文摘

快速增加的数量和类型的恶意软件,恶意软件检测的传统方法和家庭分类为物联网应用程序通过静态和动态分析已经极大地挑战。在本文中,一个新的简单而有效的关注模块的卷积神经网络(cnn),命名为切除有效关注模块(梦想),并结合DenseNet提出提出了一个新的恶意软件检测和家庭分类模型。基于良好的效果的DenseNet领域的图像分类和恶意软件的视觉相似性的家人在图像、灰度图像从恶意软件输入到模型结合的梦想和DenseNet恶意软件检测,然后进行分类。梦想是一个通用的轻量级关注模块改进基于卷积块关注模块(CBAM),可加强关注恶意软件的特点和改进模型的效果。我们使用MalImg数据集,挑战微软恶意软件分类数据集(大2015),和我们的数据集由上述两个数据集来验证该模型的有效性在家庭分类和恶意软件检测。实验结果表明,该模型精度达到99.3%的恶意软件检测数据集和达到98.5%和97.3%的家庭分类精度2015年MalImg数据集和大数据集,分别。该模型可以可靠地检测物联网恶意软件和其家庭进行分类。

1。介绍

恶意软件是一种软件程序设计访问计算机系统和执行无用或有害的操作。它包括病毒、蠕虫、特洛伊木马、广告软件,间谍软件,勒索软件和其他类型。这些软件将获得机密数据,窃取身份,劫持交通和操作系统,加密数字资产,和监控用户,对用户和操作系统构成威胁。恶意软件不断挑战的网络安全形势不断提高增长率和没完没了的家庭类型。据统计的“恶意软件威胁情况报告2020”(1)发布的伪安全实验室,在2019年,Windows恶意软件业务端点的检测增加了13%。恶意软件检测和家庭分类技术仍然是一个发展方向,是不容忽视的。同样,物联网(物联网)设备建立在不同的处理器架构日益成为敌对攻击的目标。虽然有很多方法来检测恶意软件在互联网上的东西(2,3),我们仍然需要在这个领域做出进一步努力。

传统的恶意软件检测和家庭分类使用两种类型的恶意软件分析技术:静态分析和动态分析。静态分析拆卸可执行程序和分析,提取特征信息的代码不执行恶意软件。在[4),序列模式挖掘技术用于检测的最大频繁模式(MFP)操作码序列的恶意软件检测物联网。在[5),一些恶意软件的行为序列链生成家庭,以及行为序列之间的相似性计算链和目标的序列过程检测和分类的恶意软件。在[6],恶意软件识别结合归一化压缩距离(非传染性疾病),使用决策森林可执行文件的压缩率。然而,静态分析可能会消耗大量的时间在无用的代码,因为代码分析不一定是最终执行的代码。同时,在拆卸静态分析技术的依赖也会导致恶意软件,可以使用各种模糊技术来妨碍拆卸分析。一些恶意软件加密使得逆向工程更加复杂,包装,等等,这就增加了静态分析的困难。动态分析是提取的特征信息在代码执行的过程中,和分析代码实际执行的代码。在[7],恶意的工件通过内存取证技术,从记忆中提取和恶意软件检测相结合提取恶意执行构件的特性提取恶意软件执行文件时使用动态分析。在[8),困惑的恶意软件检测到合适的钩安装和实际计算的恶意软件活动时间在用户和内核。在[9),图中实现的算法,使用n阶子图(NSG) API调用图转换成碎片的行为提出了恶意软件检测和家庭分类。除此之外,“frequency-inverse文档频率”一词(TF-IDF)和信息增益(IG)改善和用于提取thecrucial立项子图(CNSG)。然而,动态分析的一个执行过程中只能获得一个路径的行为,和一些恶意软件有多个执行路径。与此同时,由于实际执行动态分析具有一定的风险。随着神经网络的发展近年来,静态分析和动态分析与神经网络相结合的恶意软件检测和家庭分类。在[10),三元模型是用来表示操作码,频率向量用于表示API调用,然后卷积神经网络反向传播神经网络用于嵌入特性基于操作码和API的恶意软件检测和家庭分类。在[11),基于恶意软件的行为,提出了一种基于恶意软件类型分类方法,和LSTM用于Windows操作系统的新数据集开发基于API调用。

