CN114186234A - 基于轻量级网络ESPNet的恶意代码检测算法 - Google Patents

基于轻量级网络ESPNet的恶意代码检测算法 Download PDF

Info

Publication number
CN114186234A
CN114186234A CN202111544925.9A CN202111544925A CN114186234A CN 114186234 A CN114186234 A CN 114186234A CN 202111544925 A CN202111544925 A CN 202111544925A CN 114186234 A CN114186234 A CN 114186234A
Authority
CN
China
Prior art keywords
module
image
espnetv2
eesp
information entropy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111544925.9A
Other languages
English (en)
Inventor
杜垚
马凡
崔梦天
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Southwest Minzu University
Original Assignee
Southwest Minzu University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Southwest Minzu University filed Critical Southwest Minzu University
Priority to CN202111544925.9A priority Critical patent/CN114186234A/zh
Publication of CN114186234A publication Critical patent/CN114186234A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Security & Cryptography (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Virology (AREA)
  • Image Processing (AREA)

Abstract

为了更精准地对恶意代码软件进行检测和分类,本发明采用了基于局部信息熵的图像表征方式来生成关于恶意代码的局部信息熵图像,然后利用嵌入了CBAM注意力模块的ESPNetV2网络来构建恶意代码的检测框架。本方法的主要实现流程为:首先对移动样本软件进行反编译,提取出软件中的.dex文件和.xml文件并转化为基于局部信息熵的彩色图像,接着进行图像的拼接,最终形成恶意代码图像。所有样本图像按照并按照8:2的比例分成训练集和测试集。然后利用嵌入CBAM注意力模块的ESPNetV2对训练集进行训练。最后把测试集作为输入,通过CBAM_ESPNetV2模型进行推理完成分类。

