《计算机应用》唯一官方网站 ›› 2024, Vol. 44 ›› Issue (5): 1539-1545.DOI: 10.11772/j.issn.1001-9081.2023050708
所属专题: 网络空间安全
收稿日期:
2023-06-04
修回日期:
2023-09-18
接受日期:
2023-09-28
发布日期:
2024-05-10
出版日期:
2024-05-10
通讯作者:
孙敏
作者简介:
成倩(1998—),女,山西太原人,硕士研究生,主要研究方向:信息安全、深度学习基金资助:
Min SUN(), Qian CHENG, Xining DING
Received:
2023-06-04
Revised:
2023-09-18
Accepted:
2023-09-28
Online:
2024-05-10
Published:
2024-05-10
Contact:
Min SUN
About author:
CHENG Qian, born in 1998, M. S. candidate. Her research interests include information security, deep learning.Supported by:
摘要:
随着Android恶意软件的种类和数量不断增多,检测恶意软件以保护系统安全和用户隐私变得越来越重要。针对传统的恶意软件检测模型分类准确率较低的问题,提出一种基于卷积神经网络(CNN)、门控循环单元(GRU)和支持向量机(SVM)的模型CBAM-CGRU-SVM。首先,在CNN中添加卷积块注意力模块(CBAM)以学习更多恶意软件的关键特征;其次,利用GRU进一步提取特征;最后,为了解决图像分类时模型泛化能力不足的问题,使用SVM代替softmax激活函数作为模型的分类函数。实验使用了Malimg公开数据集,该数据集将恶意软件数据图像化作为模型输入。实验结果表明,CBAM-CGRU-SVM模型分类准确率达到94.73%,能够更有效地对恶意软件家族进行分类。
中图分类号:
孙敏, 成倩, 丁希宁. 基于CBAM-CGRU-SVM的Android恶意软件检测方法[J]. 计算机应用, 2024, 44(5): 1539-1545.
Min SUN, Qian CHENG, Xining DING. CBAM-CGRU-SVM based malware detection method for Android[J]. Journal of Computer Applications, 2024, 44(5): 1539-1545.
序号 | 家族名称 | 样本数 | 序号 | 家族名称 | 样本数 |
---|---|---|---|---|---|
1 | Adialer.C | 122 | 14 | Lolyda.AA 2 | 184 |
2 | Agent.FYI | 116 | 15 | Lolyda.AA 3 | 123 |
3 | Allaple.A | 2 949 | 16 | Lolyda.AT | 159 |
4 | Allaple.L | 1 591 | 17 | Malex.gen!J | 136 |
5 | Alueron.gen!J | 198 | 18 | Obfuscator.AD | 142 |
6 | Autorun.K | 106 | 19 | Rbot!gen | 158 |
7 | C2Lop.P | 146 | 20 | Skintrim.N | 80 |
8 | C2Lop.gen!G | 200 | 21 | Swizzor.gen!E | 128 |
9 | Dialplatform.B | 177 | 22 | Swizzor.gen!I | 132 |
10 | Dontovo.A | 162 | 23 | VB.AT | 408 |
11 | Fakerean | 381 | 24 | Wintrim.BX | 97 |
12 | Instantaccess | 431 | 25 | Yuner.A | 800 |
13 | Lolyda.AA 1 | 213 |
表1 在Malimg数据集中发现的恶意软件家族
Tab. 1 Malware families found in Malimg dataset
序号 | 家族名称 | 样本数 | 序号 | 家族名称 | 样本数 |
---|---|---|---|---|---|
1 | Adialer.C | 122 | 14 | Lolyda.AA 2 | 184 |
2 | Agent.FYI | 116 | 15 | Lolyda.AA 3 | 123 |
3 | Allaple.A | 2 949 | 16 | Lolyda.AT | 159 |
4 | Allaple.L | 1 591 | 17 | Malex.gen!J | 136 |
5 | Alueron.gen!J | 198 | 18 | Obfuscator.AD | 142 |
6 | Autorun.K | 106 | 19 | Rbot!gen | 158 |
7 | C2Lop.P | 146 | 20 | Skintrim.N | 80 |
8 | C2Lop.gen!G | 200 | 21 | Swizzor.gen!E | 128 |
9 | Dialplatform.B | 177 | 22 | Swizzor.gen!I | 132 |
10 | Dontovo.A | 162 | 23 | VB.AT | 408 |
11 | Fakerean | 381 | 24 | Wintrim.BX | 97 |
12 | Instantaccess | 431 | 25 | Yuner.A | 800 |
13 | Lolyda.AA 1 | 213 |
参数 | 参数值 | 参数 | 参数值 |
---|---|---|---|
Batch Size | 256 | Learning Rate | 0.001 |
Dropout | 0.85 | SVM C | 10 |
Epochs | 30 |
表2 模型参数设置
Tab. 2 Model parameter setting
参数 | 参数值 | 参数 | 参数值 |
---|---|---|---|
Batch Size | 256 | Learning Rate | 0.001 |
Dropout | 0.85 | SVM C | 10 |
