基于注意力機制的病毒軟件可視化檢測方法

趙晨潔 左羽 崔忠偉 李亮亮 吳戀 王永金 韋萍萍

摘 ?要：針對當前的病毒軟件檢測方法難以應對大數據時代下病毒軟件快速分類問題，提出一種病毒可視化檢測的分類方法。詳細闡述了病毒軟件可視化過程，并提出一種卷積神經網絡結合注意力機制的模型（即CNN_CBAM模型）進行病毒軟件家族分類的深度學習方法。病毒軟件樣本采用BIG2015和Malimg數據集，將其進行可視化，并將CNN_CBAM模型在可視化后的數據集上進行訓練。實驗結果顯示，CNN_CBAM模型能夠有效地對病毒軟件家族進行分類，且效果優于其他深度學習模型，其準確率比CNN_SVM病毒分析的方法提升16.77%。

關鍵詞：病毒軟件;深度學習;灰度圖;可視化;注意力機制

中圖分類號：TP391.41 ? ? 文獻標識碼：A

Abstract： Current virus software detection methods have difficulty in grappling with the rapid classification of virus software in big data era. In view of this issue， this paper proposes a classification method for virus visual detection， which elaborates on the visualization process of virus software. It proposes a deep learning method of convolutional neural network combined with attention mechanism model （ie CNN_CBAM model， Convolutional Neural Network_Convolutional Block Attention Module） to classify virus software families. Virus software samples use the BIG2015 and Malimg datasets， which are visualized in this paper. The proposed CNN_CBAM model is trained on the visualized dataset. The experimental results show that the CNN_CBAM model proposed in this paper can effectively classify the virus software families， and it is better than other deep learning models. Its accuracy rate is 16.77% higher than that of CNN_SVM virus analysis method.

Keywords： virus software; deep learning; grayscale image; visualization; attention mechanism

1 ? 引言（Introduction）

病毒軟件是一種破壞計算機系統的軟件產品，又稱惡意軟件[1]。2020年7月McAfee Labs發布的威脅報告[2]顯示，在2019年第一季度，病毒軟件已經突破9 億;而在病毒二進制可執行文件方面，從2017年至2019年間，單季度最高新增量高于110 萬。計算機病毒的數量一直趨于增長狀態，造成的損失也在一直增加。

隨著網絡的大量智能化軟件興起，病毒軟件開發者為了防止被檢測系統發現，不斷修改現有的病毒軟件，使得病毒的特征難以確定。常用的病毒軟件檢測方法是將檢測修改后的病毒軟件的特征進行存儲，再通過匹配來檢測新的病毒軟件，但由于存儲病毒的特征價格昂貴并且低效，因此研究如何不使用存儲特征識別病毒軟件是很有必要的。

2 ?病毒軟件檢測算法（Virus software detection algorithm）

2.1 ? 靜態方法

靜態分析[3]是對病毒軟件不執行，直接分析其行為，對該宿主機的操作系統不進行破壞。靜態分析常用方式包括語法庫調用、操作碼頻率分布、字節序列、n-gram、字符串簽名等。

MA[4]等人提出的語庫法調用，與示例惡意軟件數據進行語義比較得出分類結果;CHARIKAR[5]等人提出的字符串簽名，是將可移植可執行文件（PE）、字符串和字節序列三種不同的靜態特性結合起來對病毒軟件進行分類;LI[6]等人提出的字符串簽名，根據字符串簽名的功能長度結合其特征識別病毒軟件;SANTOS[7]等人提出操作碼頻率分布，通過掌握每個操作碼的相關性，衡量操作碼序列頻率來檢測惡意軟件;KANG[8]等人提出基于n-gram特征，利用機器學習識別病毒軟件。

2.2 ? 動態方法

動態分析是在宿主機安全的情況下（如模擬器、沙箱或虛擬機等）對病毒軟件進行執行并分析，但對病毒軟件的進程監視、安裝、激活等需要大量的時間和計算。ZOLKIPLI[9]等人提出的基于行為方法，是將病毒軟件進行動態分析，使用HoneyClients和Amun收集惡意軟件的行為;ANDERSON[10]等人提出的基于行為檢測，是在CWSandbox和Anubis兩個虛擬平臺上執行每個樣本，根據動態收集指令蹤跡構建圖形的分析識別;LIN[11]等人提出的API調用監控，是應用無監督非負矩陣分解（NMF）進行聚類分析，從大量API調用監控中提取API檢測出類似的惡意軟件樣本;SHAHZAD[12]等人提出的交通流序列模式，是一種基于流特征聚類和序列比對的算法，分析了交通流序列模式之間的序列相似性。

