3.1.3 灰度图特征提取,实现家族聚类
图像增强之后的灰度图像数据维度较高,利用降维算法(Locally Linear Embedding,LLE)对图像进行降维。通过Canopy-K-means聚类算法实现对灰度图像的特征提取及聚类,聚类结果如图5所示。通过微软的MSE杀毒软件实现灰度图的家族标注,本文的数据集通过MSE标记为8个APT攻击恶意代码家族,如表1所示的VBInject.WX、VBInject.gen!JD、Beebone.DN等。通过家族聚类,可以将检测到的未知APT攻击恶意代码进行同源性归类,提高代码的分析效率,如图6所示。
3.1.4 APT攻击恶意代码变体识别
在将实验数据用于深度学习模型训练之前,本文先将数据进行了特征提取和聚类,并进行了APT攻击恶意代码家族的标注。将前文所获得的实验数据集分为训练和测试数据集,比例控制在8:2。利用训练数据集训练预先设好的基于AlexNet卷积神经网络的模型,通过参数调节,训练获得理想模型,再用测试数据集测试所获模型,以取得最优模型,对APT攻击恶意代码及其变体进行检测。
3.2 神经网络模型构建
本文所构建的神经网络是基于AlexNet模型的卷积神经网络。AlexNet模型基于LeNet网络模型,该模型首次将线性整流函数(ReLU)用作卷积神经网络的激活函数;并采用局部响应归一化(LRN)对ReLU得到的结果进行归一化处理,如公式(1)所示;引入了数据增强技术,扩充了有限的数据;并通过引入Dropout,确保结果不会过拟合;且AlexNet模型使用多图形处理器(GPU)进行训练,具有较高的训练速度。网络由5层卷积层、3层全连接层构成,激活单元采用ReLU激活函数,为防止网络过拟合,在全连接层后连接Dropout层。图7和图8分别为卷积块网络结构和全连接块网络结构。
4 实验及结果分析
4.1 实验设置
4.1.1 环境设置
本文所采用的设备信息如下:Intel(R) Core(TM) i7-10875H CPU @ 2.3GHz;32GB内存;显卡为NVIDIA GeForce RTX2070,8G显存。采用GPU计算,使用的CUDA版本为11.2。本文使用基于Python的Tensorflow框架搭建模型。
4.1.2 数据集
本文所采用的实验数据来源为VirusShare网站开源APT攻击二进制恶意代码样本集合,包含VBInject.WX、VBInject.gen!JD、Beebone.DN等8个家族APT攻击恶意代码。APT恶意代码家族列表及其变体样本灰度图数量如表1所示。
为了避免过拟合,本文将所获得的APT攻击恶意代码及其变体样本经过处理后,映射成灰度图像,并对灰度图像进行数据增强操作,增大训练数据量,提高模型的泛化能力和鲁棒性。图9为APT攻击恶意代码样本的灰度图像经过数据增强之后的前后对比。
4.2 实验评价指标
APT攻击恶意代码及其变体识别属于多分类问题,在评价该模型时,通常将总的评价任务拆分为多个二分类问题。通过将实验结果绘制成混淆矩阵,获得模型的准确度;并通过损失函数曲线来评价模型的预测值与真实值之间的误差,同时利用准确率曲线直观的展现模型预测的准确性。在验证阶段,本文采用了K-fold交叉验证的方式,K值选定为10。实验中所用的评价指标包括准确率(Accuracy)、精确率(Precision)、召回率(Recall),如公式(2)―(4)所示。
4.3 实验结果分析
从实验中所绘制的准确度和损失函数图可以清晰地发现,随着训练轮次的推进,损失函数逐渐下降、准确率逐渐提高,从图10中可以发现,在第10轮之前损失函数值变化迅速,模型收敛速度较快,在10轮之后损失值趋向于稳定,并接近于0;图11展示的是准确率变化趋势图,可从图12中发现,在20轮之后,准确率值趋向于稳定,在该实验数据集上平均准确率可达到98.84%,图13展示了检测模型的混淆矩阵,可以发现大部分样本都能够被成功预测,以上都表明了本文基于深度学习的APT攻击恶意代码及其变体检测模型的检测效果较好。