本文的主要目的是将关注模块和卷积神经网络更好地执行恶意软件检测和家庭分类。在我们的框架,将恶意软件样本转换成灰度图像,然后应用DenseNet切除有效关注模块的图像。在这个过程中,梦想可以生成功能注意地图加强关注恶意软件特征,提高检测和家庭分类的有效性。我们工作的主要贡献如下。

提出了一种新的通用轻型关注模块,梦想,可广泛用于提高cnn的性能,而不是增加的计算量。它由两个改进的有效渠道关注(IECA)和一个新的空间注意机制,切除(DSA)空间的关注。我们替换SENet原频道关注机制结构与ECA-Net CBAM IECA拟议的模型。DSA是由使用切除卷积。我们结合DSA模块和DenseNet恶意软件检测和家庭分类。

该模型表现良好MalImg数据集,2015年大数据集,数据集由美国和能有效执行恶意软件检测和家庭分类。

剩下的纸是组织如下:部分2讨论了相关工作涉及不同的技术,如可视化,cnn的结构,注意机制在恶意软件检测和分类。第三节提出了我们的详细模型。我们的算法的性能评估第四节第五节总结了我们的工作,为未来的工作提出了一些建议。

2.1。恶意软件可视化

在本文中,我们使用的方法在文献[12)将恶意软件转化为灰度图像。我们把每个字节(8位二进制或2比特十六进制)在PE文件成一个像素,每个像素的值是在[0,255]的范围(0:黑色、255:白色)。图像的高度是由PE文件的大小决定的,如表所示1

表1
图像高度几个文件大小。

通过恶意软件的图像,我们可以发现恶意软件来自同一家庭的图片在视觉上相似,但也有大视觉区别不同的恶意软件的家庭。此外,良性的软件和恶意软件之间也存在差异,如图1。恶意软件转换成图片可以帮助我们执行的恶意软件分析。后转化为图片,文件的不同部分可以很容易被认出来,这样我们可以发现恶意软件的功能部分。

(一)
(一)
(b)
(b)
(c)
(c)
图1
恶意软件样本来自不同的家庭和良性样品可视化为灰度图像。注意不同样本的纹理差异:(a)恶意软件样本(Adialer.C);(b)恶意软件样本(Agent.FYI);(c)良性的样本。

恶意软件转换成图像检测和家庭分类近年来已成为一个惯例。在[13),内存数据转储文件转换成灰度图像,和梯度直方图(猪)提取函数被用来有效地分类恶意软件。在[14),提出了一种新的基于图像分析的混合模型,它使用相似性挖掘和深度学习架构来准确识别和分类混淆恶意软件。灵感来自同一家族的视觉相似性恶意软件样本,file-agnostic深学习方法提出了恶意软件的分类(15]。通过一组区别的模式从恶意软件的可视化图像中提取,恶意软件有效地划分为多个家庭。在[16),基于视觉相似性恶意软件在同一家庭,建议直接对灰度图像进行二进制纹理分析恶意软件的可执行文件。这项技术获得的新组合的统计纹理特征基于一阶和二阶灰度同现矩阵应用灰度共生矩阵建立()执行混乱和不平衡的恶意软件的可视化恶意软件分类。

2.2。cnn的结构

卷积神经网络(cnn)的发展极大地推动图像分类性能优良。最近,为了提高卷积神经网络的性能,研究人员也有许多变化在三个方面:深度、宽度、和基数。从LeNet [17),美国有线电视新闻网的开创性工作,然后爆发后AlexNet [18],cnn已经变得越来越深的结构来实现更丰富的表现。VGGNet [19)证明,增加网络的深度会影响最终性能的网络在一定程度上。ResNet [20.)引入了一个快捷的网络有一定身份映射能力,并加强相关的梯度层之间的网络。GoogLeNet [21]证明宽度改善模型性能是另一个重要因素。DenseNet [22]进一步加深ResNet的概念,应用一个快捷方式到整个网络,实现了致密连接的网络,和加强每一层的功能之间的联系。图像分类技术基于DenseNet最近被应用到各个领域(23- - - - - -25]。然而,随着模型继续扩大在深度、宽度、和基础,其计算量也增加。为了达到一个更好的模型的性能和成本之间的平衡,它更有可能建立一个通用的仿生机制的深度学习比堆积更多的非线性模型层。

