前言
目前基于深度学习的恶意软件检测方法通常需要训练大量的带有标签的样本或已经现有的恶意软件家族,对检测未知恶意软件能力有限。为了解决这一问题,本文提出了一个名为“批处理归一化的多损失孪生网络”模型,其可以在稀少的样本中达到很好的检测效率。我们的模型利用批处理归一化和多损失函数解决过拟合问题,使用小样本,造成二值交叉熵损失导致的梯度消失问题,增加特征嵌入空间提高检测精度。本文将原始二进制文件转化为恶意软件灰度图,通过生成用于训练的正负对与孪生网络结合。
一、介绍
恶意软件现如今是网络安全行业亟待解决的问题。现代部署的安全软件利用机器学习方便准确和及时的识别恶意软件。然而这些机器学习模型算法需要成千上万的已知恶意样本进行训练[1]。大多数现实场景中,通常很难获得大量带有适当标签的恶意软件样本,如果是多态代码的新变体之前从未见过。
原始字节序列分析一直被认为最有前途的方法[2-4]。因此提出一种原始可执行技术的“恶意软件可视化”方法。文献[5]利用动态分析的二进制文件转化为灰度图根据图像纹理布局相似性进行分类。
在数据论证的基础上,提出了小样本神经网络模型,该模型充分利用先验信息,提高模型在更多约束输入样本下的性能。文献[6-7]提出一种仅基于恶意样本进行分类的网络模型,检测时不涉及到正常样本。由于这些模型往往忽略类间的嵌入空间,由于可执行文件的变化部分可能导致同一恶意软件图像特征嵌入空间中距离较大,因此精度性能受限制。
因此本文的贡献如下