基于改进卷积神经网络的恶意代码检测技术

针对当前恶意代码检测方法中严重依赖人工提取特征和无法全面提取恶意代码深层特征的问题,提出一种基于改进卷积神经网络的恶意代码检测方法。首先,对恶意代码数据进行预处理,读取每个恶意代码样本的二进制数据流,按照每8 bit转化为一个无符号的整型,转换为一个n×n的元素范围为[0,255]的二维矩阵,完成恶意代码的图像化。然后,在卷积神经网络的全连接层前加入空间金字塔池化层,解决卷积神经网络输入数据大小必须相同的问题。最后,将维数不同的矩阵数据输入到改进后的卷积神经网络自动提取恶意代码深层特征,训练恶意代码的分类器。实验结果表明该方法切实可行,相较于次优结果,准确率提高8.92%,误报率降低51.82%。

一种基于多特征的恶意代码家族静态标注方法

描述了一种基于多特征的恶意代码家族静态标注方法,该方法针对现有技术提取特征单一的缺点,采用恶意代码可视化技术绘制恶意代码图像,并从图像源和文本源、字节码层和操作码层进行特征的提取,多来源多层次地提取特征.为了更好地利用提取自多个层次的特征,设计了3层多分类器联合框架来进行特征的学习,3层多分类器联合框架分为特征组合层、分类层和联合层.最后利用学习到的模型便可以自动进行恶意代码的标注.为了验证方法的有效性,对Microsoft提供的9类恶意代码进行恶意代码家族标注测试实验,实验结果表明,该方法在除了Simda恶意样本家族外,在其他样本家族中的准确率、精确率、召回率和F1-score均高于90%.通过实验证明了该方法的有效性和可靠性.