制作和主办:Elsevier沙特国王大学学报Mal-Detect:一种用于恶意软件检测Olorunjube James Falanaa,Adesina Simon Sodiyaa,Saidat Adebukola Onashogaa,Biodun SurajuBadmusba尼日利亚奥贡州阿贝奥库塔联邦农业大学计算机科学系b尼日利亚奥贡州阿贝奥库塔联邦农业大学物理系阿提奇莱因福奥文章历史记录:2021年11月29日收到2022年2月24日修订2022年2月26日接受2022年3月12日在线提供保留字:恶意软件卷积神经网络生成对抗网络攻击可视化A B S T R A C T最近爆发的流行病加深了对信息技术系统的采用和使用。这种发展导致恶意软件引起的网络攻击呈指数级增长。当前用于检测恶意软件的方法(静态、动态和混合)在受到复杂的恶意软件时仍然表现出低效率。这项工作使用了由深度卷积神经网络和深度生成对抗神经网络(Mal-Detect)组成的集成技术来分析,检测和分类恶意软件。建议的Mal-Detect首先将恶意软件和良性文件二进制转换为RGB二进制图像。然后使用深度生成对抗神经网络从原始恶意软件样本中生成新的恶意软件图像。生成的带有原始恶意软件和良性文件图像的恶意软件图像经过预处理,并使用深度卷积神经网络进行训练,以从数据集中提取重要特征。针对三个基准数据集:MaleVis、Mallmg和Virushare,评估了Mal-Detect的有效性。评估结果显示,Mal-Detect优于其他最先进的技术,在所有测试的恶意软件数据集上的准确率为99.8%,平均准确率为96.77%这些结果表明,Mal-Detect可以部署用于检测所有类别的恶意软件。©2022作者(S)。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍恶意软件是一种计算机程序,其被编写为在所有者不知情的情况下损害计算机系统&(PotterDay,2009;Santos等人,2013; Vasan等人,2020 a,Vasan等人,2020年b)。 许多类型的恶意软件危害计算机系统,包括计算机病毒、特洛伊木马、蠕虫、间谍软件、广告软件、rootkit、僵尸网络等(Santos等人,2013; Sodiya等人,2014年;赛门铁克,2021年)。根据赛门铁克赛门铁克在2020年发现了超过4.31亿个新的恶意软件变体、勒索软件和零攻击,预计到2021年底这一数字将翻一番。鉴于当今网络和攻击环境的复杂性,恶意软件已变得更加普遍。计算机用户和企业主发现很难跟上网络犯罪分子的步伐。根据Flirch(2021)的一项调查,在接受采访的582名信息安全专业人员中,50%的受访者认为他们的组织没有准备好将运行软件作为一种恶意软件攻击形式来处理。2020年,75%受到勒索软件攻击的组织正在运行最新的端点保护(Firch,2021)。用于识别恶意软件的技术基于使用静态和动态分析方法提取恶意软件的特征向量(Ni等人, 2018年)。静态分析在受控环境中检查恶意程序,而不执行它,*通讯作者。电子邮件地址:falanaoj@funaab.edu.ng(O.J. Falana),Sodiyaas@funaab.edu.ng(A.S. Sodiya),Onashogasa@funaab.edu.ng(S.A. Onashoga),badmusbs@funaab.edu.ng(B.S.Badmus)。沙特国王大学负责同行审查https://doi.org/10.1016/j.jksuci.2022.02.0261319-1578/©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.comOlorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1969而动态分析在检查下监视它。用于分析给定恶意软件的过程通常涉及解包、分解和提取重要特征(Alam等人,2015;Ding等人,2018;Kang等人,2016年)。静态分析是目前应用最广泛的恶意软件检测技术之一,但存在检测率低、打包、代码混淆、易被代码修改等问题。相比之下,动态分析具有更高的检测率,然而,大多数动态分析工具,诸如动态TaintAPI调用监视(Ding等人,2018),系统调用监控(Win et al. (2015),控制流图(ACFG)(Alam等人,2015)只能观察部分可执行文件的行为。