Epochs | 30 |
模型 | Acc | Pre | Re | F1 |
---|---|---|---|---|
SVM | 79.31 | 81.55 | 81.49 | 81.52 |
Decision Tree | 87.38 | 89.42 | 86.27 | 87.81 |
Random Forest | 90.11 | 90.01 | 91.45 | 90.72 |
Naive Bayes | 65.84 | 65.61 | 76.81 | 70.77 |
KNN | 87.95 | 92.02 | 82.36 | 86.92 |
Adaboost | 78.92 | 77.56 | 82.73 | 80.06 |
MLP | 82.54 | 81.98 | 89.13 | 85.41 |
CBAM-CGRU-SVM | 94.73 | 95.87 | 93.92 | 94.30 |
表3 不同算法模型的检测效果 ( %)
Tab. 3 Detection effects of different algorithm models
模型 | Acc | Pre | Re | F1 |
---|---|---|---|---|
SVM | 79.31 | 81.55 | 81.49 | 81.52 |
Decision Tree | 87.38 | 89.42 | 86.27 | 87.81 |
Random Forest | 90.11 | 90.01 | 91.45 | 90.72 |
Naive Bayes | 65.84 | 65.61 | 76.81 | 70.77 |
KNN | 87.95 | 92.02 | 82.36 | 86.92 |
Adaboost | 78.92 | 77.56 | 82.73 | 80.06 |
MLP | 82.54 | 81.98 | 89.13 | 85.41 |
CBAM-CGRU-SVM | 94.73 | 95.87 | 93.92 | 94.30 |
模型 | Acc | Pre | Re | F1 |
---|---|---|---|---|
CNN-softmax | 82.42 | 83.51 | 82.38 | 82.94 |
CGRU-SVM | 85.92 | 86.71 | 85.16 | 85.93 |
CBAM-CNN-SVM | 90.23 | 90.03 | 90.00 | 90.01 |
CBAM-CGNN-softmax | 92.91 | 92.88 | 92.90 | 92.89 |
CBAM-CGRU-SVM | 94.73 | 95.87 | 93.92 | 94.30 |
表4 消融实验结果 ( %)
Tab. 4 Results of ablation experiments
模型 | Acc | Pre | Re | F1 |
---|---|---|---|---|
CNN-softmax | 82.42 | 83.51 | 82.38 | 82.94 |
CGRU-SVM | 85.92 | 86.71 | 85.16 | 85.93 |
CBAM-CNN-SVM | 90.23 | 90.03 | 90.00 | 90.01 |
CBAM-CGNN-softmax | 92.91 | 92.88 | 92.90 | 92.89 |
CBAM-CGRU-SVM | 94.73 | 95.87 | 93.92 | 94.30 |
模型 | Acc/% | Pre/% | Re/% | F1/% | 训练时间/s |
---|---|---|---|---|---|
文献[ | 91.90 | 91.90 | 91.26 | 91.57 | 466 |
文献[ | 86.80 | 87.00 | 87.00 | 87.00 | 512 |
文献[ | 94.03 | 94.03 | 99.15 | 96.97 | 437 |
文献[ | 94.27 | 94.14 | 94.02 | 94.08 | 2 224 |
本文方法模型 | 94.73 | 95.87 | 93.92 | 94.30 | 253 |
表5 本文方法模型与其他方法模型在Malimg数据集上的比较
Tab. 5 Comparison of proposed model with other models onMalimg dataset
模型 | Acc/% | Pre/% | Re/% | F1/% | 训练时间/s |
---|---|---|---|---|---|
文献[ | 91.90 | 91.90 | 91.26 | 91.57 | 466 |
文献[ | 86.80 | 87.00 | 87.00 | 87.00 | 512 |
文献[ | 94.03 | 94.03 | 99.15 | 96.97 | 437 |
文献[ | 94.27 | 94.14 | 94.02 | 94.08 | 2 224 |
本文方法模型 | 94.73 | 95.87 | 93.92 | 94.30 | 253 |
1 | Statcounter. Mobile operating system market share worldwide [EB/OL]. (2022-03-31) [2023-01-30]. . |
2 | Google. GooglePlay[EB/OL]. (2022-12-24) [2023-02-07]. . |
3 | Wired. Google’s training its AI to be Android’s security guard [EB/OL]. (2016-06-02) [2023-02-26]. . |
4 | LeCUN Y, BENGIO Y, HINTON G. Deep learning[J]. Nature, 2015, 521(7553): 436-444. 10.1038/nature14539 |
5 | STAUDEMEYER R C. Applying long short-term memory recurrent neural networks to intrusion detection[J]. South African Computer Journal, 2015, 56(1): 136-154. 10.18489/sacj.v56i1.248 |
