基于機器學習的惡意軟件檢測研究進展及挑戰
2020年信息技術與網絡安全第11期
景鴻理1,黃 娜1,2,李建國1
1.北京天融信科技有限公司,北京100085;2.北京工業大學,北京100124
摘要: 由于惡意軟件的數量日漸龐大,攻擊手段不斷更新,結合機器學習技術是惡意軟件檢測發展的一個新方向。先簡要介紹惡意軟件檢測中的靜態檢測方法以及動態檢測方法,總結基于機器學習的惡意軟件檢測一般流程,回顧了研究進展。通過使用Ember 2017和Ember 2018數據集,分析驗證了結構化特征相關方法,包括隨機森林(Random Forest,RF)、LightGBM、支持向量機(Support Vector Machine,SVM)、K-means以及卷積神經網絡(Convolutional Neural Network,CNN)等算法模型;使用收集的2019年樣本集分析驗證了序列化特征相關方法,包括幾種常見的深度學習算法模型。計算模型以在不同測試集上的準確率、精確率、召回率以及F1-值作為評估指標。根據實驗結果分析討論了各類方法的優缺點,著重驗證分析了樹模型的泛化能力,表明隨著樣本的不斷演變,模型普遍存在退化問題,并指出進一步研究方向。
中圖分類號: TP391
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.11.006
引用格式: 景鴻理,黃娜,李建國. 基于機器學習的惡意軟件檢測研究進展及挑戰[J].信息技術與網絡安全,2020,39(11):38-44,68.
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.11.006
引用格式: 景鴻理,黃娜,李建國. 基于機器學習的惡意軟件檢測研究進展及挑戰[J].信息技術與網絡安全,2020,39(11):38-44,68.
Research progress and challenges of malware detection method based on machine learning
Jing Hongli1,Huang Na1,2,Li Jianguo1
1.Beijing Topsec Science & Technology Inc.,Beijing 100085,China; 2.Beijing University of Technology,Beijing 100124,China
Abstract: Due to the increasing number of malware and the updated attack means, malware detection combined with machine learning technology is a new direction of its development. Firstly, this paper introduces the static detecting methods and dynamic detecting methods of malware briefly; summarizes the general process of malware detecting methods based on machine learning, and reviews the existing methods with research progress. Using the data sets of Ember 2017 and Ember 2018, the structural feature correlation methods, including RF(Random Forest), LightGBM, SVM(Support Vector Machine), K-means and CNN(Convolutional Neural Network), are analyzed and validated,and the 2019 sample set analysis is used to validate the serialization feature correlation method, including several common deep learning algorithm models. The accuracy, precision, recall and F1_score of the trained model on different testing data sets are calculated as evaluating metrics. According to the experimental results, the advantages and disadvantages of various methods are discussed in this paper, the generalization ability of the tree model is verified and analyzed emphatically. It is shown that the model generally has degradation problem with the continuous evolution of samples, and the further research direction is pointed out at last.
Key words : malware detection;static detection of malware;machine learning;LightGBM;random forest
0 引言
惡意軟件是計算機與網絡領域不可避免的一項安全風險,也是安全研究者聚焦的研究熱點之一。用戶的隱私數據、個人信息及財產,都是惡意軟件攻擊的目標[1]。惡意軟件自身的一些特性為檢測提供了可能性和有利條件,安全研究人員提出了很多檢測分析方法來遏制、打擊惡意軟件的發展勢頭。計算機技術高速發展,不僅為人們的日常生活和工作帶來了便利,也促使黑客的攻擊手段和技術不斷提高,使得惡意軟件變得更加多元化,而且利用無線網絡、局域網絡、可移動設備等多種傳播渠道快速傳播,數量與日俱增,傳統的基于特征庫匹配等技術顯得效率不足[2]。因此,研究者逐漸趨向于使用機器學習技術,來應對惡意軟件難以預測的變種和日益龐大的數量[3]。
目前已經有許多機器學習技術和框架被研究提出,應用于惡意軟件檢測,起到了非常可觀的效果。根據SGANDURRA D等[4]在2016年的調研,使用機器學習技術的靜態檢測方法準確率達到90%以上,動態檢測方法準確率能夠達到96%以上,經過近幾年的繼續發展,此類方法的性能得到了進一步提高。基于機器學習技術建立智能化檢測模型,形成阻斷惡意軟件的一道防線,是技術突破與市場拓展的一個新方向,具有重要的研究意義和應用價值。
本文總結了基于機器學習的惡意軟件檢測方法的一般流程,回顧現有的研究成果;分別對結構化特征相關方法以及序列化特征相關方法進行了實驗驗證,結合實驗結果分析討論各類方法的適用場景以及面臨的挑戰,最后指出進一步研究方向。
本文詳細內容請下載:http://m.jysgc.com/resource/share/2000003173
作者信息:
景鴻理1,黃 娜1,2,李建國1
(1.北京天融信科技有限公司,北京100085;2.北京工業大學,北京100124)
此內容為AET網站原創,未經授權禁止轉載。