摘要
近年来,随着加密货币价格的上涨,恶意加密挖矿软件的数量显著增加。凭借其强大的传播能力,加密挖矿恶意软件可以在不知不觉中占据我们的资源,损害我们的利益,并损害更多的合法资产。然而,虽然目前传统的基于规则的恶意软件检测方法的误报率较低,但在面对大量新出现的恶意软件时,其检出率相对较低。尽管常见的基于机器学习或基于深度学习的方法具有一定的学习和检测未知恶意软件的能力,但它们所学习的特征是单一的和独立的,不能自适应地学习。针对上述问题,提出了一种具有多模态特征多输入的深度学习模型,该模型可以同时接受不同维度上的数字特征和图像特征。该模型依次包括三个子模型的并行学习和另一个特定子模型的集成学习。这四个子模型可以在不同的设备上并行处理,并可以进一步应用于边缘计算环境。该模型可以自适应地学习多模态特征并输出预测结果。该模型的检出率高达97.01%,误报率仅为0.63%。实验结果证明了该方法的优点和有效性。
论文贡献
- 提取了软件在不同模式下的特征,使样本信息描述更加全面。
- 所提出的模型分别学习不同模式的特征,并优化各模型的效果。
- 可以将单个模型作为一个块纳入整体模型,每个块的输出可以进行拼接和变形,并可以输出下一阶段的深度学习模型进行进一步的学习和预测
特征主要有灰度图像特征、字节/熵直方图,传统特征工程。使用三种深度学习子模型来接受这三种模式的特征,并使用另一个深度学习子模型来学习和预测上述三个子模型的输出。换句话说,整体的深度学习模型实际上包含了四个具有不同功能的深度学习模块,可以单独或同时执行。
方法模型
对于灰度图像的特征,作者使用EfficientNet,这是一个集成尺度方法的多维模型,是图像图像分类任务的最佳模型之一。通过简单的设计理念,它可以达到良好的最终效果。缩放方法和神经结构搜索(NAS)是EfficientNet的核心思想。
在字节直方图和熵直方图的学习模块中,作者设计了一个基于CNN的基本模型。通过卷积、批处理归一化、池化等函数,了解了直方图的特征。
对于利用专业领域知识提取的特征工程向量,作者使用基于Bi-GRU的深度学习模型进行学习。将特征向量视为序列数据。Bi-GRU可以同时从两个方向上学习序列特征。
集成学习块
在获得三种特征提取模型提取的特征后,需要对它们进行拼接和变换。首先,将三个维数为(512,1)、(256,1)和(256,1)的向量连接起来,得到一个维数为(1024,1)的向量。然后,将获得的向量重塑为一个大小为(32,32)的类图像向量。最后,将其输入到基于效率网-b0的模型中,得到最终的预测结果。
边缘计算
该模型由四个部分组成,每个部分都有不同的计算成本和所需的资源。边缘计算与云技术相结合,可以大大提高模型的效率。从挖矿恶意软件到这三个功能的过程可以通过边缘设备独立完成,然后将这些功能上传到云端。对于硬件配置较高的设备,甚至可以在边缘设备上完成第一阶段的模型预测任务。
总结
本文采用静态分析方法提取了三种不同的特征:灰度图像特征、字节/熵直方图特征和特征工程。通过对特征的集成学习,在控制误报率的情况下,取得了良好的效果。该方法得益于对不同模态特征的同时处理和自适应处理,避免了传统手工评分的盲目性。在恶意挖掘样本的检测任务中,基于多模态特征的深度学习模型的性能为未来的多场景应用提供了一种新的解决方案。结合边缘计算和云计算等技术可以实现模型在部署和服务上更有效。
然而,静态分析也有其固有的缺点。它很难处理混淆和去壳的样本,程序的执行甚至可以产生额外的行为和特征。动态分析既可以更好地提取混淆部分或潜在部分,又可以检测程序的特殊行为和资源占用。静态分析和动态分析并不是相互排斥的,而是互补的。因此,当条件允许时,两者的结合将会更好