2.3。注意机制

注意机制是一种深度学习技术,起源于人类的视觉的研究,已广泛应用于自然语言处理26,27)、推荐系统和图像分类(28,29日]。它模仿人类视觉系统的特点有选择地关注的突出部分,通过动态选择和提高效率模型的重要特征。它可以发现近年来从开发机制的关注已经成为一种常见的方法来提高美国有线电视新闻网(cnn)的影响。来自cnn的注意机制获得的注意力地图显示了特定区域,代表被关注的特性。

SENet [30.)首次提出一个有效的渠道关注学习块,取得了良好的性能,证明注意可以改善网络的表达能力提高的重要特性和抑制不必要的功能。在[31日),恶意软件转换为灰度图像,然后输入到模型结合SENet [30.恶意软件分析)和CNN和家庭分类。之后,模块是由关注两个方面:增强功能聚合或通道的组合和空间的关注。GSoP [32]介绍了二阶池实现更有效的功能聚合。CBAM [33cnn)提出了一个通用的关注模块,使用max池和平均池总特性和使用聚合特性的连续通道的注意机制(使用SENet [30.])和空间注意机制。ECA-Net [34]改善SENet [30.)根据不降维的思想和轻量级的和改进的同时减少参数的影响。ADCM [35)集成辍学到注意力机制根据轻量级的想法和改进CBAM [33]。此外,许多作品使用改进的注意机制改善cnn的影响(36,37]。

基于CBAM [33)框架,本文改进了频道关注内部机制和创建一个新的空间注意机制。一个新的通用轻型模块称为切除有效关注模块提出了关注。

3所示。提出的模型

为了更好地执行恶意软件检测恶意软件和家庭分类,我们提出了一个基于DenseNet和注意力机制的新方法。在本节中,我们将详细介绍该模型。该模型由DenseNet和梦想。基于DenseNet - 121,我们构造一个DenseNet适合该模型。梦想是由改进的高效通道的关注(IECA)和切除(DSA)空间的关注。首先,我们介绍DenseNet的架构。然后提出IECA和DSA,分别。最后,我们的模型的整个流程图为恶意软件检测和家庭分类表示。

3.1。DenseNet结构

DenseNet模型ResNet深学习模型。近年来,DenseNet取得更好的结果在图像领域的分类。的基本思想ResNet DenseNet是相同的;然而,DenseNet之间建立一个密集的连接所有前面的层,后者,和它实现功能重用通过连接通道上的特性。这些特性使得DenseNet取得更好的性能比用更少的参数和计算成本和减轻ResNet梯度消失的问题。

DenseBlock DenseNet主要由和过渡层。DenseBlock采用激进的致密连接机制;也就是说,所有层彼此相连。具体地说,每一层接受所有前一层的输出作为其额外的输入,如图2


图2
DenseBlock的实现机制。

在DenseBlock,每一层都有相同的大小和每一层是连接之前的所有层通道尺寸。为一个网络l层,DenseBlock总共包含了l(l+ 1)/ 2连接。输入层的l如下: 在哪里l表示层数。Hl(……)代表非线性变换,这是一个结合批处理标准化(BN), ReLU池,Conv操作。摘要常见的DenseNet-B结构是利用,和瓶颈层用于减少计算量;即结构BN + ReLU + 1×1 Conv + BN + ReLU + 3×3 Conv采用。每一层在DenseBlock输出k特征图后卷积,卷积核的数量。如果我们设置输入DenseBlock的通道数量k0,然后输入通道的l层是k0+k (l - 1)。在这里,每一层的最后卷积k,k被称为增长率。DenseBlock,层数的增加,输入通道的数量会越来越大。

