引言
随着互联网技术快速发展,恶意软件数量不断增多,其攻击方式也变得更加隐蔽,这让基于动态行为分析[1]的技术成为检测未知威胁的关键手段。面对维度高且规模大的动态行为日志数据,实现恶意特征的高效提取与精准识别已经成为当前网络安全领域亟需突破的关键技术挑战。
目前学术界大多借助深度学习算法来达成此类任务的自动化处理,然而单一网络架构在处理高维长序列日志时仍存在缺陷,卷积神经网络(CNN)可以有效地借助滑动窗口机制来提取局部行为特征,但受限于卷积核感受野,很难有效地对长程语义关联进行建模,而基于自注意力机制的Transformer以及采用门控结构的LSTM[2]模型虽然在时序依赖关系建模方面有着出色表现,但是在面对高维长序列行为数据时,还是会面临计算并行性不足或者局部特征表征能力欠缺等技术难题。此外,仿真日志数据里普遍存在的随机噪声进一步降低了模型的鲁棒性。
针对上述问题,本文提出一种将多尺度CNN和Transformer[3]结合起来的恶意软件检测方法,该方法先采用基于核心行为的序列去噪以及复合事件标记化策略有效过滤冗余噪声,接着构建混合网络结构,利用多尺度CNN[4]捕捉局部攻击特征,并且借助Transformer机制挖掘全局长程依赖关系,最终实现对恶意代码的高效识别。在Speakeasy数据集上的实验验证了此方法在长序列建模问题方面的出色表现:检测准确率提升至9229%,F1Score提升至9248%,维持了较高的检测精度,又降低了漏报数量,为恶意软件检测[5]提供了一种高效且可靠的技术解决方案。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000007058
作者信息:
刘帅1,2,王小英1,2,戚盼盼1,2,崔方方1,2,谷瑞泽1,2
(1.应急管理大学计算机科学与工程学院,河北廊坊065201;
2.廊坊市网络应急保障与网络安全重点实验室,河北廊坊065201)
