【技术实现步骤摘要】
本专利技术涉及网络信息安全领域,尤其是一种恶意代码图像分类方法和系统。
技术介绍
1、随着技术突飞猛进,手机、笔记本电脑和网络摄像头等数字设备的普及率急剧上升。然而,技术与日常生活的深度融合,却意外地加剧了网络威胁,安全漏洞问题变得日益严重。制造商在追求产品功能的吸引力时,常常忽略了潜在的安全漏洞,导致市场上充斥着带有固有安全缺陷的产品。制造商之间的激烈竞争和快速的产品开发节奏,进一步加剧了这一问题,许多存在未解决安全缺陷的设备涌入市场。这为恶意软件开发者提供了可乘之机,他们利用这些漏洞,开发出旨在损害计算机系统的恶意软件。
2、恶意软件被有意设计来执行包括文件加密、勒索软件敲诈、系统破坏、非法网络访问、数据盗窃或破坏等一系列恶意行为。其形态不断演变,日益复杂,包括广告软件、特洛伊木马、后门程序、勒索软件、间谍软件和蠕虫等多种形式。根据av-atlas.org的统计数据,截至2024年3月,已记录在案的恶意软件和潜在不受欢迎的应用程序(pua)数量已超过13.7亿,自2015年以来,恶意软件的月增长量已超过447万,这一数字凸显了问题的严重性。
3、恶意软件的泛滥对互联网安全构成了重大威胁,形成了一个迫切需要关注的危险局面。这些恶意代码旨在干扰、破坏或非法获取计算机系统、网络及其相关数据的访问权。恶意软件可能通过多种途径潜入系统,如钓鱼攻击、即兴下载或利用软件漏洞。一旦进入系统,它们便可以执行一系列恶意活动,从窃取敏感信息如登录凭证和财务数据,到在勒索软件事件中加密文件并要求赎金。这种对隐私和保密性的侵犯
4、恶意软件构成的日益增长的威胁凸显了网络安全的重要性。全球各地的组织通过加强网络安全活动来应对,认识到有效防御恶意软件需要全面理解其特性和行为。因此,恶意软件分析已成为网络安全工作中的关键组成部分。准确及时地检测和分类恶意软件对于对抗这一日益严重的威胁至关重要。恶意软件分析通常分为两种方法:静态分析和动态分析。静态分析涉及在不执行的情况下检查二进制代码,提供了一个相对快速的过程,但容易受到代码混淆技术的影响。相比之下,动态分析包括在控制环境中执行恶意代码并观察其行为模式。虽然这种方法对混淆和多态性恶意软件具有抵抗力,但相比之下更为耗时。传统上,恶意软件的检测和分类依赖于基于签名或基于启发式的方法,这些方法属于静态分析的范畴。基于签名的方法使用特定于不同恶意软件家族和变种的特定签名,根据它们对这些预定义签名的符合性来对新发现的恶意软件文件进行分类。另一方面,基于启发式的方法依赖于行业专家和分析师制定的规则和字节模式,从现有恶意软件数据中提取见解,以对新实例进行分类。然而,这些方法在应对现代恶意软件的动态格局方面存在局限性。
5、近年来,恶意软件可视化作为一种创新的静态分析技术出现,为恶意软件分类的复杂挑战提供了新的视角。这种方法涉及将二进制代码转换为灰度图像,然后将其应用于机器学习算法进行恶意软件家族分类。恶意软件可视化克服了传统方法的一些限制,并在恶意软件分析中展现出有希望的应用前景。在网络安全领域,卷积神经网络(cnn)的应用已成为恶意软件识别的普遍做法。cnn以其自动从原始数据中提取特征的能力,在分类恶意软件方面表现出色。然而,尽管cnn被广泛使用,但它们因参数冗余显著而经常受到诟病,这需要适当的简化。
6、cnn面临的主要挑战在于其密集的架构,这通常导致参数过多。这些参数反过来又导致计算复杂性和内存需求增加,使得cnn的训练和部署资源密集。此外,过多的参数还可能导致过拟合,损害网络的泛化能力,降低其识别新型或变种恶意软件的有效性。考虑到恶意软件的动态特性,简化cnn的必要性变得更加明显。恶意软件作者不断演变他们的技术,引入新的混淆方法和规避策略。一个臃肿的cnn,由于其固有的不灵活性,可能难以适应这些变化,限制了其长期有效性。此外,简化cnn还可以提高效率和准确性。通过移除冗余参数和优化网络结构,我们可以在减少计算负担的同时保持甚至提高分类性能。这不仅使训练过程更快、更具成本效益,而且还能在资源受限的环境中部署cnn,如边缘计算设备。
7、在恶意软件分类领域,卷积神经网络因其能够从原始数据中提取层次化特征而成为一项强大的工具。多年来,大量研究探索了提高cnn在该领域性能的各种途径。基于cnn的恶意软件分类的最新进展包括四个主要方向:(1)cnn架构优化,(2)cnn的特征工程与增强,(3)结合混合技术和集成技术的cnn,以及(4)采用迁移学习和领域适应的cnn。然而,当前研究存在几个局限:
8、1.尽管网络架构优化和特征工程技术显示出了有希望的结果,但它们通常引入了额外的计算复杂性和资源需求,限制了它们在资源受限环境或实时场景中的应用性。
9、2.混合和集成方法虽然提高了整体性能,但可能会因模型复杂性和训练时间的增加而受到影响,这可能阻碍了它们的实际部署。