6 | SHIN E C R, SONG D, MOAZZEZI R. Recognizing functions in binaries with neural networks[C]// Proceedings of the 24th USENIX Conference on Security Symposium. Berkley: USENIX Association, 2015: 611-626. |
7 | SAXE J, BERLIN K. Deep neural network based malware detection using two dimensional binary program features[C]// Proceedings of the 2015 10th International Conference on Malicious and Unwanted Software. Piscataway: IEEE, 2015: 11-20. 10.1109/malware.2015.7413680 |
8 | WANG Z. The applications of deep learning on traffic identification[J]. Black Hat USA, 2015, 24(11): 1-10. |
9 | IMTIAZ S I, REHMAN S UR, JAVED A R, et al. DeepAMD: detection and identification of Android malware using high-efficient deep artificial neural network[J]. Future Generation computer systems, 2021, 115: 844-856. 10.1016/j.future.2020.10.008 |
10 | 李玉,罗森林,郝靖伟,等.基于抽象汇编指令的恶意软件家族分类方法[J].北京航空航天大学学报,2022,48(2):348-355. |
LI Y, LUO S L, HAO J W, et al. Malware family classification method based on abstract assembly instructions[J]. Journal of Beijing University of Aeronautics and Astronautics, 2022, 48(2): 348-355. | |
11 | HOSSEINI S, NEZHAD A E, SEILANI H. Android malware classification using convolutional neural network and LSTM[J]. Journal of Computer Virology and Hacking Techniques, 2021, 17: 307-318. 10.1007/s11416-021-00385-z |
12 | KIM J, BAN Y, KO E, et al. MAPAS: a practical deep learning-based android malware detection system[J]. International Journal of Information Security, 2022, 21: 725-738. 10.1007/s10207-022-00579-6 |
13 | BAKOUR K, ÜNVER H M. DeepVisDroid: Android malware detection by hybridizing image-based features with deep learning techniques[J]. Neural Computing and Applications, 2021, 33: 11499-11516. 10.1007/s00521-021-05816-y |
14 | VASAN D, ALAZAB M, WASSAN S, et al. IMCFN: image-based malware classification using fine-tuned convolutional neural network architecture[J]. Computer Networks, 2020, 171: 107138. 10.1016/j.comnet.2020.107138 |
15 | 李一萌, 李成海, 宋亚飞, 等. 基于 Attention-DenseNet-BC 的恶意软件家族分类方法[J]. 计算机科学, 2021, 48(10): 308-314. |
LI Y M, LI C H, SONG Y F, et al. Method of malware family classification based on Attention-DenseNet-BC model mechanism[J]. Computer Science, 2021, 48(10): 308-314. | |
16 | GO J H, JAN T, MOHANTY M, et al. Visualization approach for malware classification with ResNeXt[C]// Proceedings of the 2020 IEEE Congress on Evolutionary Computation. Piscataway: IEEE, 2020: 1-7. 10.1109/cec48606.2020.9185490 |
17 | CHO K, VAN MERRIENBOER B, GULCEHRE C, et al. Learning phrase representations using RNN encoder-decoder for statistical machine translation[EB/OL]. (2014-09-03) [2023-01-17]. . 10.3115/v1/d14-1179 |
18 | WOO S, PARK J, LEE J-Y, et al. CBAM: convolutional block attention module[C]// Proceedings of the 15th European Conference on Computer Vision. Cham: Springer, 2018: 3-19. 10.1007/978-3-030-01234-2_1 |