因为输入模型的尺寸经过DenseBlock仍然是不变的,通道尺寸将继续增加。因此,降维是必要的,以减少计算复杂度。过渡层主要由卷积1×1和2×2 AvgPooling或MaxPooling,及其结构是BN + ReLU + 1×1 Conv + 2×2 AvgPooling。它连接两个相邻DenseBlocks的维数,减少DenseBlock的输出。

现在常用的DenseNet框架DenseNet - 121, DenseNet - 169, DenseNet - 201和DenseNet - 264。我们提出的DenseNet模型基于DenseNet - 121。表2显示了一个比较DenseNet - 121和我们提出的DenseNet模型。

表2
DenseNet在提出的结构模型及其与DenseNet - 121。
3.2。切除有效关注模块

梦想我们提出遵循CMBA框架(33),由两部分组成,IECA和DSA。一个输入功能映射 (C表示通道,H表示高度,W表示宽度),梦想计算渠道特性映射之间的关系通过IECA获得一维通道注意力地图 专注于图像的重要特征。然后,梦想计算三维空间注意力地图 的功能映射通过DSA和注重功能图像的位置。梦想的计算过程如下: 在哪里 表示elementwise乘法。

根据(33),在梦想中,我们把两个串行注意力机制,把IECA梦想面前得到最好的效果。通过实验比较,当梦想是把后面的最后DenseBlock DenseNet,该系统可以达到最好的效果。由于DenseNet连接的所有层,每一层的输入是前一层的叠加。添加一个梦想背后每个DenseBlock将重新计算计算值并创建大量的无用的开销。此外,每个梦想关注不同的特性。如果梦想是在每个DenseBlock的前面还是后面,他们可能互相干扰,减少模型的影响。图3每个注意力地图描述的过程,每一个关注机制的详细信息描述如下。


图3
图的每个子模块的主任。注意。可以看出,IECA子模块结合了最大池和池平均输出输出到一维卷积生成一维通道注意力地图;DSA子模块使用切除卷积生成三维空间注意力地图。
3.2.1之上。改进的有效渠道的关注

通道机制的关注,我们认为我们应该注意哪些特性。每个通道的特性映射被视为特征检测器(38];然而,并不是每一个频道为图像识别是非常有用的。通过计算的概率不同的频道,该频道的注意力将集中在图像的主要特征。因此,通过通道的注意机制,我们可以更好地提取恶意软件的代表特征图像和提高恶意软件检测的效率和家庭分类。

注意力机制已被广泛用来提高cnn的性能,其中更多的代表的是SENet [30.]和CBAM [33]。然而,大部分的注意力机制致力于使自己取得更好的性能。ECA-Net [34]SENet模型提高了轻量级没有降维,并没有降维关注的重要作用机制是证明。ECA-Net提出一维卷积来实现本地的多渠道互动策略,从而降低模型复杂度,同时提高性能。公式如下: 在哪里 表示维卷积,k表示卷积核的大小维卷积 , 表示注意力地图频道 表示函数乙状结肠。同时,自适应地选择的方法提出了一维卷积核的大小来确定当地横跨海峡的交互的覆盖率。公式如下: 在哪里 表示最近的奇数t, b分别设置为2和1,C表示输入的通道数量特征映射。这种改善显著减少信道的参数注意力机制,增强了模型的计算效率。

在本文中,我们使用ECA-Net取代SENet频道关注机制结构CBAM为了达到效果没有当地的降维,然后我们得到IECA。我们使用max池和平均池压缩通道的输入特性映射空间为了有效地计算频道的关注。池集空间信息、平均和最大池收集独特的对象特性。两个空间上下文描述符( )代表平均池特性和最大池特性输出平均池和max池,分别。这两个空间上下文描述符组合成一个特征向量 元素求和,合并后的特征向量转换成一维卷积。大小k获得一维卷积核的自适应选择,和乙状结肠函数是用于一维卷积输出的特征向量 获得一维通道注意力地图 公式如下: +表示元素求和。