10、3.迁移学习和领域适应方法依赖于相关预训练模型或源领域的可用性,这在特定恶意软件检测任务中可能并不总是可行或合适。
11、4.现有的基于cnn的方法主要关注提高分类准确度,但忽视了cnn架构的冗余和效率方面,这对于实际部署和实时分析至关重要。
技术实现思路
1、本专利技术的专利技术目的在于:针对上述存在的问题,提供一种恶意代码图像分类方法和系统,用以减轻利用cnn架构进行恶意代码图像分类时的模型冗余,提升恶意代码图像分类效率。
2、本专利技术采用的技术方案如下:
3、一种恶意代码图像分类方法,其包括:
4、获取恶意代码图像数据集,并构建出训练集和测试集,其中训练集中的恶意代码图像标注有分类标签;
5、利用所述训练集对预构建的分类网络进行训练,并利用所述测试集对训练后的分类网络进行测试,得到分类模型;
6、利用所述分类模型对待分类的恶意代码图像进行分类;
7、其中,所述分类网络被构建为:
8、利用stem子网络对输入的恶意代码图像进行第一卷积处理;
9、利用多阶段子网络对第一卷积处理后的特征图进行多阶段的第二卷积处理,每相邻两阶段间利用过渡子网络对前一阶段得到的卷积图进行第三卷积处理;
10、所述第一卷积处理、第二卷积处理和第三卷积处理中,每一卷积核的输入通道数均被配置为一个,并利用核生成函数映射回全尺寸卷积;
11、最后一个阶段输出的特征图由分类本文档来自技高网...
【技术保护点】
1.一种恶意代码图像分类方法,其特征在于,包括:
2.如权利要求1所述的恶意代码图像分类方法,其特征在于,所述Stem子网络利用第一卷积层和多个不同卷积尺寸的深度可分离卷积块对输入的恶意代码图像进行第一卷积处理;
3.如权利要求1所述的恶意代码图像分类方法,其特征在于,所述多阶段子网络中,每个阶段均包含31×31尺寸的第一卷积核的第一深度可分离卷积层,以及3×3尺寸的第二卷积核的第二深度可分离卷积层;该第一深度可分离卷积层和第二深度可分离卷积层在训练阶段并行输入和输出,在测试阶段通过结构重参数化合并为单一的第一深度可分离卷积层输入和输出。
4.如权利要求3所述的恶意代码图像分类方法,其特征在于,所述多阶段子网络中,每个阶段对输入的特征图进行批归一化后,进行点状卷积,再进行批归一化和非线性激活后,对于训练阶段,分别输入到所述第一深度可分离卷积层和第二深度可分离卷积层进行卷积处理,对于测试阶段,输入到合并后的第一深度可分离卷积层进行卷积处理;卷积处理后的特征进行批归一化、非线性激活后,与输入的特征图进行残差连接。
5.如权利要求4所述的
6.如权利要求4所述的恶意代码图像分类方法,其特征在于,所述第一深度可分离卷积层或第二深度可分离卷积层对特征图X进行卷积处理的方法为:
7.如权利要求2所述的恶意代码图像分类方法,其特征在于,所述第三卷积处理为对输入的特征图进行深度可分离卷积操作。
8.如权利要求1~7任一所述的恶意代码图像分类方法,其特征在于,所述Stem子网络、所述多阶段子网络的每个阶段,以及每个所述过渡子网络最后均对自身输出的卷积图进行通道随机排列。
9.如权利要求1所述的恶意代码图像分类方法,其特征在于,所述分类器子网络对输入的特征图分别进行全局平均池化和全局最大池化后,融合两种池化的特征到全连接层进行分类。
10.一种恶意代码图像分类系统,其特征在于,该系统被配置为执行如权利要求1~9任一所述的恶意代码图像分类方法。
...【技术特征摘要】
1.一种恶意代码图像分类方法,其特征在于,包括:
2.如权利要求1所述的恶意代码图像分类方法,其特征在于,所述stem子网络利用第一卷积层和多个不同卷积尺寸的深度可分离卷积块对输入的恶意代码图像进行第一卷积处理;
3.如权利要求1所述的恶意代码图像分类方法,其特征在于,所述多阶段子网络中,每个阶段均包含31×31尺寸的第一卷积核的第一深度可分离卷积层,以及3×3尺寸的第二卷积核的第二深度可分离卷积层;该第一深度可分离卷积层和第二深度可分离卷积层在训练阶段并行输入和输出,在测试阶段通过结构重参数化合并为单一的第一深度可分离卷积层输入和输出。
4.如权利要求3所述的恶意代码图像分类方法,其特征在于,所述多阶段子网络中,每个阶段对输入的特征图进行批归一化后,进行点状卷积,再进行批归一化和非线性激活后,对于训练阶段,分别输入到所述第一深度可分离卷积层和第二深度可分离卷积层进行卷积处理,对于测试阶段,输入到合并后的第一深度可分离卷积层进行卷积处理;卷积处理后的特征进行批归一化、非线性激活后,与输入...
【专利技术属性】
技术研发人员:向前,王晓丹,宋亚飞,吴暄,王坚,李松,雷蕾,郭相科,
申请(专利权)人:中国人民解放军空军工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。