此外,如果恶意软件选择在被监测的环境中运行时掩盖其行为机器学习方法最近已被用于使用动态和静态分析的组合来区分恶意和良性应用程序研究表明,使用对抗性数据可能会使机器学习技术变得无效(Grosse et al.,2017年; Liu等人,2020年; Yuan等人,2019年)。通过对原始恶意软件数据集施加扰动或噪声,创建对抗样本恶意软件检测也受益于深度学习和强化学习的使用然而,大多数深度学习方法都需要庞大的数据集和大量的训练成本。提出了一种能够分析恶意软件行为的基于可视化的检测技术,以克服其他检测技术所带来的挑战。将恶意软件可视化为彩色图像提供了区分恶意软件二进制文件的不同组件的好处,因为恶意软件程序员仅篡改恶意软件代码的一小部分以生成新的突变体。恶意软件可执行文件和良性应用程序被转换为RGB恶意软件图像。RGB图像像素被编码为矩阵,可以将其视为应用活动签名。检测基于微调的深度卷积神经网络。使用DGAN生成新的恶意软件样本并将其添加到数据集中,以提供可以抵御对抗性攻击的强大检测。这项工作的贡献包括。一个用于理解和分类恶意软件行为一种用于从原始恶意软件生成新颖恶意软件的模型。用于确定所生成的恶意软件集合使用小规模数据集进行学习的可视化模型在各种数据集本文的其余部分结构如下:第2节提供了相关工作的回顾第3节提出了所提出的技术的方法。在第4节中,实验结果和讨论,第5节总结了研究。1.1. 文献综述最近,已经提出了几种用于检测恶意软件的非视觉方法,其中每一种都使用从可执行文件中检索的显式特征这些特征通常是可执行文档的底层组件,已经证明它们可以准确地区分恶意软件。Ding et al.(2018)使用动态污点分析技术,通过查看受污染数据如何在系统调用之间传播使用con-污染的输出参数作为API调用返回值和Win-API调用作为污染源,该方法跟踪可执行文件的污染标记以确定API调用的任何输入参数是否被污染。通过分析记录文件中的污点信息,构建了API调用之间的依赖关系图所提出的方法具有仅能够观察可执行文件的行为的一部分的限制,并且如果恶意软件选择在被监视的环境中执行时掩盖其破坏性行为,则在 Alam 等 人 ( 2015 ) 中 , 采 用 差 异 和 控 制 流 权 重 ( SWOD-CFWeight)的滑动窗口的注释控制流图(ACFG)来实时检测变形恶意软件。ACFG用于捕获程序的语义流,并提供更快的控制流图(CFG)匹配,而SOD-CFWeight用于捕获不同编译器之间操作码的变化。作者采用这种策略来抵消变形和多态恶意软件的混淆效果。对该技术进行了评价,发现检出率为94%至99.6%。然而,大多数应用程序大于测试的数据集的量,所提出的技术不能成功地用于大于10 MB的程序。此外,该技术遇到了NP完全困难,这是调用图匹配中的一个主要问题Almarri和Sant(2014)使用API调用图创建方法将恶意软件API转换为使用集成操作系统API的调用图。该方法有助于避免由于NP完全问题而导致的计算复杂性。该技术对木马,病毒和蠕虫的良性样本进行了评估,准确率为98%,假阳性率为0%。另一方面,在查询过程中,作者但情况并非总是如此,因为恶意软件开发人员可以利用强大的工具来构建复杂的混淆策略,从而导致恶意软件输入样本和恶意软件家族之间存在巨大差距此外,大多数动态分析工具无法完全探索恶意软件样本中的所有执行路径,因此可能会错过某些关键的API调用此外,由于攻击者可以使用多态技术来加载具有无用API的恶意软件样本,因此提取的API调用列表和参数可能是错误的。传统的机器学习方法越来越难以从数据中学习高级特征(Xin等人,2020年)。最近,也提出了许多用于恶意软件分析的可视化技术。为了有效地检测不同类型的恶意软件及其变体,Liu等人(2020)提出了一种基于机器学习的数据可视化和对抗训练。Naeem等人(2020)设计了一种用于检测工业物联网(IIoT)(MD-IIOT)上恶意软件攻击的系统。作者创建了一个嗅探器网关来监控和收集传入和传出流量的数据。MD-IIOT在检测模块中集成了深度卷积神经网络,在IIOT数据集和Windows数据集上的检测准确率分别为97.81%和98.47%。然而,该方法不能对抗对抗性形式的攻击。Nataraj等人(2011)使用图像处理技术提出了一种可视化和分类恶意软件的方法。在另一项相关工作中,Vasan et al.(2020 a),Vasan et al.