基于深度学习的恶意代码检测可解释性研究

针对深度学习模型无法解释其是否提取到了关键特征的问题,该文从建模之前和建模之后2个层面对基于深度学习的恶意代码检测进行了可解释性研究。在建模之前,通过对二进制文件进行可视化分析,发现恶意代码的图像模态特征存在着明显的同类相似性和类间差异性,验证了运用深度学习模型进行图像模态特征恶意代码检测的可行性。在建模之后,提出了一种基于梯度加权类激活映射(Grad-CAM)的恶意代码检测可视化可解释性方法,在视觉直观上和统计分析上说明了基于深度学习的恶意代码检测具有可解释性。

基于建链信息的密数据流识别方法

针对加密流量难以识别的问题,提出一种利用神经网络提取通信双方建链信息以识别加密流量的方法。该方法首先获取加密连接建立阶段的交互流量,将流量数据转化为灰度图,然后利用卷积神经网络提取其图像特征,进而提取加密数据流的类别特征。由于在建链阶段就可提取类别信息,所以该方法具有早期识别特性,这能使加密流量的识别与管控实现有机结合。另外,针对背景流量属性集无限大、训练数据不完备的问题,提出将随机数据加入到背景流量中进行数据增强的近似完备法。在真实环境中进行测试,结果显示该方法的准确率达到95.4%,识别耗时为0.1 ms,明显优于对照算法。

基于多通道图像深度学习的恶意代码检测

现有基于深度学习的恶意代码检测方法存在深层次特征提取能力偏弱、模型相对复杂、模型泛化能力不足等问题。同时,代码复用现象在同一类恶意样本中大量存在,而代码复用会导致代码的视觉特征相似,这种相似性可以被用来进行恶意代码检测。因此,提出一种基于多通道图像视觉特征和AlexNet神经网络的恶意代码检测方法。该方法首先将待检测的代码转化为多通道图像,然后利用AlexNet神经网络提取其彩色纹理特征并对这些特征进行分类从而检测出可能的恶意代码;同时通过综合运用多通道图像特征提取、局部响应归一化(LRN)等技术,在有效降低模型复杂度的基础上提升了模型的泛化能力。利用均衡处理后的Malimg数据集进行测试,结果显示该方法的平均分类准确率达到97.8%;相较于VGGNet方法在准确率上提升了1.8%,在检测效率上提升了60.2%。实验结果表明,多通道图像彩色纹理特征能较好地反映恶意代码的类别信息,AlexNet神经网络相对简单的结构能有效地提升检测效率,而局部响应归一化能提升模型的泛化能力与检测效果。