基于深度学习的恶意程序检测与分类

摘要

随着计算机技术的飞快发展，恶意程序给人们带来的危险也与日俱增。由于混淆编码技术的提高，恶意程序的数量日益庞大且不易识别，传统的恶意程序检测技术已经难以满足人们的需求。本文采取深度学习的方法来提高模型检测恶意程序的能力。深度学习是机器学习延伸出来的一个新型技术，被广泛应用在图像处理、自然语言处理、计算机视觉以及语言识别等领域，而深度学习中的卷积神经网络（Convolutional Neural Network，CNN）源于人工神经网络的深入研究，具有良好的分类性能，对于未知样本的预测能力也较高。 传统方法中提取日志文件进行分析，但是，这样会损失词向量模型中某些维度的语法信息，也不能表现出可执行程序行为的本质。本文具体采取的方法是，通过相关工具对可执行程序进行分析，得到自然语言描述的行为信息的语料库，并根据语料库训练词向量空间，用其中的词向量对提取的行为信息进行表示，得到行为特征图，最后用卷积神经网络的方法训练模型并进行检测。 为了改进传统的检测方法以及对实验效果进行证明，本文做了两个对比实验。第一个实验提取了恶意软件的API调用序列作为文本信息，建立一个向量空间模型（Vector Space Model，VSM），对文本进行表示得到词向量特征图后使用CNN方法完成建模。通过对比来说明本文中提取的信息更能表征恶意软件行为的本质且保留了词向量中的语法信息。第二个实验主要对建模方法进行比较，该对比实验同样使用了自然语言描述的行为信息，并用TFIDF的方法得到每个程序的特征向量，然后用支持向量机（Support Vector Machine，SVM）建立高维空间和训练检测模型，并对所建立的模型使用相关指标进行评估，以此来说明本文实验中使用的特征表示方法和算法的选择更加合适。综合两个对比实验的结果可以看出，本文实验中所建立检测模型的正确率高且误报率低，表明自然语言描述的行为信息更能表现出程序行为的本质且不会损失词向量模型中某些维度的语法信息，也说明深度学习在程序行为分析和判定方面具有广泛的应用前景。

目录

第一个书签之前