2.3 ? 可視化分析方法

在網絡安全空間中，病毒軟件樣本數據量激增、二進制可執行文件特征量龐大等因素使得大量研究人員嘗試將病毒二進制文件進行可視化并用深度學習方法來檢測病毒軟件。

YOO[13]等人提出的映射，是使用自組織映射來可視化和檢測病毒;LORENZO[14]等人提出的動態分析、可視化，是一個可視化地表示程序的總體流程，它依賴以太虛擬機監控程序來基于動態分析秘密地監控程序的執行;RIECK[15]等人提出的API調用監控、可視化，是使用樹狀圖和線程圖收集有關API調用的信息和在沙箱中執行的操作;ZHANG[16]等人提出的操作碼序列可視化，其操作碼是二進制可執行文件分解而成的，他們使用卷積神經網絡（CNN）的方法來識別一個二進制可執行文件是否是惡意的;NATARAJ[17]等人，首次將惡意軟件的二進制文件可視化為灰度圖像;SHANKARPANI[18]等人，采用近鄰算法并融合歐氏距離方法，將可執行文件轉化為灰度圖像，使用支持向量機（SVMs）對其進行檢測。為了解決宿主機安全環境搭建復雜、傳統機器學習方法提取高維度特征困難的問題，提供更精準的識別病毒的軟件家族，本文提出了使用二進制可視化將二進制文件進行關鍵信息提取，而后進行灰度圖像的轉化，并通過CNN_CBAM模型進行病毒軟件家族分類。

3 ?構建CNN_CBAM病毒檢測模型（Construction of virus detection model CNN_CBAM）

3.1 ? 注意力機制

注意力機制模塊（Convolutional Block Attention Module，簡稱CBAM模塊）[19]，結合空間和通道注意力機制，通過上一層輸出的特征作為通道注意力模塊的輸入，經過通道注意力模塊后得到的權值，是空間注意力模塊的輸入，回溯到原始的灰度圖像，分析出病毒存在的具體位置，最后輸出相關的特征值。CBAM模塊整體流程，如圖1所示。

3.2 ? 模型搭建

本文在卷積神經網絡中添加CBAM模塊（注意力機制），對病毒的圖像關注通道的同時也關注了空間，對病毒圖像進行更深層的學習，從而識別出病毒圖像種族。整體的病毒訓練模型是將原始病毒文件進行可視化轉化，將轉化后的圖像放入本文設計的CNN_CBAM模型中進行訓練識別。病毒檢測整體框架，如圖2所示。

將病毒文件轉化為灰度圖像作為CNN_CBAM模型的輸入，經過四層卷積核大小為、padding=“same”的卷積層。為了病毒圖像特征更好地展示，便于識別，加入CBAM模塊得到哪些病毒特征需要關注和需要關注病毒圖像位置的權重。將權重與第四層卷積后的特征相乘，得到的病毒特征更加有效，最后通過Softmax函數進行病毒種族分類，采用測試集數據驗證模型。

3.3 ? 模型訓練

本文病毒檢測模型主要是將病毒軟件轉化為圖像后，傳入本文設計的CNN_CBAM模型中。CNN_CBAM模型由四層卷積、一個CBAM和一個全連接層構成。

圖6和圖8是不同數據集在CNN_CBAM中的損失，能明顯看出訓練集的損失一直在降低，驗證集的損失與訓練集的損失高度契合。圖7和圖9是Malimg數據集和BIG2015數據集在CNN_CBAM中的準確率，發現在BIG2015數據集中第8輪epoch之后開始趨于穩定在98%左右。在Malimg數據集訓練中第6輪的epoch有低谷出現，主要是測試樣本有一些病毒軟件的圖像比較特殊，在訓練集里沒有包含測試集中的樣本，導致無法準確學習到該樣本的特征值。

圖10和圖11是Malimg數據集在Inception V3模型中的訓練結果，從圖中能明顯發現在第5輪epoch中Loss和ACC大幅度升降，并且驗證集的ACC不穩定，雖然最后訓練達到了98.5%。同樣，在BIG2015數據集中也是類似的情況，在Inception V3中BIG2015的準確率只達到了91.32%，但還是證明Inception V3對于處理病毒圖像有一定效果。綜上所述，無論是在Malimg數據集還是BIG2015數據集中，本文CNN_CBAM模型的訓練精確度高于Inception V3，病毒識別效果有較大的提升。

4.4.2 ? 不同數據集對比

本實驗采用Malimg數據集、BIG2015數據集分別在Inception V3、本文CNN_CBAM模型中進行對比，最終結果為混淆矩陣，對角線上的數字在該行數字的值越大說明效果越好。圖14至圖17是各個模型的結果。

從圖14和圖15中可以看出，模型Inception V3在病毒圖像Malimg數據集和BIG2015數據集中預測效果不佳，無法準確識別Malimg數據集類型為Lolyda.AA3和BIG2015數據集類型為Simda。這是因為Lolyda.AA3和Simda病毒種族的樣本數量小，在訓練時無法對其中的特征進行提取，造成無法識別，同時也說明了現在流行的深度學習模型不能通用于病毒圖像的識別。

從圖16分析可知，本文設計的模型對Malimg數據集的分類有較高的準確率，在樣本較少的Lolyda.AA3種族中也可以進行準確的識別，說明本文在卷積神經網絡后加入的注意力機制可以準確地提取病毒灰度圖像的特征，無論樣本大小，能夠準確地對需要特別關注的特征進行提取。

從圖17中可以看出，本文設計的CNN_CBAM模型在BIG2015數據集中的效果比Inception V3模型的效果較好，只是無法準確預測到Simda病毒種類。由于該病毒種類的樣本較少，因此訓練時無法達到精確度非常高的水平，但本文模型對其他病毒種類的識別精確度相對較高，較Inception V3模型有很大的提升。

為了更好地說明本文提出的CNN_CBAM模型的檢測效果，找到與本文相對應的BIG2015數據集，文獻[22]用CNN_SVM對病毒軟件進行檢測與之對比，如表4所示。

從表4中可以發現，本文CNN_CBAM模型在BIG2015數據集中的準確率較CNN_SVM模型提升0.1677;精確率較Inception V3模型提升0.09，較CNN_SVM模型提升0.05;召回率提升至0.85;F1-Score提升至0.86，充分說明將病毒特征放入CNN_CBAM模型中能夠更加準確地識別細微的特征，使得識別病毒更加準確。

5 ? 結論（Conclusion）

本次實驗說明了深度學習對病毒識別是很有幫助的，通過將病毒轉化為可視化圖像，能夠讓網絡學習到更多人工無法提取的特征，并且本文加入了CNN_CBAM模型，通過將病毒特征放入通道注意力模塊中，確定具體哪些病毒特征值得關注，再經過空間注意力機制，確定具體哪些位置的病毒特征需要加強學習，使得病毒特征能更好地被學習到。

但有些病毒軟件的無效信息太多，直接轉化為圖像使得圖像的信息量過大，在卷積神經網絡中學習會影響學習的特征，以后在病毒軟件檢測可視化中可以考慮將病毒文件的特征提取后再進行可視化對其進行分類。

參考文獻（References）

[1] YASSINE L， LANET J L， SOUIDI E M. A behavioural in-depth analysis of ransomware infection[J]. IET Information Security， 2020， 15（1）：38-58.

[2] 瑞星.2020年上半年中國網絡安全報告[EB/OL].[2020-04-28].? ? ?http：//it.rising.com.cn/d/file/it/dongtai/20210113/2020.pdf.

[3] FIRDAUS A， ANUAR N B， KARIM A， et al. Discovering optimal features using static analysis and a genetic search based method for Android malware detection[J]. Frontiers of Information Technology & Electronic Engineering， 2018， 19（06）：712-737.

[4] MA X， GUO S， BAI W， et al. An API semantics-aware malware detection method based on deep learning[J]. Security and Communication Networks， 2019（1）：1-9.

[5] CHARIKAR M S. Similarity estimation techniques from rounding algorithms[J]. Applied and Computational Harmonic Analysis， 2016， 2（3）：380-388.

[6] LI D， LI Q， YE Y， et al. A framework for enhancing deep neural networks against adversarial malware[J]. Ijcsa， 2020， 2（3）：315-321.

[7] SANTOS I， BREZO F， NIEVES J， et al. Idea： Opcode-sequence-based malware detection[C]// Engineering Secure Software and Systems. Computer Science. Berlin， Heidelberg： Springer， 2010：6-13.

[8] KANG B J， YERIMA S Y， SEZER S， et al. N-gram opcode analysis for android malware detection[J]. Ijcsa， 2016， 1（1）：? ? ? 231-255.

[9] ZOLKIPLI M F， JANTAN A. A framework for defining malware behavior using run time analysis and resource monitoring[C]// Software Engineering and Computer Systems. Communications in Computer and Information Science. Berlin， Heidelberg： Springer， 2011：199-209.

[10] ANDERSON B， QUIST D， NEIL J， et al. Graph-based malware detection using dynamic analysis[J]. Journal in Computer Virology， 2011， 7（4）：247-258.

[11] LIN Q G， LI N， QI Q， et al. Using API call sequences for IoT malware classification based on convolutional neural networks[J]. International Journal of Software Engineering and Knowledge Engineering， 2021， 31（04）：587-612.

[12] SHAHZAD F， SHAHZAD M， FAROOQ M. In-execution dynamic malware analysis and detection by mining information in process control blocks of Linux OS[J]. Information Sciences， 2013， 231（9）：45-63.

[13] YOO S， KIM S， KIM S， et al. AI-HydRa： Advanced hybrid approach using random forest and deep learning for malware classification[J]. Information Sciences， 2020， 546（2）：420-435.

[14] LORENZO A D， MARTINELLI F， MEDVET E， et al. Visualizing the outcome of dynamic analysis of android malware with VizMal[J]. Information Security Technical Report， 2020， 50（2）：1-9.

[15] RIECK K， TRINIUS P， Willems C， et al. Automatic analysis of malware behavior using machine learning[J]. Journal of Computer Security， 2011， 19（4）：639-668.

[16] ZHANG T R， YANG L X， YANG X F， et al. Dynamic malware containment under an epidemic model with alert[J]. Physica A： Statistical Mechanics and its Applications， 2017， 3（470）：249-260.

[17] NATARAJ L， KARTHIKEYAN S， JACOB G， et al. Malware images： Visualization and automatic classification[C]// International Conference Proceeding Series （ICPS）. 2011 International Symposium on Visualization for Cyber Security. New York， USA： ACM， 2011：11-20.

[18] SHANKARPANI M K， KANCHERLA K， MOVVA R， et al. Computational intelligent techniques and similarity measures for malware classification[J]. Computational Intelligence for Privacy and Security， 2012， 394（1）：215-236.

[19] WOO S， PARK J， LEE J Y， et al. CBAM： Convolutional block attention module[J]. European Conference on Computer Vision， 2018， 10（8）：168-203.

[20] KAGGLE. Microsoft malware classi?cation challenge（BIG2015）[EB/OL]. [2015-3-19]. https：//www.kaggle.com/c/malware-classification.

[21] SWAMI A， JAIN R. Scikit-learn： Machine learning in python[J]. Journal of Machine Learning Research， 2013， 12（10）：2825-2830.

[22] AGARAP A F. Towards building an intelligent anti-malware system： A deep learning approach using support vector machine （svm） for malware classification[J]. ArXiv Preprint， 2017， 8（1）：45-52.

作者簡介：

趙晨潔（1995-），女，碩士生.研究領域：圖像處理，深度學習.

左 ? 羽（1962-），男，碩士，教授.研究領域：網絡安全，機器學習，圖像處理，深度學習.

崔忠偉（1980-），男，博士，副教授.研究領域：物聯網技術，機器學習.

李亮亮（1994-），男，碩士生.研究領域：圖像處理，深度學習.

吳 ?戀（1986-），女，博士，副教授.研究領域：通信與信息系統，機器學習，圖像處理.

王永金（1994-），男，碩士生.研究領域：圖像處理，深度學習.

韋萍萍（1975-），女，博士，副教授.研究領域：圖像處理，深度學習.