CN114186234A

CN114186234A - 基于轻量级网络ESPNet的恶意代码检测算法

Info

Publication number: CN114186234A
Application number: CN202111544925.9A
Authority: CN
Inventors: 杜垚; 马凡; 崔梦天
Original assignee: Southwest Minzu University
Current assignee: Southwest Minzu University
Priority date: 2021-12-16
Filing date: 2021-12-16
Publication date: 2022-03-15

Abstract

为了更精准地对恶意代码软件进行检测和分类，本发明采用了基于局部信息熵的图像表征方式来生成关于恶意代码的局部信息熵图像，然后利用嵌入了CBAM注意力模块的ESPNetV2网络来构建恶意代码的检测框架。本方法的主要实现流程为：首先对移动样本软件进行反编译，提取出软件中的.dex文件和.xml文件并转化为基于局部信息熵的彩色图像，接着进行图像的拼接，最终形成恶意代码图像。所有样本图像按照并按照8：2的比例分成训练集和测试集。然后利用嵌入CBAM注意力模块的ESPNetV2对训练集进行训练。最后把测试集作为输入，通过CBAM_ESPNetV2模型进行推理完成分类。

Description

基于轻量级网络ESPNet的恶意代码检测算法

技术领域

本发明涉及深度学习和信息安全领域，尤其是基于轻量级网络的恶意代码识别方法。

背景技术

智能手机巨大的拥有量使其成为了人们生活不可或缺一部分的同时，也导致了恶意代码技术的飞速发展。面对恶意代码数量激增，种类繁多等局面，如何快速有效地进行恶意代码检测是保障移动互联网健康发展的根本保障。

随着深度学习的应用从图像领域向信息安全领域的迁移，研究人员开始尝试利用卷积神经网络进行恶意代码的检测。该方法用作输入的图像信息主要是通过反编译样本软件，提取内部的二进制文件并转化为十进制整型数据，然后根据数据的大小映射为灰度图像得到的。但是这种方法得到的图像只是简单地展现了文件的内部结构，对于某些恶意软件内部存在的信息压缩和加密等部分不能很好的体现。同时，随着深度学习网络模型的更新迭代，它们的结构也越发复杂化，模型训练与推理需要花费大量的计算资源消耗，对于硬件平台的需求也显著增高。

针对上述问题，本发明提出了一种新的基于局部信息熵的图像纹理表征方式，它能够更深层次地表现文件内部结构。本发明采用了轻量级神经网络ESPNetV2进行恶意代码的检测和分类，与传统的神经网络相比，轻量级卷积神经网络节省了大量的计算资源的消耗，加快了模型的训练和推理速度。为了提高模型检测的准确率，本发明在轻量级神经网络中嵌入了CBAM注意力模块来捕捉图像中的关键信息。实验数据表明，该模型在计算精度和资源消耗之间获取了更好的平衡，提高了检测框架的整体效率，能够高效的对大规模的恶意软件进行检测和分类。

发明内容

本发明为了更好的对恶意代码进行检测，提出了一种基于局部信息熵的图像表征方式。同时，为了解决传统神经网络模型复杂、对硬件平台要求高以及计算资源开销严重等问题。引入ESPNetV2网络来构建恶意代码的检测框架，同时嵌入了CBAM注意力模块，在几乎不影响准确率的前提下极大地解决了计算资源消耗严重等问题，有利于对大批量的软件进行检测分析。

本发明的目的是通过以下技术方案来实现的：

本发明的第一方面，提供基于局部信息熵的图像表征方式，包括：

对样本软件APK进行反编译，提取出二进制文件.dex和.xml文件并进行读取，每8位二进制数字为一组。

对步骤1形成的每组8位二进制数据进行转化，生成无符号的十进制整型数字，整型数值范围在0～255之间。

把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵。

通过设置参数N，来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据，并转化为一维数组，然后通过香农信息熵计算公式计算数组的局部信息熵。

为了使图像具有明显的区分度，需要将得到的局部信息熵数值放大，并将得到的局部信息熵数据依次排列，然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射，分别生成关于.dex和.xml文件的彩色图像。

