空军工程大学宋亚飞博士课题组对智能化恶意代码检测方法展开了研究与分析，成果以“一种基于特征融合的恶意代码快速检测方法（A Fast Malicious Code Detection Method Based on Feature Fusion）”为题发表在《电子学报》2023年1期。

内容简介

恶意代码是指经过人为设计执行恶意行为或攻击的软件，也被称为恶意软件。随着恶意代码对抗技术的发展，恶意攻击者通过加壳、代码混淆等技术繁衍大量恶意代码变种，大量的恶意代码不仅对用户日常生活产生严重影响，甚至影响了国家网络的安全，阻碍网络命运共同体的构建。因此，如何准确、高效地对恶意代码及其变种进行检测、分类成为了该领域的研究热点。

基于可视化的恶意代码检测方法被证明是一种能够有效识别恶意代码及其变种的新方法。但是，目前相关研究着眼于提升恶意代码识别准确率而忽略检测时效性。针对这个问题，本文提出了一种基于特征融合的恶意代码快速检测方法，旨在提升识别准确率的同时缩短检测时间。该方法以深度神经网络为框架，采取了模块化设计思想，提出了一种特征提取能力强且参数量小的轻量化卷积神经网络结构。它根据同一恶意家族中的图像纹理特征具有相似性，不同恶意家族中的图像纹理特征具有差异性的特点，提取恶意代码图像的纹理特征并进行分类。

该方法由数据预处理和模型构建两个部分组成，其模型结构如图1所示。首先，通过可视化方法将恶意代码映射为灰度图像，并通过双线性插值算法对恶意图像进行尺寸归一化以消除恶意代码图像尺寸对深度学习模型的影响。然后，使用数据增强技术解决恶意代码数据集类不平衡问题。其次，融合多尺度恶意代码特征增加特征的多样性，并结合通道注意力机制增强特征的鲁棒性以及关键特征的表达。最后，训练深度神经网络模型实现对恶意代码变种的分类。

数据预处理部分包括恶意代码可视化、图像尺寸归一化和数据增强。恶意代码可视化是将恶意代码映射为灰度图像的过程。在恶意代码可视化过程中，首先将给定的恶意代码二进制文件以8位无符号整数向量的方式进行读取。然后，以8位二进制数为单位转化为10进制整形（范围为0~255）。其次，根据恶意代码文件大小确定行宽并将其转换为2维数组。最后，以二维数组中每一个元素作为图像的灰度值，将二维数组映射为灰度图像。由于经典卷积神经网络中全连接层权值矩阵的限制，输入模型的特征尺寸必须保持一致，即输入的恶意代码图像尺寸必须相同。本文采用双线性插值算法对图像尺寸进行归一化以确保归一化后的图像尽可能保持原有的纹理特征。最后，使用数据增强技术通过对恶意代码图像的变换，增加少数类的样本数量，从而抑制数据集样本类不平衡对模型造成的影响。

模型构建部分的核心设计思想是增强模型的特征提取能力，使用少量的神经网络层数获得较深的神经网络的特征提取效果，通过减少神经网络参数、降低浮点运算量来提升模型运算速度，在提高恶意代码分类准确率的同时提升恶意代码检测速度。模型主体由CBR层、最大池化层、FFSE模块、以及全连接层构成。其中，CBR层是本文模型的基础单元，其包括卷积层、BN（Batch Normalization）层和Relu（Rectified linear unit）激活函数。它是传统卷积层的一种改进，能够加速模型的收敛。

FFSE模块是网络结构的核心，它包括特征融合模块和通道注意力机制模块，其结构如图2所示。特征融合模块通过同时使用不同大小的卷积核提取图像的多尺度的特征，并将这些特征相融合以获得兼顾局部特征与全局特征的总特征。在特征提取的过程中，特征图是由每个通道提取的特征结合得到，但并非每个通道都能进行有效的特征提取。通道注意力机制能够根据各个通道的特征提取效果计算各个通道的权重，将通道注意力集中在图像的主要特征上，以增强恶意代码图像的关键特征表达，提升恶意代码检测和分类的精度。

实验结果表明该方法分类准确率高且参数量小、检测时效性高，优于目前主流的恶意代码检测方法。

作者简介

王硕，空军工程大学硕士研究生。主要研究方向为智能信息处理和恶意软件检测。

王坚，空军工程大学防空反导学院副教授。主要研究方向为智能信息处理和恶意软件检测。

王亚男，空军工程大学防空反导学院讲师。主要研究方向为网络信息安全和人工智能。

宋亚飞，空军工程大学防空反导学院副教授。主要研究方向为机器学习及其在目标识别和入侵检测等领域中的应用。

论文信息

一种基于特征融合的恶意代码快速检测方法

王硕, 王坚, 王亚男, 宋亚飞

电子学报, 2023, 51(1): 57-66.

DOI: 10.12263/DZXB.20211701