Description

基于轻量级网络ESPNet的恶意代码检测算法
技术领域
本发明涉及深度学习和信息安全领域,尤其是基于轻量级网络的恶意代码识别方法。
背景技术
智能手机巨大的拥有量使其成为了人们生活不可或缺一部分的同时,也导致了恶意代码技术的飞速发展。面对恶意代码数量激增,种类繁多等局面,如何快速有效地进行恶意代码检测是保障移动互联网健康发展的根本保障。
随着深度学习的应用从图像领域向信息安全领域的迁移,研究人员开始尝试利用卷积神经网络进行恶意代码的检测。该方法用作输入的图像信息主要是通过反编译样本软件,提取内部的二进制文件并转化为十进制整型数据,然后根据数据的大小映射为灰度图像得到的。但是这种方法得到的图像只是简单地展现了文件的内部结构,对于某些恶意软件内部存在的信息压缩和加密等部分不能很好的体现。同时,随着深度学习网络模型的更新迭代,它们的结构也越发复杂化,模型训练与推理需要花费大量的计算资源消耗,对于硬件平台的需求也显著增高。
针对上述问题,本发明提出了一种新的基于局部信息熵的图像纹理表征方式,它能够更深层次地表现文件内部结构。本发明采用了轻量级神经网络ESPNetV2进行恶意代码的检测和分类,与传统的神经网络相比,轻量级卷积神经网络节省了大量的计算资源的消耗,加快了模型的训练和推理速度。为了提高模型检测的准确率,本发明在轻量级神经网络中嵌入了CBAM注意力模块来捕捉图像中的关键信息。实验数据表明,该模型在计算精度和资源消耗之间获取了更好的平衡,提高了检测框架的整体效率,能够高效的对大规模的恶意软件进行检测和分类。
发明内容
本发明为了更好的对恶意代码进行检测,提出了一种基于局部信息熵的图像表征方式。同时,为了解决传统神经网络模型复杂、对硬件平台要求高以及计算资源开销严重等问题。引入ESPNetV2网络来构建恶意代码的检测框架,同时嵌入了CBAM注意力模块,在几乎不影响准确率的前提下极大地解决了计算资源消耗严重等问题,有利于对大批量的软件进行检测分析。
本发明的目的是通过以下技术方案来实现的:
本发明的第一方面,提供基于局部信息熵的图像表征方式,包括:
对样本软件APK进行反编译,提取出二进制文件.dex和.xml文件并进行读取,每8位二进制数字为一组。
对步骤1形成的每组8位二进制数据进行转化,生成无符号的十进制整型数字,整型数值范围在0~255之间。
把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵。
通过设置参数N,来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据,并转化为一维数组,然后通过香农信息熵计算公式计算数组的局部信息熵。
为了使图像具有明显的区分度,需要将得到的局部信息熵数值放大,并将得到的局部信息熵数据依次排列,然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射,分别生成关于.dex和.xml文件的彩色图像。
将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接,最终形成恶意代码的局部信息熵彩色图像。
本发明的第二方面,提供以轻量级网络为主体构建的恶意代码检测框架,包括:
ESPNetV2是在ESPNetV1的基础上进行改进得到的以EESP模块为主体的网络框架。在该网络中,为了增加网络的深度,在空间层次上多次叠加EESP模块。在该网络中,首先是的卷积操作以及随后的EESP模块的叠加使用,除了最后一层的分组逐点卷积(GroupConvolution,GConv)外,所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层,最后经过全局平均池化(GlobalAvg Pooling,GAvgPool)和全连接层(FullyConnected,FC)得到输出结果。
EESP模块引入了深度可分离空洞卷积(Depthwise Dilated SeparableConvolution,DDConv)思想。EESP模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间,然后使用不同空洞率的空洞卷积(Dilated Convolution,DConv)并行学习表示,最后将各分支的输出特征进行连接相加得到最终的输出结果。由于每个分支中不同的空洞率使得EESP模块能够从不同的感受野中学习特征。
本发明的第三方面,提供以提高轻量级网络分类准确率的算法,包括:
为了得到更好的分类结果,本发明在ESPNetV2模型中嵌入了CBAM注意力模块,该模块可以从特征中学习到权重分布,然后通过权重分布来更好地关注重要特征。CBAM注意力模块是由通道注意力和空间注意力两个子模块构成的,其整体的计算公式如下所示:
Figure BDA0003415600650000041
Figure BDA0003415600650000042
其中F为输入的特征图,Mc(F)为F经过通道注意力模块后的输出,Ms(F′)为F′经过空间注意力模块后的输出。
通道注意力模块首先进行全局平均池化和全局最大池化(GlobalMax Pooling,GMaxPool)操作,通过两种不同的池化操作,从局部信息熵图像提取的特征也会变得更加丰富,能够提高网络的表示能力。然后通过多层感知机(MultilayerPerceptron,MLP)产生各个特征通道的权重,再将两个输出向量进行加法计算,经过sigmoid函数最终得到权重系数Mc
空间注意力模块首先把经过通道注意力模块得到的新特征在通道这个维度上进行全局平均池化和全局最大池化,最后得到两个的特征图,然后连接起来得到一个的特征描述。在经过一个卷积层和激活函数后,最终获得了权重系数。
本发明的有益效果是:
(1)在本发明的一示例性实施例中,传统的恶意代码表征方式得到的图像只是简单地展现了文件的内部结构,对于某些恶意软件内部存在的信息压缩和加密等部分不能很好的体现。而本示例性实施例中可以更深层次的表现文件内部结构以及加密和信息压缩部分,能更好地对恶意代码进行检测。
(2)在本发明的又一示例性实施例中,传统的神经网络模型将会消耗大量的计算资源,以及对硬件平台有着苛刻的要求。而本示例性实施例中的ESPNetV2网络通过嵌入CBAM注意力模块能够更有效率地对恶意代码进行检测,同时还大大降低了计算资源的开销。在精度和计算资源消耗之间取得了更好地平衡。
附图说明
图1为图像纹理化流程图。
图2为6个病毒家族的特征图像。
图3为ESPNetV2的网络结构图。
图4为EESP模块的结构图。
图5为Strided EESP模块的结构图。
图6为CBAM注意力模块原理图。
图7为CBAM模块在ESPNetV2网络中的位置。
具体实施方式
下面结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
为了更好的对恶意代码进行检测和分类,本发明提出了一种基于局部信息熵图像表征方式,该表征方式可以更好的体现文件内部信息压缩和加密部分,具体步骤如图1所示。
首先要对样本软件进行反编译,提取出二进制文件.dex和.xml文件并进行读取,每8位二进制数字为一组。
对步骤1形成的每组8位二进制数据进行转化,生成无符号的十进制整型数字,整型数值范围在0~255之间。
把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵。
通过设置参数N,来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据,并转化为一维数组,然后通过香农信息熵计算公式计算数组的局部信息熵。其中pi表示数字i出现的概率。香农信息熵计算公式如下:
Figure BDA0003415600650000061
为了使图像具有明显的区分度,需要将得到的局部信息熵数值按公式f(E)=aE以指数的形式放大,并将得到的局部信息熵数据依次排列,然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射,分别生成关于.dex和.xml文件的彩色图像。
将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接,最终形成恶意代码的局部信息熵彩色图像。
通过上述步骤就可以得到关于恶意代码的局部信息熵图像,相较于灰度图像,前者的特征信息更为丰富,而且还能体现出恶意代码中存在的信息压缩和加密部分,能够更有效地对恶意代码进行检测和分类。在图像中,区域颜色越红则代表信息熵的值越大,区域颜色越蓝则代表信息熵的值越小。
图2选取了6个病毒家族的特征图像进行展示,可以看出不同病毒家族的特征图像头部、中部和底部均呈现出了明显的颜色差异,这就代表了这些样本有着不同的信息熵分布,因此根据图像纹理的差异,可以进行病毒家族的分类。
数据预处理以后,利用嵌入CBAM注意力模块的ESPNetV2对其进行训练和推理。在该网络中,为了增加网络的深度,在空间层次上多次叠加EESP模块。首先是3×3的卷积操作以及随后的EESP模块的叠加使用,除了最后一层的分组逐点卷积外,所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层,之后经过全局平均池化和全连接层得到输出结果。ESPNetV2的网络结构图见图3。
其中的EESP模块结合了深度可分离空洞卷积以及为了消除由空洞卷积引起的网格伪影而使用的HFF方法。该模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间,然后使用不同空洞率的空洞卷积并行学习表示,最后就是将各分支的输出特征进行连接相加得到最终的输入结果。EESP模块的结构图见图4。
为了减少在下采样和卷积操作过程中空间信息的丢失以及更好地编码空间关系,在ESPNetV2网络中对原本的EESP模块进行了修改,由此产生了Strided EESP模块。该模块主要是通过一个输入图像的快捷连接和具有步长特性的EESP模块组成的。与原来的EESP模块不同的是,该模块利用步长为2的深度可分离空洞卷积替换了原本的深度可分离空洞卷积,并且添加了平均池化操作而且单个元素的加法操作也被级联操作所取代。StridedEESP模块的结构图见图5:
此外,为了有更好的检测结果,本发明还引入了CBAM注意力模块。它可以从特征中学习到权重分布,通过权重分布来更好地关注重要特征。CBAM注意力模块是由通道注意力和空间注意力两个子模块构成的。其原理图如图6,整体的计算公式如下:
Figure BDA0003415600650000081
Figure BDA0003415600650000082
通过CBAM模块ESPNetV2可以更好地关注在空间和通道维度的关键信息。经过多次实验,最终在ESPNetV2网络的第5层的GConv和GAvgPool层之间嵌入CBAM模块得到的数据最为理想。CBAM模块在ESPNetV2网络结构中嵌入的位置见图7。
将形成的恶意代码图像按照并按照8:2的比例分成训练集和测试集。然后利用嵌入CBAM注意力模块的ESPNetV2对训练集进行训练。最后把测试集作为输入,通过CBAM_ESPNetV2模型进行推理完成分类。