(2020 b)将恶意软件二进制文件提取到8位无符号整数向量中。该矢量被分组为2D阵列,然后使用彩色图显示。该模型使用来自Mallmg恶意软件数据集、物联网Android移动数据集和良性样本的26,654个样本进行了测试。该技术在Mallmg恶意软件数据集上的准确率为98.82%,在物联网Android移动数据集上的准确率为97.37%。Kumar(2020)强调了由于无文件恶意软件的兴起为了避免被防病毒软件检测到●●●●●Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1970n无文件恶意软件攻击不会下载危险文件或将任何材料写入磁盘,这引起了企业的重大关注。2. 方法2.1. 恶意软件可视化可视化是以图形方式表达数据并与这些表示进行交互以获得对数据的洞察的过程。如图1所示,本文提出了一种简单而有效的方法,用于使用图像处理技术和称为深度卷积神经网络(DCNN)的深度学习方法来查看和识别恶意软件。将恶意软件显示为图像的主要优点是可以轻松区分二进制文件的不同组件。此外,由于恶意软件作者只需修改代码的一小部分来创建新的变体,因此图像非常适合在保持整体结构的同时检测小的更改。结果,可以区分属于相同家族的恶意软件变体。使用深度卷积神经网络可视化恶意软件的过程分为三个阶段:i. 恶意软件和良性应用程序转型ii. 生成对抗样本iii. 恶意软件分类2.1.1. 恶意软件转换每个图像都由一系列以特定顺序组织的点(像素)组成如果像素的颜色顺序被修改,图像也会改变。设D1,D2,. Dn是定义在Rn空间中的良性二元集,M1,M2,…也可以是在Rn空间中定义的恶意软件二进制的集合,其可以表示为。D:X! R n1这意味着将X映射到Rn的D是由下式定义的实函数:D1;D2;D3;::;Dn2Rn其中X1/4 f1; 2; 3;::;ng.显然,DO是一个索引集,它是Rn中一组良性二进制文件的集合。那是DX¼ fD1;D2;D3;::;Dng2此外,委员会认为,设D O是一个由8个良性比特组成的有限项序列,其中1,2,3. . ,n表示每个子集D1的项数,D2,D3Dn.因此,我们有笛卡尔积映射。X:DX×G! R3作为DXXG!fD1;g1;D2;g2;:;Dn;gng4说明:Fig. 1. Mal-Detect的一般架构Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1971[[[[-D1k8¼D1kk¼18i:e:D11[D12 [D13 ·· ·[D18(续)算法2:使用Otsu二值化将灰度图像转换为二值图像D2k¼D 2ki:e:D 21[D 22[D 23···[D 28k¼18D1k¼D 1ki:e:D 31[D 32[D 33···[D 38k¼18Dnk1[Dn2[Dn3···[Dn8k¼1DX¼ fD1 k;D2 k;D3 k;::; D nkg5其中k = {1,2,3.. . ,8}方程(1)和(4)可以用图表示。1.一、同样,M,M... M会有相同的关系,ii. 输出:二进制图像iii. 读取图像#检查灰度if(len(image.shape)==1)do img = cv.imread还有(‘‘Image must beiv. 计算每个强度级别的直方图和概率。#获取图像的直方图bin_numumber = 256histogram,binEdges = np.histogram(img,bins = bins_number)v. 计算阈值T//全局阈值,列出所有可能的1 2 Nn个阈值,如等式(1)至(5)所示,因为每个集合是R中的子集。每个恶意或良性的二进制文件被组织成两个-将一维数组转换为无符号整数的一字节向量,如等式(5)所示。该阵列被表示为范围[0,255]中的灰度图像,如算法1所示,灰度图像的结果被进一步转换为二进制图像,如算法2所示。算法1:恶意软件二进制到灰度的转换i. 输入:D =[D 1,D 2,. D N]ii. 输出:灰度图像:g = [g 1,g 2,g 3.. g n]//读取恶意代码的8位无符号整数iii. int [0]= 0;iv. 像素数组[0][0] = 0v. Image_width = 28vi. Image_height = size(Di/211)vii. 对于在range(1,len(D))中的i,viii.对于C,在D中,ix.