基于VGGNet的恶意代码变种分类
发布时间:2021-12-24 12:43
针对代码复用在同一恶意家族样本中普遍存在的现象,提出了一种利用代码复用特征的恶意样本分类方法。首先将文件的二进制序列分割成RGB三色通道的值,从而将恶意样本转换为彩色图;然后用这些图片基于VGG卷积神经网络生成恶意样本分类模型;最后在模型训练阶段利用随机失活算法解决过拟合和梯度消失问题以及降低神经网络计算开销。该方法使用Malimg数据集25个族的9 342个样本进行评估,平均分类准确率达96.16%,能有效地分类恶意代码样本。实验结果表明,与灰度图相比,所提方法将二进制文件转换为彩色图能更明显地强调图像特征,尤其是对于二进制序列中含有重复短数据片段的文件,而且利用特征更明显的训练集,神经网络能生成分类效果更好的分类模型。所提方法预处理操作简单,分类结果响应较快,因此适用于大规模恶意样本的快速分类等即时性要求较高的场景。
【文章来源】:计算机应用. 2020,40(01)北大核心CSCD
【文章页数】:6 页
【部分图文】:
图1 分类模型层次结构
不同恶意家族之间的纹理特征是不同的。图3展示了经图像正方化以后25个恶意家族中的3个家族的样本图,从图中可知Adialer.C家族中上部分是稀疏的彩色像素点阵,中间有一道黑色分割线,下部分是密集的彩色像素点阵接着是黑、白、黑三道条纹;C2LOP.P家族的上约3/4部分由稀疏彩色像素点阵和两道黑色条纹组成,下方由相间的黑色条纹和一道彩色条纹组成;Swizzor.gen!I家族虽然上约3/4部分与C2LOP.P家族相似,但是其下方颜色渐变的彩色“波纹”却是独有的显著特征。图3 三个家族样本经图像正方化至224像素×224像素
图2 样本预处理流程同一家族间的样本具有相似的纹理图案。图4展示了经图像正方化后Lolyda.AA2家族中的两个样本图像,从图中可知样本1和样本2自上而下的纹理特征相似。
【参考文献】:
期刊论文
[1]熵可视化方法在恶意代码分类中的应用[J]. 任卓君,陈光. 计算机工程. 2017(09)
本文编号:3550506
【文章来源】:计算机应用. 2020,40(01)北大核心CSCD
【文章页数】:6 页
【部分图文】:
图1 分类模型层次结构
不同恶意家族之间的纹理特征是不同的。图3展示了经图像正方化以后25个恶意家族中的3个家族的样本图,从图中可知Adialer.C家族中上部分是稀疏的彩色像素点阵,中间有一道黑色分割线,下部分是密集的彩色像素点阵接着是黑、白、黑三道条纹;C2LOP.P家族的上约3/4部分由稀疏彩色像素点阵和两道黑色条纹组成,下方由相间的黑色条纹和一道彩色条纹组成;Swizzor.gen!I家族虽然上约3/4部分与C2LOP.P家族相似,但是其下方颜色渐变的彩色“波纹”却是独有的显著特征。图3 三个家族样本经图像正方化至224像素×224像素
图2 样本预处理流程同一家族间的样本具有相似的纹理图案。图4展示了经图像正方化后Lolyda.AA2家族中的两个样本图像,从图中可知样本1和样本2自上而下的纹理特征相似。
【参考文献】:
期刊论文
[1]熵可视化方法在恶意代码分类中的应用[J]. 任卓君,陈光. 计算机工程. 2017(09)
本文编号:3550506
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3550506.html