3.2.2。切除空间的关注

不同渠道的关注机制,注重空间的注意机制哪个位置检测器的特性是有意义的,哪些部分是补充渠道关注机制。空间的注意机制将计算的概率特性上的不同位置地图和专注于有意义的位置地图上的特性。因此,通过空间的注意机制,我们可以更好地提取恶意软件的代表特征图像和提高恶意软件检测的效率和家庭分类。

的空间注意机制CMBA [33)第一次压缩特性映射与马克斯池和平均池沿通道轴(39),然后将其输出连接到生成一个有效的特征描述符。卷积是用于特征描述符生成一个二维空间注意力地图。DSA在本文中是一个新的空间注意机制,构建基于ECA-Net[没有降维的思想34]。在ECA-Net,事实证明,避免降维的注意机制是非常重要的。DSA使用切除卷积来计算三维空间的关注没有降维映射的特征映射。切除卷积是一种特殊形式的群卷积当组的数量等于通道的数量。切除卷积将输入特征划分为不同群体根据渠道和可变的数量每组分别。在IECA,我们只有取代部分SENet [30.]实现的效果没有地方降维通道注意机制。在DSA,我们构造一个新的空间注意机制通过切除卷积,放弃马克思的降维池和平均池CMBA沿着通道轴,并实现不降维的效果。切除卷积可以从每个通道获得著名信息区域,比应用更全面融合操作沿着通道轴(39]。我们将在下面描述的详细操作。

我们应用切除卷积地图上输入特性和使用的乙状结肠函数输出特性描述符 三维空间注意力地图 公式如下: 在切除Conv2D表示卷积切除。

3.3。恶意软件检测和分类的过程

检测和分类的恶意软件的整个过程描述如下。首先,PE文件转换为灰度图像使用方法在文献[12]。第二,转换后的灰度图像应用于恶意软件检测模型,由梦想和DenseNet。使用灰度图像的模型训练样本已知的良性的软件和恶意软件样本,以及相应的标签。训练有素的检测模型能有效区分良性的恶意软件。然后,恶意软件应用于灰度图像的恶意软件由梦想和DenseNet家庭分类模型。模型是已知的恶意软件样本训练使用灰度图像及其标签代表每个家庭的恶意软件样本。家庭训练分类模型可以有效地识别恶意软件的家庭。整个过程如图4


图4
框图的恶意软件检测和分类。

4所示。实验

4.1。数据集和评价标准

用于评估的数据集的分类结果本文恶意软件家庭MalImg数据集从[12)和微软提供的2015年大数据集的大数据创新者收集反恶意软件预测的挑战。MalImg数据集是一个大规模的不平衡的Windows恶意软件灰度图像数据集包含25个恶意软件的家庭和9339灰度图像的恶意软件样本,如表所示3。恶意软件MalImg家庭数据集包括蠕虫、特洛伊木马、后门,流氓软件。

表3
MalImg:样本的分布。

我们只使用标记训练集的2015数据集,其中包含9恶意软件的家庭和10868恶意软件样本,如表所示4。每个样本数据集的十六进制表示的二进制内容及其对应的汇编文件。MalImg数据集和2015年大数据集都是基准数据集用于许多近期作品。

表4
2015:大样本的分布。

由于缺乏公众对检测的数据集,我们使用我们自己的构建数据集间接与他人的工作。我们合并MalImg 2015数据集和大数据集和随机选择相同数量的恶意软件样本的每个34恶意软件家庭合并。然后,我们构建了一个1:1087恶意软件检测与提取的数据集样本和收集到的1087良性软件样本。恶意软件的数据集的多样性保证了检测模型的泛化能力,以避免减少模型的泛化性能使用不平衡时所引起的过度拟合数据训练模型。

为了测试我们的模型的泛化性能,我们将数据集分为训练集,验证集和测试集的比例6:2:2和每个实验重复5次,以减少实验误差。训练集用于训练模型,验证集是用来调整模型的性能,测试集是投入训练模型来测试模型的性能。我们的实验是基于TensorFlow 2.0框架。亚当优化器和categorical_crossentropy是用于我们的实验。此外,精度等参数、召回和F1的分数也作为性能指标选择最好的模型检测和家庭分类。这是因为当有不同阶层之间的不平衡,准确率只能反映了总体预测水平。它忽略了少数类的预测能力。有时,它仍然可以得到更高层次的分类精度有错误时少量的类或类的关键。精度相对于预测结果并显示正确的数量的样品是积极的预测。召回率是相对于样本,也就是说,有多少正样本正确预测。 The F1 score combines the precision and recall results.

