《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 人工智能 > 設(shè)計應(yīng)用 > 基于機(jī)器學(xué)習(xí)的惡意軟件檢測研究進(jìn)展及挑戰(zhàn)
基于機(jī)器學(xué)習(xí)的惡意軟件檢測研究進(jìn)展及挑戰(zhàn)
2020年信息技術(shù)與網(wǎng)絡(luò)安全第11期
景鴻理1,,黃 娜1,,2,,李建國1
1.北京天融信科技有限公司,北京100085,;2.北京工業(yè)大學(xué),北京100124
摘要: 由于惡意軟件的數(shù)量日漸龐大,,攻擊手段不斷更新,,結(jié)合機(jī)器學(xué)習(xí)技術(shù)是惡意軟件檢測發(fā)展的一個新方向。先簡要介紹惡意軟件檢測中的靜態(tài)檢測方法以及動態(tài)檢測方法,,總結(jié)基于機(jī)器學(xué)習(xí)的惡意軟件檢測一般流程,,回顧了研究進(jìn)展。通過使用Ember 2017和Ember 2018數(shù)據(jù)集,,分析驗證了結(jié)構(gòu)化特征相關(guān)方法,,包括隨機(jī)森林(Random Forest,RF),、LightGBM,、支持向量機(jī)(Support Vector Machine,SVM),、K-means以及卷積神經(jīng)網(wǎng)絡(luò)(Convolutional Neural Network,,CNN)等算法模型;使用收集的2019年樣本集分析驗證了序列化特征相關(guān)方法,,包括幾種常見的深度學(xué)習(xí)算法模型,。計算模型以在不同測試集上的準(zhǔn)確率、精確率,、召回率以及F1-值作為評估指標(biāo),。根據(jù)實驗結(jié)果分析討論了各類方法的優(yōu)缺點,,著重驗證分析了樹模型的泛化能力,表明隨著樣本的不斷演變,,模型普遍存在退化問題,,并指出進(jìn)一步研究方向。
中圖分類號: TP391
文獻(xiàn)標(biāo)識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.11.006
引用格式: 景鴻理,,黃娜,,李建國. 基于機(jī)器學(xué)習(xí)的惡意軟件檢測研究進(jìn)展及挑戰(zhàn)[J].信息技術(shù)與網(wǎng)絡(luò)安全,2020,,39(11):38-44,,68.
Research progress and challenges of malware detection method based on machine learning
Jing Hongli1,Huang Na1,,2,,Li Jianguo1
1.Beijing Topsec Science & Technology Inc.,Beijing 100085,,China,; 2.Beijing University of Technology,Beijing 100124,,China
Abstract: Due to the increasing number of malware and the updated attack means, malware detection combined with machine learning technology is a new direction of its development. Firstly, this paper introduces the static detecting methods and dynamic detecting methods of malware briefly; summarizes the general process of malware detecting methods based on machine learning, and reviews the existing methods with research progress. Using the data sets of Ember 2017 and Ember 2018, the structural feature correlation methods, including RF(Random Forest), LightGBM, SVM(Support Vector Machine), K-means and CNN(Convolutional Neural Network), are analyzed and validated,and the 2019 sample set analysis is used to validate the serialization feature correlation method, including several common deep learning algorithm models. The accuracy, precision, recall and F1_score of the trained model on different testing data sets are calculated as evaluating metrics. According to the experimental results, the advantages and disadvantages of various methods are discussed in this paper, the generalization ability of the tree model is verified and analyzed emphatically. It is shown that the model generally has degradation problem with the continuous evolution of samples, and the further research direction is pointed out at last.
Key words : malware detection,;static detection of malware;machine learning,;LightGBM,;random forest

0 引言

    惡意軟件是計算機(jī)與網(wǎng)絡(luò)領(lǐng)域不可避免的一項安全風(fēng)險,也是安全研究者聚焦的研究熱點之一,。用戶的隱私數(shù)據(jù),、個人信息及財產(chǎn),都是惡意軟件攻擊的目標(biāo)[1],。惡意軟件自身的一些特性為檢測提供了可能性和有利條件,,安全研究人員提出了很多檢測分析方法來遏制、打擊惡意軟件的發(fā)展勢頭,。計算機(jī)技術(shù)高速發(fā)展,,不僅為人們的日常生活和工作帶來了便利,也促使黑客的攻擊手段和技術(shù)不斷提高,,使得惡意軟件變得更加多元化,,而且利用無線網(wǎng)絡(luò)、局域網(wǎng)絡(luò),、可移動設(shè)備等多種傳播渠道快速傳播,,數(shù)量與日俱增,傳統(tǒng)的基于特征庫匹配等技術(shù)顯得效率不足[2],。因此,,研究者逐漸趨向于使用機(jī)器學(xué)習(xí)技術(shù),來應(yīng)對惡意軟件難以預(yù)測的變種和日益龐大的數(shù)量[3],。

    目前已經(jīng)有許多機(jī)器學(xué)習(xí)技術(shù)和框架被研究提出,,應(yīng)用于惡意軟件檢測,起到了非??捎^的效果,。根據(jù)SGANDURRA D等[4]在2016年的調(diào)研,使用機(jī)器學(xué)習(xí)技術(shù)的靜態(tài)檢測方法準(zhǔn)確率達(dá)到90%以上,,動態(tài)檢測方法準(zhǔn)確率能夠達(dá)到96%以上,,經(jīng)過近幾年的繼續(xù)發(fā)展,此類方法的性能得到了進(jìn)一步提高,?;跈C(jī)器學(xué)習(xí)技術(shù)建立智能化檢測模型,形成阻斷惡意軟件的一道防線,,是技術(shù)突破與市場拓展的一個新方向,,具有重要的研究意義和應(yīng)用價值。

    本文總結(jié)了基于機(jī)器學(xué)習(xí)的惡意軟件檢測方法的一般流程,,回顧現(xiàn)有的研究成果,;分別對結(jié)構(gòu)化特征相關(guān)方法以及序列化特征相關(guān)方法進(jìn)行了實驗驗證,結(jié)合實驗結(jié)果分析討論各類方法的適用場景以及面臨的挑戰(zhàn),,最后指出進(jìn)一步研究方向,。




本文詳細(xì)內(nèi)容請下載:http://forexkbc.com/resource/share/2000003173




作者信息:

景鴻理1,黃  娜1,,2,,李建國1

(1.北京天融信科技有限公司,北京100085,;2.北京工業(yè)大學(xué),,北京100124)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。