基于深度学习的恶意软件检测技术研究
发布时间:2021-07-26 16:09
随着计算机网络技术的飞速发展,电脑、手机等各类智能电子产品已经融入了人们生产生活的方方面。与此同时,在利益的驱使下恶意软件也逐渐衍生出一条巨额的黑色产业链,严重威胁到了计算机网络用户的隐私和安全。作为全球电脑和手机操作系统市场的龙头老大,Windows和Android首当其冲,其恶意软件在数量和种类上均出现了爆发式增长。这使得传统的检测方法已经难以适应爆发式增长的恶意软件及变种。然而,近年来深度学习技术在计算机视觉、语音识别、自然语言处理等领域取得的突破性进展,为恶意软件检测的研究提供了新的视角。因此在借鉴深度学习技术丰富研究成果的基础上,研究更高效的智能恶意软件检测方法,成为了网路空间安全领域中的一个重要课题。针对Windows恶意软件,已有研究提出了新颖的端到端恶意软件检测方法。该方法无需安全领域专家的参与,通过训练深度学习模型MalConv来对原始恶意软件进行直接检测,检测正确率高达94%。然而已有研究表明,基于深度学习的模型容易受到对抗样本攻击,即攻击者可以通过对恶意软件的细微改动来躲避模型的检测。针对MalConv模型,本论文首先深入挖掘模型的安全漏洞,提出了两种新颖的白盒攻...
【文章来源】:大连理工大学辽宁省 211工程院校 985工程院校 教育部直属院校
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
PE文件格式布局
DEX文件生成过程如图2.2,Android软件作者首先将编写好的Java代码编译为类(class)文件,再通过Android SDK中的dx工具将类文件转换为DEX文件。转换后的DEX文件主要包括文件头(Header)、索引区(Constant Pool)、类定义区(Class Definition)、数据区(Data)。类似PE文件,这些区域的数据互相关联和索引,具有规范的格式和严密的逻辑结构。DEX文件作为整个APK最为核心的文件,存放了Android软件所有类的信息,因此本文所提出的恶意软件检测方法就将DEX文件作为分析对象。2.1.3 Windows恶意软件分析技术
CNN的基本网络结构由输入层(Input Layer)、卷积层(Convolution Layer)、池化层(Pooling Layer)、全连接层(Fully Connected Layer)和输出层(Output Layer)组成。通常卷积层和池化层交替配置,可以取一组或若干组层层叠加来构建网络,如图2.3。卷积层通常由多个特征图(Feature Map)构成,每个特征图又由多个神经元构成,其中每个神经元通过卷积核(Kernel)与上一层特征图局部相连。卷积操作可以提取上层输入的不同特征,层级越深提取的特征越高级。以二维CNN为例,图2.4和图2.5分别展示了卷积层和池化层的示意图,一维或三维CNN的工作方式与之类似。如图2.4所示,假设输入为灰度图像矩阵,空间坐标为(x,y),图像灰度值v,卷积核的大小为权重为w,则卷积操作就是卷积核权重与其在输入图像上对应元素灰度乘积的累加和,可以表示为如下公式:
【参考文献】:
期刊论文
[1]Android恶意软件检测方法研究综述[J]. 李江华,邱晨. 计算机应用研究. 2019(01)
[2]深度学习应用于网络空间安全的现状、趋势与展望[J]. 张玉清,董颖,柳彩云,雷柯楠,孙鸿宇. 计算机研究与发展. 2018(06)
[3]卷积神经网络研究综述[J]. 周飞燕,金林鹏,董军. 计算机学报. 2017(06)
本文编号:3303888
【文章来源】:大连理工大学辽宁省 211工程院校 985工程院校 教育部直属院校
【文章页数】:65 页
【学位级别】:硕士
【部分图文】:
PE文件格式布局
DEX文件生成过程如图2.2,Android软件作者首先将编写好的Java代码编译为类(class)文件,再通过Android SDK中的dx工具将类文件转换为DEX文件。转换后的DEX文件主要包括文件头(Header)、索引区(Constant Pool)、类定义区(Class Definition)、数据区(Data)。类似PE文件,这些区域的数据互相关联和索引,具有规范的格式和严密的逻辑结构。DEX文件作为整个APK最为核心的文件,存放了Android软件所有类的信息,因此本文所提出的恶意软件检测方法就将DEX文件作为分析对象。2.1.3 Windows恶意软件分析技术
CNN的基本网络结构由输入层(Input Layer)、卷积层(Convolution Layer)、池化层(Pooling Layer)、全连接层(Fully Connected Layer)和输出层(Output Layer)组成。通常卷积层和池化层交替配置,可以取一组或若干组层层叠加来构建网络,如图2.3。卷积层通常由多个特征图(Feature Map)构成,每个特征图又由多个神经元构成,其中每个神经元通过卷积核(Kernel)与上一层特征图局部相连。卷积操作可以提取上层输入的不同特征,层级越深提取的特征越高级。以二维CNN为例,图2.4和图2.5分别展示了卷积层和池化层的示意图,一维或三维CNN的工作方式与之类似。如图2.4所示,假设输入为灰度图像矩阵,空间坐标为(x,y),图像灰度值v,卷积核的大小为权重为w,则卷积操作就是卷积核权重与其在输入图像上对应元素灰度乘积的累加和,可以表示为如下公式:
【参考文献】:
期刊论文
[1]Android恶意软件检测方法研究综述[J]. 李江华,邱晨. 计算机应用研究. 2019(01)
[2]深度学习应用于网络空间安全的现状、趋势与展望[J]. 张玉清,董颖,柳彩云,雷柯楠,孙鸿宇. 计算机研究与发展. 2018(06)
[3]卷积神经网络研究综述[J]. 周飞燕,金林鹏,董军. 计算机学报. 2017(06)
本文编号:3303888
本文链接:https://www.wllwen.com/kejilunwen/zidonghuakongzhilunwen/3303888.html