精确计算如下: TP是真正的正数和FP是错误的正数。

召回了如下: FN在哪里假负数。

F1分数加权调和平均数的精度和召回,如下:

我们得到的值二进制分类任务正常(检测)。multiclassification任务(家庭分类),我们获得的精度,分别召回,F1的每个家庭。之后,macro-precision、macro-recall macro-F1计算了平均每个家庭的评价指标的总和(macro-average给每个家庭相同的重量),分别。

4.2。恶意软件检测

我们在构建数据集进行恶意软件检测实验。表56显示了检测结果的形式2×2混淆矩阵,以及精度,回忆,和F1的分数值的每个家庭。提出的模型中,结果的准确性,精确度,回忆,和F1的分数都是99.3%。DenseNet没有梦想的准确性为99.0%,精度为99.1%,召回99.0%,99.0%的F1的分数在我们构造的数据集。它可以发现,梦想几乎不提高cnn的性能检测,但错误的预测样本的数量在两个实验仅3和4,分别。因此,我们相信DenseNet本身已经具有较高的检测功能,并添加梦想不再提高cnn的性能。图5给出了间接对比我们的模型和最近的作品,(7,10,40,41),证明了该模型优越与现有的方法相比,检测。

表5
精度、召回和F1得分模型构造数据集。
表6
精度、召回和F1的DenseNet构造数据集。

图5
精度的比较我们的模型与最近在检测工作。
4.3。恶意软件的家庭分类
4.3.1。MalImg数据集

我们的模型是通过减少训练MalImg数据集的图像大小为192 192像素。较小的图像大小不能保留所有重要信息(即亏损有识别力的家庭信息),而更高的价值只会增加计算时间不提高整体精度。表78给出了分类结果的形式25×25混淆矩阵,以及精度,回忆,和F1的分数值的每个家庭。该模型达到很好的结果:精度为98.5%,精度为96.9%,此次召回是96.6%,F1得分是96.7%。这些性能指标表明,达到更好的分类和更低的误分类的方法。MalImg数据集,DenseNet没有梦想的准确性97.9%,精度为95.5%,94.7%的回忆,和一个F1分数的94.6%。图6展示了我们的模型之间的比较和最近MalImg数据集。实验结果表明,我们的模型具有相同的精度,在文献[16),但其他性能指标略低于文献[16]。与其他近期作品相比,(14,15,42]我们的模型改进的性能在恶意软件家族在分类不平衡分类和鲁棒性。

表7
精度、召回和F1分数MalImg数据集上的我们的模型。
表8
精度、召回和F1的DenseNet MalImg数据集。

图6
我们的模型的比较与近期作品MalImg数据集。

MalImg数据集包含了许多样品通过模糊处理技术,如包装和加密。其中,云。VB。在,Malex.gen !J,自动运行。K, Rbot !UPX创家庭使用相同的包装技术,这使得他们有类似的结构,很难区分。然而,我们的模型分类云。有100%的准确度;Malex.gen的F1的分数!J和Rbot !创分别为97.4%和99.9%,VB的F1的分数。在自动运行。K也93.6%和95.7%。Allaple加密代码使用一个随机密钥参与几层。 Our model classifies Allaple.A and Allaple.L at a rate of 100%. This proves that our model is robust in both packaging and encryption. Meanwhile, Swizzor.gen!E and Swizzor.gen!I that belong to the same family variants are also classified with the accuracy of 100%.

