本高和抗混淆能力弱等问题，提出一种基于改进MobileNetV2的恶意代码分类方法。首先，针对恶意代码加密和混淆等问题，使用坐标注意力（CA）方法引入更大范围的空间位置来增强恶意代码图像的特征；然后，针对从头开始训练导致的训练成本过高的问题，使用迁移学习（TL）来改进MobileNetV2的学习方式以提升抗混淆能力；最后，针对传统深度学习网络计算量大和收敛慢的问题，使用MobileNetV2轻量化卷积网络模型，并结合Ranger21改进训练方式以促进网络迅速收敛。实验结果表明：上述方法对Malimg数据集和DataCon数据集的准确率分别达到了99.26%和96.98%。在malimg数据集相较于AlexNet方法在准确率上平均提升了1.49%，检测效率上平均提升了45.31%；在DataCon数据集相较于集成学习方法准确率平均提升了1.14%。可见，基于改进MobileNetV2的恶意代码分类方法可以提升模型的泛化能力、抗混淆能力与分类效率。     

基于一维卷积神经网络的恶意代码家族多分类方法研究

为了提取有效的恶意代码特征,提高恶意代码家族多分类的准确率,提出一种改进模型.该模型将恶意代码的特征映射为灰度图,使用改进的恶意样本图像缩放算法进行图像的规范化处理,基于VGG模型构建一维卷积神经网络分类模型ID-CNN-IMIR.实验结果表明,恶意代码特征的提取和处理提升了分类效果;对比经典的机器学习算法、二维卷积神经网络、其他基于深度学习的恶意代码分类模型,ID-CNN-IMIR分类准确率是最好的,达到98.94％.     

基于卷积神经网络的JavaScript恶意代码检测方法

机器学习的JavaScript恶意代码检测方法在提取特征过程中耗费时间和人力,以及这些频繁使用的机器学习方法已经无法满足当今信息大爆炸的实际需要。提出了一种基于卷积神经网络的JavaScript恶意代码检测方法。采用爬虫工具收集良性和恶意的JavaScript脚本代码获得样本数据;将JavaScript样本转换为相对应的灰阶图像,得到图像数据集;通过构建卷积神经网络模型对图像数据集进行训练,使得模型具有检测JavaScript恶意代码的能力。实验结果表明,相对于机器学习,该方法对收集到的5 800条JavaScript代码样本,检测准确率达到98.9%。     

基于MobileNet的恶意软件家族分类模型

现有基于卷积神经网络(CNN)的恶意代码分类方法存在计算资源消耗较大的问题.为降低分类过程中的计算量和参数量,构建基于恶意代码可视化和轻量级CNN模型的恶意软件家族分类模型.将恶意软件可视化为灰度图,以灰度图的相似度表示同一家族的恶意软件在代码结构上的相似性,利用灰度图训练带有深度可分离卷积的神经网络模型MobileNet v2,自动提取纹理特征,并采用Softmax分类器对恶意代码进行家族分类.实验结果表明,该模型对恶意代码分类的平均准确率为99.32%,较经典的恶意代码可视化模型高出2.14个百分点.     

基于图像纹理和卷积神经网络的恶意文件检测方法

在大数据环境下,针对传统恶意文件检测方法对经过代码变种和混淆后的恶意文件检测准确率低以及对跨平台恶意文件检测通用性弱等问题,提出一种基于图像纹理和卷积神经网络的恶意文件检测方法。首先,使用灰度图像生成算法将Android和Windows平台下可执行文件,即.dex和.exe文件,转换成相应的灰度图像;然后,通过卷积神经网络（CNN）算法自动提取这些灰度图像的纹理特征并加以学习训练,从而构建出一个恶意文件检测模型;最后,使用大量未知待检测的文件去验证模型检测准确率的高低。通过对大量的恶意样本进行实验,在Android和Windows平台下,模型检测最高准确率分别达到79.6%和97.6%,平均准确率分别约为79.3%和96.8%;与基于纹理指纹的恶意代码变种检测方法相比,基于图像纹理和卷积神经网络的恶意文件检测方法准确率提高了约20%。实验结果表明,所提方法能够有效避免人工筛选特征带来的问题,大幅提高检测的准确率和效率,成功解决跨平台检测问题,实现了一种端到端的恶意文件检测模型。     

图像分类卷积神经网络的特征选择模型压缩方法（英文）

深度卷积神经网络(convolutional neural networks,CNN)作为特征提取器(feature extractor,CNN-FE)已被广泛应用于许多领域并获得显著成功.根据研究评测可知CNN-FE具有大量参数,这大大限制了CNN-FE在如智能手机这样的内存有限的设备上的应用.本文以AlexNet卷积神经网络特征提取器为研究对象,面向图像分类问题,在保持图像分类性能几乎不变的情况下减少CNN-FE模型参数量.通过对AlexNet各层参数分布的详细分析,作者发现其全连接层包含了大约99%的模型参数,在图像分类类别较少的情况,AlexNet提取的特征存在冗余.因此,将CNN-FE模型压缩问题转化为深度特征选择问题,联合考虑分类准确率和压缩率,本文提出了一种新的基于互信息量的特征选择方法,实现CNN-FE模型压缩.在公开场景分类数据库以及自建的无线胶囊内窥镜(wireless capsule endoscope,WCE)气泡图片数据库上进行图像分类实验.结果表明本文提出的CNN-FE模型压缩方法减少了约83%的AlexNet模型参数且其分类准确率几乎保持不变.     

