基于卷积神经网络的恶意代码分类技术研究

作     者：郑珏 

作者单位：广东工业大学 

学位级别：硕士

导师姓名：欧毓毅

授予年度：2022年

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0839[工学-网络空间安全] 081104[工学-模式识别与智能系统] 08[工学] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0811[工学-控制科学与工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：恶意代码 深度学习 卷积神经网络 静态分析 

摘      要：随着计算机和互联网的发展,恶意代码的数量在不断增多,时刻威胁着计算机安全。在基于深度学习的恶意代码分类方法中,恶意代码可视化方法是一种有效的恶意代码特征表示法,目前可视化方法存在不同家族图像纹理相似的问题,多特征方法存在对抗反静态分析的效果不显著的问题。针对上述问题,本文研究如何提升恶意代码可视化方法的效果,以及研究如何提高恶意代码分类方法对抗反静态分析技术的能力。本文的研究工作如下:（1）研究了恶意代码可视化方法。针对目前恶意代码可视化方法存在的不同家族图像纹理相似的问题,提出一种基于自编码图与灰度频次图融合的恶意代码可视化方法,使得不同家族的图像纹理差异增大,同一家族内的图像纹理相似。实验使用Malimg数据集对该方法进行验证。（2）研究了多特征的恶意代码分类方法。针对目前恶意代码使用加壳、混淆等反静态分析技术干扰特征提取的问题,提出一种基于卷积神经网络与多特征融合的恶意代码分类方法,以图像、API函数与操作码的混合序列为特征,设计多特征融合分类器。使用恶意软件分类挑战数据集对该方法进行验证。（3）融合恶意代码的可视化方法以及多特征融合分类方法,设计了一个恶意代码分类系统原型,并进行测试。本文的创新之处包括以下几点:（1）提出一种基于自编码图与灰度频次图融合的恶意代码可视化方法。运用经过自编码器重构的自编码图和灰度频次图融合所生成的融合图,识别样本的所属家族,解决了不同家族的恶意代码可视化图像纹理相似的问题。（2）提出一种基于卷积神经网络与多特征融合的恶意代码分类方法。用恶意代码灰度图像、API函数调用与操作码的混合序列,输入多特征融合的分类器进行分类,提高了对抗反静态分析技术的能力。经实验,该方法的分类准确率达到了99.92%。