19 | NATARAJ L, KARTHIKEYAN S, JACOB G, et al. Malware images: visualization and automatic classification[C]// Proceedings of the 8th International Symposium on Visualization for Cyber Security. New York: ACM, 2011: No.4. 10.1145/2016904.2016908 |
20 | LU Y, SHETTY S. Multi-class malware classification using deep residual network with non-softmax classifier[C]// Proceedings of the 2021 IEEE 22nd International Conference on Information Reuse and Integration for Data Science. Piscataway: IEEE, 2021: 201-207. 10.1109/iri51335.2021.00033 |
21 | ABHESA R A, HENDRAWAN, IAMAIL S J I. Classification of malware using machine learning based on image processing[C]// Proceedings of the 2021 15th International Conference on Telecommunication Systems, Services, and Applications. Piscataway: IEEE, 2021: 1-4. 10.1109/tssa52866.2021.9768222 |
22 | ONOJA M, JEGEDE A, MAZADU J, et al. Exploring the effectiveness and efficiency of LightGBM algorithm for windows malware detection[C]// Proceedings of the 5th Information Technology for Education and Development. Piscataway: IEEE, 2022: 1-6. 10.1109/ited56637.2022.10051488 |
[1] | 李云, 王富铕, 井佩光, 王粟, 肖澳. 基于不确定度感知的帧关联短视频事件检测方法[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2903-2910. |
[2] | 秦璟, 秦志光, 李发礼, 彭悦恒. 基于概率稀疏自注意力神经网络的重性抑郁疾患诊断[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2970-2974. |
[3] | 薛桂香, 王辉, 周卫峰, 刘瑜, 李岩. 基于知识图谱和时空扩散图卷积网络的港口交通流量预测[J]. 《计算机应用》唯一官方网站, 2024, 44(9): 2952-2957. |
[4] | 陈虹, 齐兵, 金海波, 武聪, 张立昂. 融合1D-CNN与BiGRU的类不平衡流量异常检测[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2493-2499. |
[5] | 赵宇博, 张丽萍, 闫盛, 侯敏, 高茂. 基于改进分段卷积神经网络和知识蒸馏的学科知识实体间关系抽取[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2421-2429. |
[6] | 张春雪, 仇丽青, 孙承爱, 荆彩霞. 基于两阶段动态兴趣识别的购买行为预测模型[J]. 《计算机应用》唯一官方网站, 2024, 44(8): 2365-2371. |
[7] | 高阳峄, 雷涛, 杜晓刚, 李岁永, 王营博, 闵重丹. 基于像素距离图和四维动态卷积网络的密集人群计数与定位方法[J]. 《计算机应用》唯一官方网站, 2024, 44(7): 2233-2242. |
[8] | 王东炜, 刘柏辰, 韩志, 王艳美, 唐延东. 基于低秩分解和向量量化的深度网络压缩方法[J]. 《计算机应用》唯一官方网站, 2024, 44(7): 1987-1994. |
[9] | 沈君凤, 周星辰, 汤灿. 基于改进的提示学习方法的双通道情感分析模型[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1796-1806. |
[10] | 姚迅, 秦忠正, 杨捷. 生成式标签对抗的文本分类模型[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1781-1785. |
[11] | 黄梦源, 常侃, 凌铭阳, 韦新杰, 覃团发. 基于层间引导的低光照图像渐进增强算法[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1911-1919. |
[12] | 李健京, 李贯峰, 秦飞舟, 李卫军. 基于不确定知识图谱嵌入的多关系近似推理模型[J]. 《计算机应用》唯一官方网站, 2024, 44(6): 1751-1759. |
[13] | 席治远, 唐超, 童安炀, 王文剑. 基于双路时空网络的驾驶员行为识别[J]. 《计算机应用》唯一官方网站, 2024, 44(5): 1511-1519. |
[14] | 高文烁, 陈晓云. 基于节点结构的点云分类网络[J]. 《计算机应用》唯一官方网站, 2024, 44(5): 1471-1478. |
[15] | 陈天华, 朱家煊, 印杰. 基于注意力机制的鸟类识别算法[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1114-1120. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||