基于改进胶囊神经网络的遥感影像分类

针对遥感影像卷积神经网络（CNN）分类会导致特征信息丢失及泛化能力差的问题,提出一种基于通道注意力和混合注意力改进的胶囊神经网络分类模型。首先,为了胶囊神经网络能够适应于大尺寸输入图像,在特征提取模块中使用2个最大池化层;其次,为了提高分类精度,分别将SENet注意力和CBAM注意力加在特征提取模块的最后一层去改进特征提取模块;最后,将样本集随机地划分为训练集、验证集和测试集,进一步使用训练集和验证集训练模型,测试集测试模型,使用AID数据集对模型分类的泛化能力进行验证。实验结果表明:基于SENet网络改进的胶囊神经网络的准确率与Kappa系数要高于其他模型,泛化能力也优于其他模型,本文提出的模型的总体分类精度和泛化能力有了显著性提升,从而验证了本文方法的可行性和使用性。     

基于特征序列的恶意代码静态检测技术

近年来,基于机器学习方法的恶意代码检测方法存在着无法自动和高效地提取恶意代码的问题,有些还需要人工对特征进行提取,但是提取的特征没有深层地描述恶意代码行为,存在检测的准确率较低、效率低等缺点。通过对静态恶意代码进行分析,从纹理特征和操作码特征入手,在提取纹理特征过程中,提出一种Simhash处理编译文件转换成灰度图像的方法,生成灰度图像后通过GIST算法和SIFT算法提取全局和局部图像纹理特征,并将全局和局部图像特征进行融合。     

基于Bi-LSTM和自注意力的恶意代码检测方法

针对当前恶意代码检测方法严重依赖人工提取特征和无法提取恶意代码深层特征的问题,提出一种基于双向长短时记忆(Bidirectional Long Short Term Memory,Bi-LSTM)模型和自注意力的恶意代码检测方法。采用Bi-LSTM自动学习恶意代码样本字节流序列,输出各时间步的隐状态;利用自注意力机制计算各时间步隐状态的线性加权和作为序列的深层特征;通过全连接神经网络层和Softmax层输出深层特征的预测概率。实验结果表明该方法切实可行,相较于次优结果,准确率提高了12.32%,误报率降低了66.42%。     

一种基于特征编码技术的恶意代码检测方法

在对恶意代码进行检测和分类时,由于传统的灰度编码方法将特征转换为图像的过程中,会产生特征分裂和精度损失等问题,严重影响了恶意代码的检测性能.同时,传统的恶意代码检测和分类的数据集中只使用了单一的恶意样本,并没有考虑到良性样本.因此,文中采用了一个包含良性样本和恶意样本的数据集,同时提出了一种双字节特征编码方法.首先将待...     

基于知识蒸馏的恶意代码家族检测方法

近年来,恶意代码变种层出不穷,恶意软件更具隐蔽性和持久性,亟需快速有效的检测方法来识别恶意样本.针对现状,文中提出了一种基于知识蒸馏的恶意代码家族检测方法,该模型通过逆向反编译恶意样本,利用恶意代码可视化技术将二进制文本转为图像,以此避免对传统特征工程的依赖.在教师网络模型中采用残差网络,在提取图像纹理深层次特征的同时...     

融合注意力机制的恶意代码家族分类研究

近年来,随着恶意代码家族变种的多样化和混淆等对抗手段的不断加强,传统的恶意代码检测方法难以取得较好的分类效果.鉴于此,提出了一种融合注意力机制的恶意代码家族分类模型.首先,使用逆向反汇编工具获取恶意样本的各区段特征,并利用可视化技术将各区段转化为RGB彩色图像的各通道;其次,引入通道域和空间域注意力机制来构建基于混合域...     

高斯颜色模型在瓷片图像分类中的应用

由于RGB颜色空间不能很好贴近人的视觉感知,同时也缺少对空间结构的描述,因此采用兼顾颜色信息和空间信息的高斯颜色模型以获取更全面的特征,提出了一种基于高斯颜色模型和多尺度滤波器组的彩色纹理图像分类法,用于瓷器碎片图像的分类。首先将原始图像的RGB颜色空间转换到高斯颜色模型;再用正规化多尺度LM滤波器组对高斯颜色模型的3个通道构造滤波图像,并借助主成分分析寻找主特征图,接着选取各通道的最大高斯拉普拉斯和最大高斯响应图像,与特征图联合构成特征图像组用以进行参数提取;最后以支持向量机作为分类器进行学习和分类。实验结果表明,与基于灰度的、基于RGB模型的和基于RGB_bior 4.4小波的方法相比,本文方法具有更好的分类结果,其中在Outex纹理图像库上获得的分类准确率为96.7%,在瓷片图像集上获得的分类准确率为94.2%。此方法可推广应用到其他彩色纹理分类任务。     

基于深度学习可视化的恶意软件家族分类

计算机网络技术的快速发展,导致恶意软件数量不断增加。针对恶意软件家族分类问题,提出一种基于深度学习可视化的恶意软件家族分类方法。该方法采用恶意软件操作码特征图像生成的方式,将恶意软件操作码转化为可直视的灰度图像。使用递归神经网络处理操作码序列,不仅考虑了恶意软件的原始信息,还考虑了将原始代码与时序特征相关联的能力,增强分类特征的信息密度。利用SimHash将原始编码与递归神经网络的预测编码融合,生成特征图像。基于相同族的恶意代码图像比不同族的具有更明显相似性的现象,针对传统分类模型无法解决自动提取分类特征的问题,使用卷积神经网络对特征图像进行分类。实验部分使用10?868个样本（包含9个恶意家族）对深度学习可视化进行有效性验证,分类精度达到98.8%,且能够获得有效的、信息增强的分类特征。