基于注意力机制的恶意软件调用序列检测
传统的机器学习方法通过构造特征来学习分类器,面对嵌入大量反检测功能的恶意软件不具有鲁棒性.攻击者通过打乱恶意软件代码或插入无关代码来逃避检测.针对互联网环境下恶意软件数目众多、混淆技术进步、人工构造特征成本高等问题,文中提出一种基于循环神经网络和注意力机制的恶意软件检测方法(G2ATT).首先,在沙盒环境下运行软件获取其动态调用序列(API),并通过滑动窗口划分得到窗口子序列;其次,引入多示例学习和注意力机制来构建层次化特征抽取的深度神经网络,使用循环神经网络抽取API特征,结合两个注意力机制分别抽取窗口特征和序列特征,并使用序列特征检测恶意软件;最后,使用真实数据训练网络,以便使用得到的模型对未知恶意软件进行检测.基于真实数据集的实验结果表明,窗口特征抽取层和序列特征抽取层能够有效学习窗口内和窗口间的注意力权重,从而更好地描绘序列的特征,提升模型的查准率和查全率.G2ATT对未知恶意软件检测的准确率达到98.19%,查准率达到98.78%,查全率达到97.60%,AUC(Area Under the Curve of ROC)达到99%,比基于API调用序列的SVM、随机森林、朴素贝叶斯等方法的准确率提高了10%以上.
恶意样本检测、深度学习、注意力机制、调用序列
46
TP309.5(计算技术、计算机技术)
国家重点研究计划项目2019QY1402
2020-01-11(万方平台首次上网日期,不代表论文的发表时间)
共6页
132-137