它可以看到从的比较表78我们的模型稍微减少了在每个类别分类效果与DenseNet没有梦想。例如,F1的Fakerean下降了从1到98.4%。然而,它会大大提高Wintrim的分类精度。BX, Lolyda。AA2, Lolyda.AA3。Wintrim的F1的分数。BX从75%提高到88.1%,F1 Lolyda得分。AA2从45.4%提高到81.4%,Lolyda的F1的分数。AA3从66.6%提高到76%,从而提高总体分类精度。这证明了我们提出的梦想有一个对cnn的改善效果。除此之外,在整个模型中,原始CBAM块有4935个参数,而我们的梦想只有1935参数,几乎减少到三分之一的CBAM参数。 For the 346,293 parameters in the entire DenseNet model, there is almost no increase in computational consumption.

MalImg数据集,该模型使用CBAM Swizzor.gen了!我为模糊处理。广告以100%的速度在5实验导致分类效果明显下降,减少DenseNet的性能。

4.3.2。2015年大数据集

2015年大数据集的处理方法类似于MalImg数据集。我们downsample灰度图像。表910给得到分类结果9×9的形式混淆矩阵,以及精度,回忆,和F1度量值的每个家庭。2015年我们的模型在大数据集的准确性为97.3%,精度为95.3%,此次召回是95.4%,F1得分是95.4%。DenseNet没有梦想有96.3%的精度,精度为94.2%,91.4%的回忆,和一个F1得分92.6%的2015年大数据集。图7显示了我们的模型与近期作品的比较(15,432015年大数据集。从图可以看出7,我们的模型精度有所提高,召回率,和F1的分数而15),这证明我们的模型可以更好地分类恶意软件的家庭。我们的梦想和CBAM基本上相同的2015年大数据集分类效果。然而,使用的参数比CBAM梦想少得多,可有效提高计算效率。基于MalImg数据集上的实验结果和2015年大数据集,我们可以证明该梦想比CBAM有更好的效果。通过对比表910,我们可以看到梦想的加入增加了多个类模型的分类效果,尤其是F1分数Simda从71.4%增加到87.5%。因此,进一步验证,共同提高了cnn的性能。有一定的差距的影响大MalImg 2015数据集,数据集。我们认为这是由于较大的纹理相同的家庭在2015年大样本之间的差距。在本文中,我们只使用全球形象,不进一步处理灰度图像的恶意软件。

表9
精度、召回和F1得分在2015年大数据集的模型。
表10
精度、召回和F1 DenseNet在2015年大数据集的分数。

图7
比较我们与近期作品在2015年大数据集的模型。

5。结论

提出了一个新的轻量级和有效的卷积神经网络模块的定义是梦想的关注,并将它与DenseNet恶意软件检测和家庭分类。第一次使用该方法,在检测模型中,将可执行文件转换成灰度图像,然后检测恶意软件用于家庭分类模型来区分不同的恶意软件的家庭。实验结果表明,梦想参数的数量只有三分之一的CBAM参数,因此,梦想可以减少关注模块参数,提高模型的计算效率。此外,它比CBAM性能更好,有助于提高cnn的性能。提出模型表现良好在恶意软件检测和家庭分类,同时也显示了代码混乱和类不平衡问题的鲁棒性。

尽管该方法具有良好的性能在恶意软件检测和家庭分类,它仍然需要改进。例如,我们的方法直接使用原始灰度图像的恶意软件模型和不处理灰度图像的恶意软件。在未来,我们将探讨这些问题,进一步提高性能。

数据可用性

MalImg数据集可以被获得http://vision.ece.ucsb.edu/∼lakshman /恶意软件_images /专辑/。2015年大数据集可以被获得https://www.kaggle.com/ c / malware-classification /数据。

的利益冲突

作者宣称没有利益冲突。

确认

这项工作得到了国家自然科学基金资助下的中国61572170号和61672206号下的中国河北省自然科学基金批准号F2019205163,科学基金海外中国河北省批准号C2020342、科学的基础部门下的河北省人力资源和社会保障部批准号201901028,和河北师范大学自然科学基金批准号L072018Z10。