将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接，最终形成恶意代码的局部信息熵彩色图像。

本发明的第二方面，提供以轻量级网络为主体构建的恶意代码检测框架，包括：

ESPNetV2是在ESPNetV1的基础上进行改进得到的以EESP模块为主体的网络框架。在该网络中，为了增加网络的深度，在空间层次上多次叠加EESP模块。在该网络中，首先是的卷积操作以及随后的EESP模块的叠加使用，除了最后一层的分组逐点卷积(GroupConvolution,GConv)外，所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层，最后经过全局平均池化(GlobalAvg Pooling,GAvgPool)和全连接层(FullyConnected,FC)得到输出结果。

EESP模块引入了深度可分离空洞卷积(Depthwise Dilated SeparableConvolution,DDConv)思想。EESP模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间，然后使用不同空洞率的空洞卷积(Dilated Convolution,DConv)并行学习表示，最后将各分支的输出特征进行连接相加得到最终的输出结果。由于每个分支中不同的空洞率使得EESP模块能够从不同的感受野中学习特征。

本发明的第三方面，提供以提高轻量级网络分类准确率的算法，包括：

为了得到更好的分类结果，本发明在ESPNetV2模型中嵌入了CBAM注意力模块，该模块可以从特征中学习到权重分布，然后通过权重分布来更好地关注重要特征。CBAM注意力模块是由通道注意力和空间注意力两个子模块构成的，其整体的计算公式如下所示：

其中F为输入的特征图，M_c(F)为F经过通道注意力模块后的输出，M_s(F′)为F′经过空间注意力模块后的输出。

通道注意力模块首先进行全局平均池化和全局最大池化(GlobalMax Pooling,GMaxPool)操作，通过两种不同的池化操作，从局部信息熵图像提取的特征也会变得更加丰富，能够提高网络的表示能力。然后通过多层感知机(MultilayerPerceptron,MLP)产生各个特征通道的权重，再将两个输出向量进行加法计算，经过sigmoid函数最终得到权重系数M_c。

空间注意力模块首先把经过通道注意力模块得到的新特征在通道这个维度上进行全局平均池化和全局最大池化，最后得到两个的特征图，然后连接起来得到一个的特征描述。在经过一个卷积层和激活函数后，最终获得了权重系数。

本发明的有益效果是：

(1)在本发明的一示例性实施例中，传统的恶意代码表征方式得到的图像只是简单地展现了文件的内部结构，对于某些恶意软件内部存在的信息压缩和加密等部分不能很好的体现。而本示例性实施例中可以更深层次的表现文件内部结构以及加密和信息压缩部分，能更好地对恶意代码进行检测。

(2)在本发明的又一示例性实施例中，传统的神经网络模型将会消耗大量的计算资源，以及对硬件平台有着苛刻的要求。而本示例性实施例中的ESPNetV2网络通过嵌入CBAM注意力模块能够更有效率地对恶意代码进行检测，同时还大大降低了计算资源的开销。在精度和计算资源消耗之间取得了更好地平衡。

附图说明

图1为图像纹理化流程图。

图2为6个病毒家族的特征图像。

图3为ESPNetV2的网络结构图。

图4为EESP模块的结构图。

图5为Strided EESP模块的结构图。

图6为CBAM注意力模块原理图。

图7为CBAM模块在ESPNetV2网络中的位置。

具体实施方式

下面结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

为了更好的对恶意代码进行检测和分类，本发明提出了一种基于局部信息熵图像表征方式，该表征方式可以更好的体现文件内部信息压缩和加密部分，具体步骤如图1所示。

首先要对样本软件进行反编译，提取出二进制文件.dex和.xml文件并进行读取，每8位二进制数字为一组。

通过设置参数N，来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据，并转化为一维数组，然后通过香农信息熵计算公式计算数组的局部信息熵。其中pi表示数字i出现的概率。香农信息熵计算公式如下：

为了使图像具有明显的区分度，需要将得到的局部信息熵数值按公式f(E)＝a^E以指数的形式放大，并将得到的局部信息熵数据依次排列，然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射，分别生成关于.dex和.xml文件的彩色图像。

通过上述步骤就可以得到关于恶意代码的局部信息熵图像，相较于灰度图像，前者的特征信息更为丰富，而且还能体现出恶意代码中存在的信息压缩和加密部分，能够更有效地对恶意代码进行检测和分类。在图像中，区域颜色越红则代表信息熵的值越大，区域颜色越蓝则代表信息熵的值越小。

图2选取了6个病毒家族的特征图像进行展示，可以看出不同病毒家族的特征图像头部、中部和底部均呈现出了明显的颜色差异，这就代表了这些样本有着不同的信息熵分布，因此根据图像纹理的差异，可以进行病毒家族的分类。