如果c = 0或c = 1x.EightBit_array [i] = cxi.如果i % 8 == 0xii.继续xiii.endifxiv.endifxv. 结束//设置宽度并将其转换为向量xvi.对于j = 1至256xvii.X[j] = EightBit_array[j]xviii.for k = 1 to EightBit_array.length()//转换为像素数组或灰度xix.Pixel_array[j][k] = EightBit_array [k]xx.结束xxi.结束xxii. 结束如算法2所示,使用Otsu的二值化算法(Otsu,1979)将从算法1获得的灰度进一步转换为二值图像算法2:使用Otsu二值化将灰度图像转换为二值图像I. 输入:灰度图像:imgbin_midpoint =(binEdges[:1] +binEdges[1:])/ 2 weight_1 = np.cumsum(直方图)weight_2 = np.cumsum(histogram[::-1])[::-1]#高斯后的Otsu#在阈值上搜索,直到找到类中最小的一个平均值_1 = np.cumsum(直方图 * bin_midpoint)/权重_1平均值_2 =(np.cumsum((直方图 * bin_midpoint)[::-1])/weight_2[::-1])[::-1]Variance_in_class = weight_1[:-1]* weight_2[1:]*(mean1_ [:-1]vi. 生成类方差的最大阈值Max_val = np.argmax(Variance_in_class)Max_threshold =bin_midpoint [:-1][Max_val]vii. 创建一个新的图像数组,其行数和列数与旧图像相同。[x,y,z] = size(img)#对于灰度z将是1Binary_image = np.zeros(x,y);viii. 如果灰度像素值大于或等于阈值,则为新的二值图像分配1;否则为新的二值图像for i in range(1,x)do for j in range(1,y)do如 果 img ( i , j ) >=Max_thresholdBinary_image(i,j)= 1;其他Binary_image(i,j)= 0; endfor结束2.1.2. 生成对抗样本为了开发一个鲁棒的检测系统,对抗攻击,通过深度生成对抗网络(DGAN)的恶意样本引入对抗扰动。DGAN是一个生成模型,用于描述两个对手(称为生成器和代理)之间的冲突。生成器将扰动引入到原始数据集样本的观测值中,同时,来预测观测值是来自原始数据集还是来自生成器的一个forecast,如图所示。3.第三章。a. 发生器Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1972图二、从给定的1到1映射的说明性示例:(a)良性二进制D到灰度图像G,(b)索引集合D0的引入也产生新的1到1映射。图3.第三章。深度生成对抗网络框架。生成部分负责从N维均匀随机变量(噪声)创建假冒恶意软件和良性。概率P(X)由生成器捕获,其中X是输入。b. 鉴别器所述二进制模型基于所生成的图像的域来预测实际图像或所创建的图像Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1973≈GD←图四、使用深度卷积神经网络可视化恶意软件条件概率P(Y)|其中X是输入,Y是标签。这两个模型在一个对抗性的零和游戏中进行训练,直到生成器模型大约有一半的时间被欺骗,这表明生成器模型正在生成可信的示例。c. 培训深度卷积生成对抗网络GAN模型由两个深度神经网络模型组成,它们通过同时对原始和生成的恶意软件图像数据集和良性图像数据集进行训练来改进自己。第一阶段包括预先训练BHD,Px:真实数据的概率分布。x:输入数据。ph:模型数据的概率分布Gz:生成的恶意软件映像,Gzb:生成的良性软件图像,z:噪声向量,h =生成的数据。pG:分发生成的恶意软件映像。第一项的Dx:为1;即,对真实数据的评估。第二项的DG(z)为0;即,V(D,G)在PG Px时收敛.算法3. GAN数据集生成。基于CNN的图像分类器,具有真实的恶意软件图像xi和良性软件映像Ti,而第二阶段涉及用由生成器产生的生成的恶意软件映像Gi测试恶意软件映像D生成器G旨在欺骗辨别器将生成的恶意软件样本识别为真实的,而BHD的工作是将生成的恶意软件与真实的区分开,并且将生成的良性图像与真实的区分开。