深度LSTM神经网络在法医内存恶意软件检测中的性能优化

本文主要探讨了"论文研究 - 使用深度递归神经网络对法医记忆进行恶意软件检测"这一主题，它发表在《信息安全杂志》(Journal of Information Security)上，2020年11期，第103-120页。作者Ioannis Karamitsos、Aishwarya Afzulpurkar和Theodore B. Trafalis来自罗切斯特理工学院迪拜分校和美国俄克拉荷马大学，共同研究了内存取证领域的前沿技术。 内存取证作为计算机取证领域中的新兴且快速发展的分支，对于法医分析至关重要。研究者建议将用于检测恶意软件的深度学习模型部署在一个具有严格通信限制的隔离核心中，这样既能保持系统的完整性又能提高执行效率。他们提出了一个基于长短期记忆(LSTM)神经网络的方法，这种方法旨在提供与用户级别观察一致的概率性内存层次视图。 研究者构建了不同大小的主块序列，这些序列被作为输入输入到LSTM模型中，以捕获不同层面的内存特征。通过添加双向性和注意力机制，研究团队探索了四种不同的LSTM模型配置，以优化模型的性能。其中，关注点在于较低级别的存储块，如程序集级数据，这源于对50个Windows可执行文件的程序代码进行基本块的提取，借助IDA Disassembler工具进行分析。 实验结果显示，较长的主块序列能够生成更为丰富的LSTM隐藏层表示，这对于恶意软件的特征提取具有积极作用。在模型设计中，将隐藏状态作为元素送入Max池层或Attention层后，通过Logistic回归和单个隐藏层进行最终的分类决策。研究发现，带有Attention的双向LSTM模型在处理大小为29的基本块序列时表现出最佳性能。对比元数据和字符串特征，模型明显更依赖于低级别指导性的特征，这揭示了在恶意软件检测中，程序代码的底层结构特征的重要性。 这项研究利用深度学习技术在内存取证领域实现了显著的进步，特别是在利用LSTM模型处理法医内存数据以识别恶意软件方面。其研究成果不仅为计算机取证实践提供了新的视角，也为后续的研究者在恶意软件检测和分析中采用深度学习方法指明了方向。