Claims (2)

1.基于局部信息熵的图像表征方法,其特征在于:包括:
通过对样本软件进行反编译,提取出二进制文件.dex和.xml文件并进行读取,每8位二进制数字为一组;
对形成的每组8位二进制数据进行转化,生成无符号的十进制整型数字,整型数值范围在0~255之间;
把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵;
通过设置参数N,来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据,并转化为一维数组,然后通过香农信息熵计算公式
Figure FDA0003415600640000011
计算数组的局部信息熵,其中pi表示数字i出现的概率;
为了使图像具有明显的区分度,需将得到的局部信息熵数值按公式f(E)=aE以指数的形式放大,并将得到的局部信息熵数据依次排列,然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射,分别生成关于.dex和.xml文件的彩色图像;再将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接,最终形成恶意代码的局部信息熵彩色图像。
2.以ESPNetV2为主体的恶意代码检测框架,其特征在于:包括:
ESPNetV2网络:首先是3×3的卷积操作以及随后的EESP模块的叠加使用,除了最后一层的分组逐点卷积外,所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层,最后经过全局平均池化和全连接层得到输出结果(ESPNetV2网络结构见附图3);
EESP模块:该模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间,然后使用不同空洞率的空洞卷积并行学习表示,最后将各分支的输出特征进行连接相加得到最终的输入结果(EESP模块的结构图见附图4);
StridedEESP模块:由ESPNetV2网络中对原本的EESP模块进行产生,主要是通过一个输入图像的快捷连接和具有步长特性的EESP模块组成,该模块利用步长为2的深度可分离空洞卷积替换了原本的深度可分离空洞卷积,并且添加了平均池化操作而且单个元素的加法操作也被级联操作所取代(Strided EESP模块的结构图见附图5);
CBAM注意力模块:由通道注意力和空间注意力两个子模块构成的,其原理图如附图6,整体的计算公式如下:
Figure FDA0003415600640000012
Figure FDA0003415600640000013
其中F为输入的特征图,Mc(F)为F经过通道注意力模块后的输出,Ms(F′)为F′经过空间注意力模块后的输出;
本发明在ESPNetV2网络的第5层的GConv和GAvgPool层之间嵌入CBAM模块(CBAM模块在ESPNetV2网络结构中嵌入的位置见附图7)。
CN202111544925.9A 2021-12-16 2021-12-16 基于轻量级网络ESPNet的恶意代码检测算法 Pending CN114186234A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111544925.9A CN114186234A (zh) 2021-12-16 2021-12-16 基于轻量级网络ESPNet的恶意代码检测算法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111544925.9A CN114186234A (zh) 2021-12-16 2021-12-16 基于轻量级网络ESPNet的恶意代码检测算法