GAN模型的目标是使发电机的损失函数最小化,并使等式(6)给出的发电机的损失函数最大化。这允许创建逼真的恶意软件图像和良性软件图像,使得所生成的恶意软件图像和所生成的良性软件图像最终被恶意软件分类为真实的。最小值最大值VD;GExpxx½logDx]Ehphz½log1-DGz]ð6Þ其中:D:鉴别器,G:发生器。输入:原始恶意软件图像:X1X2;:;Xn;原始良性图像:T1T2;:;Tn;GAN生成器:GG,GAN鉴别器:GD输出:生成的图像:Gz1;Gz2;:;GznDef Dataset_generation(input_data:malware_image,benign_image):while true:train GD with input_datai G(z)←GG(z);其中z = N[0,1]G(z)i=input_data_i yGD(G(z))如果y是实数:破碎;如果生成y:列车GG(接下页)Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1974图五. 生成的恶意软件映像。Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1975≤≤.Σ(续)输入:原始恶意软件图像:X1X2;:;Xn;原始良性图像:T1T2;:;Tn;GAN生成器:GG,GAN鉴别器:GD输出:生成的图像:Gz1;Gz2;:;Gznend if返回y endwhiledef load_image(input_datai,outfilename):img = Dataset_generation(input_datai)img = Image.fromarray(np.asarray(np.clip(img,0,255),dtypeimg.save(outfilename)算法4.GAN训练。输入:填充的恶意软件数据T = [(x 1 y 1),. . ,(xn,yn)]、GAN:G的生成器的编码器、GAN:G的鉴别器2.1.3. 恶意软件分类DCCN-DGAN采用深度卷积神经网络来检测和分类恶意软件。DCNN的核心如图所示。 四、a. 卷积层卷积层用作数据中特定特征的检测过滤器。第一层使用内核大小检测较低级别的特征,而第二层检测较高级别的特征。层越高,检测到的高级特征越多(Wu,2017)。DCCN接受具有尺寸H高度、W宽度和D通道(R、G、B)的图像xi假设第1个输入是大小为H1W1D1的3阶张量.卷积核也将具有大小HWD1。所有元素中相应元素的乘积当内核在空间位置(0; 0; 0)处重叠在输入张量的顶部时,计算Dl通道,并且HWD的总和l.给出空间位置中的卷积结果G输出:恶意软件检测器DD设f表示RH×W×DlD中的所有核.因此,f是一个#填充恶意软件和良性数据def训练(T =(x,y),GG,GD):#sample x 1,. x n; label:y 1,. . ,yn; GAN的生成元:GG; GAN的生成元:GD对于范围(1,m)中的i:对于范围(1,n)中的j:对于k在range(1,o)中:执行卷积运算以生成秩序4张量的指数变量0≤1 0吨其中y是xl+1的别名。函数max(0; x)不是一个简单的函数。Li;j;d因此,在x = 0时,其中s:t是指示器函数,如果其参数为真,则为1否则为0因此,我们有。c. 池化层Dzdxl¼Ddxi;j;difxl0>0分9秒池化专门用于缩小图像当图像太大时,见图7。Mal-Detect和Resnet 50的ROC比较。i;j;dOlorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1979¼ðÞ¼ðÞ¼ω测度使用最大池化技术的可训练参数的数量池化是针对每个卷积层单独完成的。d. 全连接层一层中的每个神经元都连接到另一层中的每个神经元。为了对图像进行分类,全连接层从池化层接收平坦化矩阵作为输入。扁平化是将所有的最大池转换为单个长的连续线性向量的方法。e. 输出层经过大量的卷积层和填充,输出将是一个类向量。一个完全连接的层是用来提供一个最终的输出是等于类的数量neces- sary。输出图层使用的损失函数类似于分类实验使用Python 3.7.12和Keras进行。