深度學習在惡意軟體檢測中的應用
事實證明,機器學習在網路和安全相關領域的應用非常有效。深度學習在語音識別、目標檢測、自然語言處理等許多機器學習任務上的性能更佳。本文介紹深度學習在惡意軟體檢測中的一些應用。
Tobiyama提出一種基於進程行為進行惡意進程檢測到方法,研究人員利用LSTM(Long Short-Term Memory,長短期記憶網路)進行特徵提取,用CNN(Convolutional Neural Networks,卷積神經網路)進行特徵分類,而進程行為是一系列的API調用序列。特徵是從轉化為含有本地特徵的圖片的進程行為日誌文件中提取的,這些本地特徵表示進程活動。
Rhode調查了基於行為數據對可執行文件是否惡意文件進行預測。模型使用Cuckoo沙箱來手機PE樣本的活動數據。收集的特徵有:系統CPU利用率、用戶CPU使用、發送的包、收到的包、發送的位元組、收到的位元組、內存使用、交換區使用、當前運行的進程總數和分配的最大進程ID等。考慮到訓練速度的問題,作者選擇了GRU(Gated Recurrent Unit ,門控循環單元)來替代LSTM。
HeNet是一種基於程序執行控制流特徵的分層聚集神經網路。HeNet含有一個低層行為模型和頂層聚集模型。HeNet樣本測試的準確率是100%,假陽性率是0%。與傳統的機器學習分類相比,HeNet的分類準確率更高。
Hardy提出一種基於Stacked AutoEncoders(SAE)的惡意軟體檢測模型。模型會使用收集的PE文件產生的Windows API調用。如圖所示,使用PE解析器從每個文件中提取Windows API調用。API查詢資料庫會把API調用轉變成對應API函數的32位表示。因此,SAE也被用於特徵學習、參數調優和惡意軟體檢測。該模型的準確率大概是96.85%。
Hou提出一種基於Linux kernel系統調用和SAE的安卓惡意軟體檢測框架。使用了一種名為component travelsal的動態分析方法來對每個給定的安卓應用的代碼路徑進行自動執行。為了獲取系統調用之間的關係,作者構建了一個帶權有向圖,其中節點代表系統調用,節點的大小表示頻率,邊表示系統調用的序列流。
DroidDetector是一款基於安卓惡意軟體檢測引擎的在線深度學習應用。作者Yuan等通過動態分析和靜態分析從每個APP中提取特徵,提取的特徵分為三類,分別是必須的許可權、敏感API和動態行為。DroidDetector的檢測準確率大約為96.76%,由於傳統的機器學習演算法。在靜態分析階段,會對Android-Manifest.xml和classes.dex進行語義分析來得到APP請求的120個許可權。動態分析包含在DroidBox中運行每個APP,進行動態標記分類並監控13個APP行為的分析。
論文中使用的深度學習模型包含兩個階段,分別是非監督預訓練階段和有監督反向傳播階段。在預訓練階段,會使用受限Restricted Boltzmann Machine(RBM,受限玻爾茲曼機)來構建深度置信網路(Deep belief network,DBN)。在反向傳播階段,會用標記的樣本以有監督的方式對預訓練的DBN進行調參。
MtNet是一個多任務的深度學習惡意軟體分類架構,該架構會被訓練用於兩個任務,分別是預測未知文件是否惡意和預測文件是否屬於100個家族分類——98個重要的家族、1個通用惡意軟體分類和1個善意軟體分類。
研究人員用從動態分析中獲取的低級特徵作為訓練階段的輸入,這些特徵包括含有參數的API調用事件序列。
Azmoodeh提出一種深度Eigenspace學習方法來區分惡意和善意IoT應用。研究人員從支持ARM IoT平台的1078個善意應用和128個惡意應用中提取出OpCode序列。每個樣本中被提取的特徵會被融合到基於深度神經網路的分類圖中。研究人員用Objdump來提取OpCode,然後用n-gram OpCode序列對惡意軟體進行分類。研究人員還提出一種類或的分類方法,包含兩個階段,分別是OpCode-Sequence圖生成階段和Deep Eigensapce學習階段。
Kolosnjaji提出一種基於卷積和遞歸神經網路的惡意軟體系統調用序列分類。研究人員將卷積層和遞歸層融入到同一神經網路中,其中卷積層用於特徵提取。系統的輸入是60個不同類型的系統調用。研究中使用的數據集來源於Virus Share、Maltrieve和個人收集。樣本的標記是從VirusTotal獲取的,然後研究人員用來自不同反病毒軟體程序的軟體對惡意軟體的前面進行聚類。實驗結果表明這種方法的平均準確率為85.6%,高於傳統的機器學習演算法。
來源:https://arxiv.org/pdf/1807.04739.pdf