Publications (1)

Publication Number Publication Date
CN114186234A true CN114186234A (zh) 2022-03-15

Family

ID=80605387

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111544925.9A Pending CN114186234A (zh) 2021-12-16 2021-12-16 基于轻量级网络ESPNet的恶意代码检测算法

Country Status (1)

Country Link
CN (1) CN114186234A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114612791A (zh) * 2022-05-11 2022-06-10 西南民族大学 一种基于改进注意力机制的目标检测方法及装置
CN114841860A (zh) * 2022-05-12 2022-08-02 西南民族大学 一种基于拉普拉斯金字塔网络的高光谱遥感图像超分辨率方法
CN114896594A (zh) * 2022-04-19 2022-08-12 东北大学 基于图像特征多注意力学习的恶意代码检测装置及方法
CN116229278A (zh) * 2023-05-10 2023-06-06 广东电网有限责任公司珠海供电局 一种输电线路防震锤锈蚀缺陷检测方法和系统
CN117574364A (zh) * 2023-07-27 2024-02-20 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114896594A (zh) * 2022-04-19 2022-08-12 东北大学 基于图像特征多注意力学习的恶意代码检测装置及方法
CN114612791A (zh) * 2022-05-11 2022-06-10 西南民族大学 一种基于改进注意力机制的目标检测方法及装置
CN114612791B (zh) * 2022-05-11 2022-07-29 西南民族大学 一种基于改进注意力机制的目标检测方法及装置
CN114841860A (zh) * 2022-05-12 2022-08-02 西南民族大学 一种基于拉普拉斯金字塔网络的高光谱遥感图像超分辨率方法
CN114841860B (zh) * 2022-05-12 2022-11-25 西南民族大学 一种基于拉普拉斯金字塔网络的高光谱遥感图像超分辨率方法
CN116229278A (zh) * 2023-05-10 2023-06-06 广东电网有限责任公司珠海供电局 一种输电线路防震锤锈蚀缺陷检测方法和系统
CN116229278B (zh) * 2023-05-10 2023-08-04 广东电网有限责任公司珠海供电局 一种输电线路防震锤锈蚀缺陷检测方法和系统
CN117574364A (zh) * 2023-07-27 2024-02-20 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统
CN117574364B (zh) * 2023-07-27 2024-05-10 广东工业大学 一种基于PSEAM-MobileNet神经网络的安卓恶意软件检测方法及系统

Similar Documents

Publication Publication Date Title
CN114186234A (zh) 基于轻量级网络ESPNet的恶意代码检测算法
CN107169504B (zh) 一种基于扩展非线性核残差网络的手写字符识别方法
CN113657450B (zh) 基于注意机制的陆战场图像-文本跨模态检索方法及其系统
CN109741410A (zh) 基于深度学习的荧光编码微球图像生成及标注方法
CN113838107B (zh) 一种基于稠密连接的异源图像自动配准方法
CN113743353B (zh) 空间、通道和尺度注意力融合学习的宫颈细胞分类方法
CN111967358B (zh) 一种基于注意力机制的神经网络步态识别方法
CN115311502A (zh) 基于多尺度双流架构的遥感图像小样本场景分类方法
CN116630700A (zh) 基于引入通道-空间注意力机制的遥感图像分类方法
CN115731412A (zh) 一种基于群等变注意力神经网络的图像分类方法及其装置
CN113194094A (zh) 一种基于神经网络的异常流量检测方法
CN112818774A (zh) 一种活体检测方法及装置
CN117292117A (zh) 一种基于注意力机制的小目标检测方法
CN117593666B (zh) 一种极光图像的地磁台站数据预测方法及系统
CN113673465B (zh) 图像检测方法、装置、设备及可读存储介质
CN114581789A (zh) 一种高光谱图像分类方法及系统
Bi et al. Critical direction projection networks for few-shot learning
CN115828248B (zh) 基于可解释性深度学习的恶意代码检测方法及装置
CN115100509B (zh) 基于多分支块级注意力增强网络的图像识别方法及系统
Huang et al. DeeptransMap: a considerably deep transmission estimation network for single image dehazing
Minarno et al. Leaf based plant species classification using deep convolutional neural network
CN115208613A (zh) 一种基于小样本学习的三元cct网络的入侵检测方法
CN115035377A (zh) 基于双流编码和交互解码的显著性检测网络系统
CN113033487A (zh) 一种基于敏感数据指纹特征库的非结构化数据检测方法
GenG et al. Jujube classification based on a convolution neural network with multi-channel weighting and information aggregation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination