Memory combined feature classification method based on multiple BP neural networks

doi:10.11772/j.issn.1001-9081.2021010199

Abstract

Abstract:

The memory data will change after occurring the attack behaviors， and benchmark measurement used by the traditional integrity measurement system has the problems of low detection rate and lack of flexibility. Aiming at the above problems， a memory combined feature classification method based on multiple Back Propagation （BP） neural networks was proposed. Firstly， the feature value of the memory data was extracted by Measuring Object Extraction Algorithm （MOEA）. Then， the model was trained by different BP neural networks. Finally， a BP neural network was used to collect the obtained data and calculate the safety status score of the operating system. Experimental results show that compared with the traditional integrity measurement system using benchmark measurement， the proposed method has much higher accuracy and universality， and the proposed method has a detection accuracy of 98.25%， which is higher than those of Convolutional Neural Network （CNN）， K-Nearest Neighbor （KNN） algorithm and single BP neural network， verifying the proposed method can detect attack behaviors more accurately. The proposed method has the model training time about 1/3 of the traditional single BP neural network， and also has the model training speed improved compared with similar models.

Key words: memory feature, Back Propagation (BP) neural network, integrity measurement, combined feature, kernel security

摘要：

针对内存数据在攻击行为发生后会发生改变，而传统完整性度量系统使用的基准值度量存在检测率低、灵活性不足等问题的现象，提出一种基于多反向传播（BP）神经网络的内存组合特征分类方法。首先，将内存数据通过度量对象提取算法（MOEA）提取特征值；然后，分别使用不同的BP神经网络进行模型训练；最后，再通过一个BP神经网络对所得数据进行汇总，并得出操作系统安全状况评分。实验结果表明该方法与传统的使用基准值度量的完整性度量方法相比，检测准确率与普适性有较大提升；所提方法的检测准确率为98.25%，大于卷积神经网络（CNN）、K最邻近（KNN）算法与单BP神经网络，表明该方法能更加准确地发现攻击行为；所提方法的模型训练时间约为传统单BP神经网络的1/3，并且模型训练速度相较同类模型也有一定提升。

关键词: 内存特征, BP神经网络, 完整性度量, 组合特征, 内核安全

CLC Number:

TP18

Jialiang DUAN, Guoming CAI, Kaiyong XU. Memory combined feature classification method based on multiple BP neural networks[J]. Journal of Computer Applications, 2022, 42(1): 178-182.

段佳良, 蔡国明, 徐开勇. 基于多BP神经网络的内存组合特征分类方法[J]. 《计算机应用》唯一官方网站, 2022, 42(1): 178-182.

Figures/Tables 6

References 22

1	方明伟. 基于可信计算的移动智能终端安全技术研究［D］. 武汉：华中科技大学， 2012：3-7.
	FANG M W. Research on the security technologies of mobile smart terminal by using trusted computing［D］. Wuhan： Huazhong University of Science and Technology， 2012：3-7.
2	安岗，肖征荣，张延练. 智能终端安全及发展策略分析［J］. 互联网天地， 2016（12）：1-4.
	AN G， XIAO Z R， ZHANG Y L. Analysis on the security and development strategy of intelligent terminal［J］. China Internet， 2016（12）：1-4.
3	杨蓓，吴振强，符湘萍. 基于可信计算的动态完整性度量模型［J］. 计算机工程， 2012， 38（2）：78-81. 10.3969/j.issn.1000-3428.2012.02.025
	YANG B， WU Z Q， FU X P. Dynamic integrity measurement model based on trusted computing［J］. Computer Engineering， 2012， 38（2）： 78-81. 10.3969/j.issn.1000-3428.2012.02.025
4	王伟峰. 可信计算动态完整性度量模型设计与实现［D］. 长沙：国防科学技术大学， 2013：15-24.
	WANG W F. Establishment and implementation of a trusted computing dynamic integrity measurement model［D］. Changsha： National University of Defense Technology， 2013：15-24.
5	邓锐，陈左宁. 基于策略嵌入和可信计算的完整性主动动态度量架构［J］. 计算机应用研究， 2013， 30（1）：261-264. 10.3969/j.issn.1001-3695.2013.01.067
	DENG R， CHEN Z N. Policy embedded dynamic integrity active measurement architecture［J］. Application Research of Computers， 2013， 30（1）： 261-264. 10.3969/j.issn.1001-3695.2013.01.067
6	YUAN J H， ZHOU H W， KANG K D. Control flow invariant integrity measurement： cases study［C］// Proceedings of the 2020 IEEE International Conference on Artificial Intelligence and Information Systems. Piscataway： IEEE， 2020：366-370. 10.1109/icaiis49377.2020.9194906
7	BOHLING F， MUELLER T， ECKEL M， et al. Subverting Linux’ integrity measurement architecture［C］// Proceedings of the 15th International Conference on Availability， Reliability and Security. New York： ACM， 2020： No.27. 10.1145/3407023.3407058
8	路子聪，徐开勇，郭松，等. 基于ARM虚拟化扩展的Android内核动态度量方法［J］. 计算机应用， 2018， 38（9）：2644-2649. 10.11772/j.issn.1001-9081.2018010224
	LU Z C， XU K Y， GUO S， et al. Dynamic measurement of Android kernel based on ARM virtualization extension［J］. Journal of Computer Applications， 2018， 38（9）： 2644-2649. 10.11772/j.issn.1001-9081.2018010224
9	刘孜文，冯登国. 基于可信计算的动态完整性度量架构［J］. 电子与信息学报， 2010， 32（4）：875-879. 10.3724/SP.J.1146.2009.00408
	LIU Z W， FENG D G. TPM-based dynamic integrity measurement architecture［J］. Journal of Electronics and Information Technology， 2010， 32（4）： 875-879. 10.3724/SP.J.1146.2009.00408
10	辛思远，赵勇，廖建华，等. 操作系统内核的动态可信度量模型［J］. 计算机应用， 2012， 32（4）：953-956， 967. 10.3724/SP.J.1087.2012.00953
	XIN S Y， ZHAO Y， LIAO J H， et al. Dynamic trusted measurement model of operating system kernel［J］. Journal of Computer Applications， 2012， 32（4）： 953-956， 967. 10.3724/SP.J.1087.2012.00953
11	李炳龙，佟金龙，张宇，等. 基于TensorFlow的恶意代码片段自动取证检测算法［J］. 网络与信息安全学报， 2021， 7（4）：154-163.
	LI B L， TONG J L， ZHANG Y， et al. Auto forensic detecting algorithms of malicious code fragment based on TensorFlow［J］. Chinese Journal of Network and Information Security， 2021， 7（4）：154-163.
12	SAXE J， BERLIN K. Deep neural network based malware detection using two dimensional binary program features［C］// Proceedings of the 10th International Conference on Malicious and Unwanted Software. Piscataway： IEEE， 2015：11-20. 10.1109/malware.2015.7413680
13	傅依娴，芦天亮，马泽良. 基于One-Hot的CNN恶意代码检测技术［J］. 计算机应用与软件， 2020， 37（1）：304-308， 333.
	FU Y X， LU T L， MA Z L. CNN malicious code detection technology based on One-Hot［J］. Computer Applications and Software， 2020， 37（1）：304-308， 333.
14	杨晔. 基于行为的恶意代码检测方法研究［D］. 西安：西安电子科技大学， 2015：23-30. 10.12720/jcm.10.5.320-329
	YANG Y. Research on detection method of malware based on behavior［D］. Xi’an： Xidian University， 2015：23-30. 10.12720/jcm.10.5.320-329
15	LI J Y. BP neural network optimized by PSO and its application in function approximation［J］. Advanced Materials Research， 2014， 945/946/947/948/949：2413-2416. 10.4028/www.scientific.net/amr.945-949.2413
16	陈志锋，李清宝，张平，等. 基于内存取证的内核完整性度量方法［J］. 软件学报， 2016， 27（9）：2443-2458. 10.13328/j.cnki.jos.004875
	CHEN Z F， LI Q B， ZHANG P， et al. Kernel integrity measurement method based on memory forensic［J］. Journal of Software， 2016， 27（9）： 2443-2458. 10.13328/j.cnki.jos.004875
17	张瑜，刘庆中，李涛，等. 内存取证研究与进展［J］. 软件学报， 2015， 26（5）：1151-1172. 10.13328/j.cnki.jos.004821
	ZHANG Y， LIU Q Z， LI T， et al. Research and development of memory forensics［J］. Journal of Software， 2015， 26（5）： 1151-1172. 10.13328/j.cnki.jos.004821
18	TORRES A. Memory forensics in-depth［J］. SC Magazine： The International Journal of Computer Security， 2018， 28（6 App）：64-65.
19	ZHANG J， CHE S B. The research on Linux memory forensics［J］. IOP Conference Series： Materials Science and Engineering， 2018， 322（5）： No.052021. 10.1088/1757-899x/322/5/052021
20	CHENG Y X， FU X， DU X J， et al. A lightweight live memory forensic approach based on hardware virtualization［J］. Information Sciences， 2017， 379：23-41. 10.1016/j.ins.2016.07.019
21	夏克文，李昌彪，沈钧毅. 前向神经网络隐含层节点数的一种优化算法［J］. 计算机科学， 2005， 32（10）：143-145.
	XIA K W， LI C B， SHEN J Y. An optimization algorithm on the number of hidden layer nodes in feed-forward neural network［J］. Computer Science， 2005， 32（10）：143-145.
22	KHIRIRAT S， FEYZMAHDAVIAN H R， JOHANSSON M. Mini-batch gradient descent： faster convergence under data sparsity［C］// Proceedings of the IEEE 56th Annual Conference on Decision and Control. Piscataway： IEEE， 2017：2880-2887. 10.1109/cdc.2017.8264077

实验环境	配置
操作系统	ubuntu 18.04.1
处理器	Intel core i9-10900K @ 3.70 GHz
内存	32G DDR4 3 200 MHz
显卡	NVIDIA GeForce RTX 3090 24g

实验环境	配置
操作系统	ubuntu 18.04.1
处理器	Intel core i9-10900K @ 3.70 GHz
内存	32G DDR4 3 200 MHz
显卡	NVIDIA GeForce RTX 3090 24g

度量对象	特征样本数
只读数据段	503
系统调用表	128
系统异常表	83
进程	45
模块	25
熵池资源	36

度量对象	特征样本数
只读数据段	503
系统调用表	128
系统异常表	83
进程	45
模块	25
熵池资源	36

数据类型	数据总量	安全数据量	非安全数据量	准确率/%
合计/平均	2 000	920	1 080	98.25
训练数据	1 500	725	775	98.86
验证数据	300	125	175	97.67
测试数据	200	70	130	94.50