数据预处理以后，利用嵌入CBAM注意力模块的ESPNetV2对其进行训练和推理。在该网络中，为了增加网络的深度，在空间层次上多次叠加EESP模块。首先是3×3的卷积操作以及随后的EESP模块的叠加使用，除了最后一层的分组逐点卷积外，所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层，之后经过全局平均池化和全连接层得到输出结果。ESPNetV2的网络结构图见图3。

其中的EESP模块结合了深度可分离空洞卷积以及为了消除由空洞卷积引起的网格伪影而使用的HFF方法。该模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间，然后使用不同空洞率的空洞卷积并行学习表示，最后就是将各分支的输出特征进行连接相加得到最终的输入结果。EESP模块的结构图见图4。

为了减少在下采样和卷积操作过程中空间信息的丢失以及更好地编码空间关系，在ESPNetV2网络中对原本的EESP模块进行了修改，由此产生了Strided EESP模块。该模块主要是通过一个输入图像的快捷连接和具有步长特性的EESP模块组成的。与原来的EESP模块不同的是，该模块利用步长为2的深度可分离空洞卷积替换了原本的深度可分离空洞卷积，并且添加了平均池化操作而且单个元素的加法操作也被级联操作所取代。StridedEESP模块的结构图见图5：

此外，为了有更好的检测结果，本发明还引入了CBAM注意力模块。它可以从特征中学习到权重分布，通过权重分布来更好地关注重要特征。CBAM注意力模块是由通道注意力和空间注意力两个子模块构成的。其原理图如图6，整体的计算公式如下：

通过CBAM模块ESPNetV2可以更好地关注在空间和通道维度的关键信息。经过多次实验，最终在ESPNetV2网络的第5层的GConv和GAvgPool层之间嵌入CBAM模块得到的数据最为理想。CBAM模块在ESPNetV2网络结构中嵌入的位置见图7。

将形成的恶意代码图像按照并按照8：2的比例分成训练集和测试集。然后利用嵌入CBAM注意力模块的ESPNetV2对训练集进行训练。最后把测试集作为输入，通过CBAM_ESPNetV2模型进行推理完成分类。

Claims

1.基于局部信息熵的图像表征方法，其特征在于：包括：

通过对样本软件进行反编译，提取出二进制文件.dex和.xml文件并进行读取，每8位二进制数字为一组；

对形成的每组8位二进制数据进行转化，生成无符号的十进制整型数字，整型数值范围在0～255之间；

把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵；

通过设置参数N，来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据，并转化为一维数组，然后通过香农信息熵计算公式

计算数组的局部信息熵，其中p_i表示数字i出现的概率；

为了使图像具有明显的区分度，需将得到的局部信息熵数值按公式f(E)＝a^E以指数的形式放大，并将得到的局部信息熵数据依次排列，然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射，分别生成关于.dex和.xml文件的彩色图像；再将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接，最终形成恶意代码的局部信息熵彩色图像。

2.以ESPNetV2为主体的恶意代码检测框架，其特征在于：包括：

ESPNetV2网络：首先是3×3的卷积操作以及随后的EESP模块的叠加使用，除了最后一层的分组逐点卷积外，所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层，最后经过全局平均池化和全连接层得到输出结果(ESPNetV2网络结构见附图3)；

EESP模块：该模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间，然后使用不同空洞率的空洞卷积并行学习表示，最后将各分支的输出特征进行连接相加得到最终的输入结果(EESP模块的结构图见附图4)；

StridedEESP模块：由ESPNetV2网络中对原本的EESP模块进行产生，主要是通过一个输入图像的快捷连接和具有步长特性的EESP模块组成，该模块利用步长为2的深度可分离空洞卷积替换了原本的深度可分离空洞卷积，并且添加了平均池化操作而且单个元素的加法操作也被级联操作所取代(Strided EESP模块的结构图见附图5)；

CBAM注意力模块：由通道注意力和空间注意力两个子模块构成的，其原理图如附图6，整体的计算公式如下：

其中F为输入的特征图，M_c(F)为F经过通道注意力模块后的输出，M_s(F′)为F′经过空间注意力模块后的输出；

本发明在ESPNetV2网络的第5层的GConv和GAvgPool层之间嵌入CBAM模块(CBAM模块在ESPNetV2网络结构中嵌入的位置见附图7)。