惡意軟件分類(lèi)中的計(jì)算機(jī)視覺(jué)技術(shù)分析

（文章來(lái)源：網(wǎng)絡(luò)整理）
惡意軟件是指被設(shè)計(jì)成對(duì)其所在系統(tǒng)造成損害的任何軟件。主要類(lèi)型是蠕蟲(chóng)，木馬和廣告軟件。如今，每年大約有35萬(wàn)個(gè)樣本被生產(chǎn)出來(lái)，這對(duì)反病毒公司來(lái)說(shuō)變得越來(lái)越困難，因?yàn)橹挥?0%的新惡意軟件被報(bào)告，而從這50％中，只有20％會(huì)被現(xiàn)有的反病毒軟件檢測(cè)到。用于對(duì)惡意軟件進(jìn)行分類(lèi)的一些傳統(tǒng)方法是

沙箱檢測(cè)：此處可在虛擬環(huán)境中運(yùn)行任何可疑軟件，在該環(huán)境中可以監(jiān)視其行為，并且根據(jù)其行為，將確定該軟件是否為惡意軟件。但是這種方法可以被惡意軟件繞過(guò)，因?yàn)閻阂廛浖罅艘灾劣跓o(wú)法在虛擬環(huán)境中處理，惡意軟件文件還可以以一種模糊的、無(wú)法識(shí)別的文件格式保存，等等。沙箱檢測(cè)屬于基于行為的惡意軟件檢測(cè)。基于簽名的檢測(cè)：反病毒公司為惡意軟件創(chuàng)建一個(gè)簽名，并在其數(shù)據(jù)庫(kù)中更新它。因此，殺毒軟件將掃描軟件的簽名與殺毒公司數(shù)據(jù)庫(kù)中的簽名進(jìn)行比較。正如上面所討論的，每天大約有350000個(gè)惡意軟件被創(chuàng)建，對(duì)于反病毒公司來(lái)說(shuō)，為每個(gè)惡意軟件創(chuàng)建簽名是極其困難的。如今，反病毒公司正在使用深度學(xué)習(xí)技術(shù)來(lái)對(duì)付惡意軟件。在這里，我們將探討基于卷積神經(jīng)網(wǎng)絡(luò)的分類(lèi)。

在論文《 Malware Images: Visualization and Automatic Classification》中首次看到了分類(lèi)為灰度圖像的特定類(lèi)別惡意軟件圖像的相似性。在論文中，他們展示了特洛伊木馬病毒的外觀。

text部分包含要執(zhí)行的代碼，.text部分的末尾為全黑，表示末尾的填充為零。.data部分包含未初始化的代碼，.rsrc部分包含模塊的所有資源，例如應(yīng)用程序可以使用的圖標(biāo)。

上面的圖片來(lái)自《Malware Classification Using Image Representation》論文，其中他們顯示了不同家族的惡意軟件圖片，對(duì)于一個(gè)家族，我們可以在圖片中看到相似之處。

同樣在論文《Convolution Neural Networks for Malware Classification》中，他們還展示了常見(jiàn)的惡意軟件家族的圖片，例如Rammit，Gatak（木馬版本）等。

因此，在《Malware Images: Visualization and Automatic Classification》一文中，他們使用GIST來(lái)計(jì)算紋理特征，并使用具有歐氏距離的k近鄰對(duì)其進(jìn)行分類(lèi)。所以GIST基本上就是利用Gabor濾波器對(duì)圖像進(jìn)行小波分解。Gabor濾波器是一種線(xiàn)性濾波器，它主要分析圖像在特定方向上的頻率內(nèi)容。主要用于邊緣檢測(cè)、紋理分析和特征提取。他們使用了來(lái)自25個(gè)家族的9,458個(gè)惡意軟件，準(zhǔn)確率高達(dá)98%

在《Convolution Neural Networks for Malware Classification>論文中，他們訓(xùn)練了三個(gè)模型。

CNN 1C 1D由NxN像素（N = 32）的輸入層，卷積層（大小為11x11的64個(gè)filter maps），最大池化層，Densely-connected層（4096個(gè)神經(jīng)元），9個(gè)神經(jīng)元的輸出層組成。結(jié)果的準(zhǔn)確度為0.9857，交叉熵為0.0968CNN 1C 2D由NxN像素（N = 32）的輸入層，卷積層（大小為3x3的64個(gè)filter maps），最大池化層，卷積層（大小為3x3的128個(gè)filter maps），最大池化層，Densely-connected層（512個(gè)神經(jīng)元），輸出層為9個(gè)神經(jīng)元。結(jié)果是準(zhǔn)確性：0.9976，交叉熵：0.0231CNN 3C 2D由NxN像素（N = 32）的輸入層，卷積層（大小為3x3的64個(gè)filter maps），最大池化層，卷積層（大小為3x3的128個(gè)filter maps），最大池化層，卷積層組成（大小為3x3的256個(gè)filter maps），最大池化層，Densely-connected層（1024個(gè)神經(jīng)元），Densely-connected層（512個(gè)神經(jīng)元），輸出層為9個(gè)神經(jīng)元。結(jié)果是準(zhǔn)確性：0.9938，交叉熵：0.0257在論文《Malware Classification Using Image Representation》中，他們使用了2個(gè)模型，一個(gè)具有4層（2個(gè)卷積層和2個(gè)dense層）的CNN模型和一個(gè)Resnet18。普通的CNN的準(zhǔn)確度為95.24％，Resnet的準(zhǔn)確度為98.206％。

如您所見(jiàn)，這些論文發(fā)表的結(jié)果大約檢測(cè)到95-98％的惡意軟件，這表明計(jì)算機(jī)視覺(jué)技術(shù)比傳統(tǒng)方法更好。與傳統(tǒng)方法相比，深度學(xué)習(xí)能夠?qū)崿F(xiàn)非常好的準(zhǔn)確性，并且占用的硬件更少。
（責(zé)任編輯：fqj）