2.6.0和TensorFlow 2.6.0在Google collab环境中使用其GPU,RAM和硬盘。3.2. 评价为了评估Mal-Detect的性能,使用了一些评估标准集,即准确度、精确度、召回率、F1分数,如等式10-13所示。此外,混淆矩阵,曲线下面积(AUC)和受试者工作特征曲线(ROC)进一步用于性能分析。准确度TP10TPTNFPFN精密TP11公司简介交叉熵来计算预测误差。前向传递结束后,反向传播开始更新权重和偏置减少错误和损失。召回TP沪ICP备16011502号-1F2精确度ω召回精确度ω召回ð13 Þ3. 执行和评价3.1. 数据集的描述来自Virushare数据库的公开可用的恶意软件数据集该数据集包含来自不同恶意软件家族的2,000个恶意软件样本,于2020年加入virushare数据库良性的程序,其中包括1744个程序,从不同的可执行程序,即,游戏,浏览器,文字处理器,业务等收集后,干净的文件被扫描的VirusToal使用30个不同的反恶意软件引擎,以确保它们是干净的文件。除此之外,Mal-Detect还使用由属于25个恶意软件家族的9339个Malimg恶意软件图像组成的数据集进行基准测试(Nataraj等人,2011)和由25个恶意软件家族的8,750个恶意软件组成的MaleVis数据集(Hemalatha等人, 2021年)。其中:True Positive(TP):表示恶意软件文件被正确分类。假阳性(FP):表示被误分类为恶意软件的良性文件。假阴性(FN):显示被误分类为良性文件的恶意软件数量真阴性(TN):表示正确分类的良性文件病例数。3.3. 实验结果为了显示Mal-Detect的有效性,实验设计为:a) 生成新的恶意软件样本:图5示出了使用DGAN从原始恶意软件图像生成的恶意软件的视觉表示。从视觉表示可以看出,来自相同恶意软件家族的恶意软件图像与来自其他恶意软件家族的图像相比满足-见图8。 二进制分类比较。Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1980用均方误差(MSE)、结构相似性指数(SSIM)等指标对生成的图像进行MSE将生成的恶意软件图像的错误值中继到原始图像。从评估指标获得的分数范围从0到1;其中MSE最佳为零(0)。SSIM量化由数据压缩等处理或数据传输中的丢失引起的图像质量下降。就像MSE一样,SSIM值的范围也从0到1,其中0表示差,1是最好的这些生成的或新的恶意软件样本使用原始恶意软件数据集进行了增强,以对抗对抗形式的攻击。b) 测试了Mal-Detect在不需要大量训练样本的情况下对恶意软件和良性标签进行分类的能力。该实验使用了2,000个恶意软件样本和1744个良性样本。实验结果表明,Mal-Detect在与Resnet 50、Extra TreesClassifier、SVM、KNN、Naive Bayes、Random Forest和DecisionTree分类器进行比较时,准确率达到96.5%,如表1. 图图6和图7显示了Mal-Detect与Resnet 50相比的混淆矩阵和ROC曲线。实验结果表明,该方法具有较高的准确率、精确率和召回率。使用图8中的条形图进一步呈现了二进制分类的结果,其中所提出的Mal-Detect以96.5%的准确度优于其他机器学习方法。集成分类器GradientBoosting和Extra Tree Classifier分别以95.6%和95.3%的准确率排名第二和第三。c) Mal-Detect与其他机器学习技术的比较使用了两个基准数据集:Mallmg和MaleVis。i. Mallmg数据集为了在Mallmg数据集上训练Mal-Detect,从总共25个恶意软件家族中选择了10个恶意软件我们通过复制三个切片的灰度通道将图像从灰度转换为RGB,并将图像降采样为224 × 224。表2使用224 x 224像素的Mallmg的精度比较。深度学习模型机器学习嵌入式Mall-Detect(DCCN-GAN)Resnet 50 SVM KNN Bagging见图9。 Mallmg数据集上的混淆矩阵比较矩阵,使用112 x 112像素的图像。