摘要
近年来随着互联网的不断发展,网络安全领域也产生了许多新挑战、新问题。其中恶意代码的数量逐年剧增,呈现出种类多、数量多、迭代快、混淆性等特点,给企业和个人造成了巨大损失。而传统恶意代码检测方法需要人工去进行特征筛选与提取,检测效率较低,甚至面对经过混淆处理的恶意代码时无法做出准确检测。为解决这些问题,进一步优化特征提取方法,提高恶意代码检测的准确率和效率,本文提出了基于注意力机制和可视化的恶意代码检测方法。使用可视化方法处理后的图像作为检测模型的输入特征,通过构建融合注意力机制的深度学习检测模型,提高针对不同维度特征的捕捉能力,从而提升模型的检测性能。本文的主要工作内容如下: (1)为解决传统恶意代码检测方法特征提取能力、抗混淆能力和检测性能较低的问题,本文首先提出了一种融合注意力机制的恶意代码检测模型SE-MHSA。该模型将恶意样本的二进制代码转化为灰度图并作为输入特征,以ResNet50作为骨干网络,通过结合通道注意力机制和多头注意力机制输入数据的通道、局部、全局三个角度进行特征提取,以提高模型的特征捕捉能力,优化模型的性能。通过在公开数据集Malimg和混淆数据集Virusshare-packed上进行实验,相比于其他方法,本文所用模型SE-MHSA取得了更高的准确率,并且在面对混淆样本时具有更好的检测性能,具有更强的泛化性和抗混淆能力。 (2)为解决基于二进制文件可视化方法的恶意代码检测模型中因对源数据压缩和变形所造成的位置特征缺失问题,提出了一种基于多视图的恶意代码检测模型。该模型使用二进制文件可视化方法的灰度图像和汇编文件可视化方法的二值图像同时作为模型输入特征,构建了双分支特征提取通道,以提高模型的特征捕捉能力。在深度学习模型方面,使用ECANet模块替换SE-MHSA模块中的通道注意力机制模块,利用一维卷积来减少全连接层因降维所产生副作用,使用一种不降维的局部跨通道交互方法,以减少模型的参数量,提高了模型的准确率和效率。通过在公开数据集Datacon和Virusshare-packed上进行的实验结果表明,相比于其他模型,该模型具有更好的检测能力和检测效率。
NETL