基于机器学习的恶意软件检测方法研究

摘要

由于计算机和互联网在人们的日常生活中变得越来越重要，而层出不穷的恶意软件无论是对计算机还是互联网的安全都构成了严重的威胁，使得检测恶意软件成为了当下最令人担忧的问题。目前，已经存在大量研究通过应用数据挖掘和机器学习技术来做智能恶意软件的检测。尽管它们之中的某些方法取得了良好的效果，但大多数方法都建立在简单的人工特征及浅层模型架构之上的。不过随着如今计算机算力的发展，深度学习技术的崛起，尤其是深度学习特征抽取的卓越能力，利用深度学习来做恶意软件的检测开始在工业和学术研究中得到应用。 本文基于从可移植执行文件中提取Windows API调用、PE头字段等特征，以及PE文件本身字节序列，重点研究如何设计一个智能恶意软件检测深度学习架构。实验证明，本文提出的多任务深度学习网络模型在检测恶意软件上较传统的浅层模型有较明显的提升。主要研究内容分为以下几部分： 1.分析当前恶意软件对人们的威胁以及总结现阶段国内外在这个方向上的一些研究成果和进展； 2.基于一些公开的网站，搜集了2534条恶意样本数据和1905条正常样本数据，然后对数据进预处理，并提取PE文件的windows api调用，PE头字段，以及操作码的n元序列对等一些人工特征，经过层叠降噪自编码器降维之后作为网络模型的额外输入。 3.设计网络模型结构，该模型前半部分由一个门控卷积神经网络提取PE文件本身的特征，后半部分结合人工特征作为模型额外的输入；同时模型的损失函数由两部分组成，辅助的损失函数评估仅仅基于PE文件本身做出预测情况，主损失函数评估基于文件本身以及额外的特征的预测情况。 4.对搜集到的实际的数据集进行了全面的实验研究，对比各种机器学习/深度学习检测恶意软件的方法。 实验结果表明，与传统的机器学习方法以及单调的深度学习方法相比，本文提出的多任务深度学习框架可以进一步提高恶意软件检测的整体性能。

目录

声明

第一章 绪 论

1.2 国内外研究现状

1.3 本文的研究内容

1.4 本文的组织结构

1.5 本章小结

第二章 相关理论及技术概述

2.1.2 恶意软件存在形式

2.2 恶意软件分析技术

2.2.1 静态分析技术

2.2.2 动态分析技术

2.3 经典机器学习算法介绍

2.3.1 朴素贝叶斯

2.3.2 K近邻算法

2.3.3 支持向量机

2.3.4 决策树

2.3.5 随机森林

2.3.6 GBDT

2.4 本章小结

第三章 数据预处理及特征提取

3.2.1 概述

3.2.2 样本脱壳

3.2.3 提取PE头部特征

3.2.4 opcode序列提取

3.2.5 整体特征

3.3.1 卷积神经网络

3.3.2 Word Embedding

3.4 本章小结

第四章 基于融合特征的恶意软件检测方法研究

4.2 基于自编码器的检测方法

4.2.1 层叠自编码器

4.2.2 层叠降噪自编码器

4.2.3 算法框架

4.2.4 算法具体流程

4.3 基于多任务深度学习的检测方法

4.3.1 深度学习应用于恶意软件检测的困难

4.3.2 解决方案

4.3.3 门控卷积

4.3.4 参数设置

4.3.5 训练流程

4.4 本章小结

第五章 实验结果及分析

5.2 评价方法

5.3 实验分析

5.3.1 基于自编码器的实验分析

5.3.2 基于多任务深度学习的实验分析

5.3.3 基于卷积神经网络的对比实验

5.4 本章小结

第六章 全文总结与展望

6.2 后续工作展望

致谢

参考文献