S/N恶意软件家族ACCPRF1ACC PRF1ACCP RF1ACCPR F1ACCPRF11Adialer.C0.9981.001.001.000.997一点整 1.001.000.9961.00一点整 1.000.9440.661.000.790.9871.001.001.002Agent.FYI1.001.001.001.001.001.001.00一点整 1.001.001.00一点整1.001.001.003你好,将军!J1.001.001.001.001.001.001.00一点整 1.000.901.00零点九五1.001.001.004Lolyda.AA11.001.001.000.981.000.990.98一点整 0.990.970.890.93毫米0.981.001.005Lolyda.AA21.001.001.000.980.980.981.000.980.990.980.980.991.001.001.006Malex.gen!J0.971.000.991.000.970.991.000.980.991.000.980.990.960.980.977Obfuscator.AD1.001.001.001.001.001.001.00一点整 1.001.001.00一点整1.001.001.008Rbot!Gen1.001.001.000.970.970.970.98一点整 0.990.961.000.980.980.960.97Olorunjube James Falana,Adesina Simon Sodiya,Saidat Adebukola Onashoga et al.沙特国王大学学报1981结果表明,Mal-Detect优于其他检测方法,准确率为99.8%,如表2所示。同样的结论也可以用图中的混淆矩阵得出。图9中的ROC曲线。 10个。图中的混淆矩阵。 9显示Mal-Detect能够将恶意软件正确分类到不同的家族中。ii. MaleVis数据集在MaleVis数据集上重复相同的实验,该数据集由25个家庭组成,每个家庭的样本量相等。使用112 × 112像素图像大小的Mal-Detect实现了 96.7% 的 准 确 度 , 而 Resnet 50 实 现 了 91.6% 的 准 确 度 , SVM88.5%,KNN 78.7和Bagging 92.6%,如表3所示。见图10。 使用112 x 112像素的图像对Mallmg数据集进行ROC比较。表3MaleVis数据集112 x 112像素的精度比较S/N恶意软件家族ACCPRF1ACCPRF1ACC PRF1ACCP RF1ACCPRF11阿代塞尔0.9670.981.000.990.9161.001.001.000.8850.981.000.990.7870.920.990.950.9260.971.000.982剂0.980.850.880.720.910.880.700.880.780.680.630.650.940.850.893阿拉普尔0.910.930.920.910.930.920.880.800.840.970.660.780.990.890.934非货币化0.970.980.970.910.970.940.910.990.950.950.94个单位0.941.000.940.975安德罗姆0.780.820.810.800.690.740.690.710.700.510.730.600.810.860.836自动运行0.890.890.890.770.830.800.820.760.790.81零点六0.690.870.700.787BrowseFox0.980.980.980.970.940.950.910.960.940.840.910.870.940.980.968丁沃德0.980.980.980.990.990.991.000.940.970.710.88个单位0.791.000.990.999Elex0.980.930.950.970.98O.970.931.000.960.950.970.960.950.890.9210Expiro0.980.930.950.710.800.750.610.750.670.180.05个单位0.080.590.890.7111发松0.991.000.991.001.001.001.001.001.000.98一点整0.990.991.000.9912HackKMS0.891.000.920.991.000.991.001.001.001.000.990.991.001.001.0013Hlux1.001.001.001.001.001.000.990.990
