4.4 对比实验结果分析
为了进一步验证本文所提出模型的准确率以及泛化能力,本文选取了APT攻击恶意代码分类中常用的全连接神经网络、K近邻算法(KNN)与本文所提的基于AlexNet模型的卷积神经网络模型进行了检测实验和对比。为了使对比实验具有参考价值,对比实验所使用的数据集是来自VirusShare网站所公开的同一份APT攻击二进制恶意代码样本集合。模型的性能评价指标包括准确率、精确率、召回率和F1-score(F1值),模型对比实验的结果如图14和表2所示。
从实验结果中可以看出,选取的分类算法对本文的数据集进行分类的效果都比较好,在数据集较大的情况下都能达到九成以上的准确率,说明本文数据特征提取的方法具有可行性。且从表2中可以发现,本文所提的基于AlexNet模型的卷积神经网络在准确率、召回率、F1值和精确率方面均优于多层感知器(MLP)、KNN2种神经网络模型,说明本文所提算法在APT攻击恶意代码的分类上具有较好效果。
5 结语
本文提出了一种基于深度学习的APT攻击恶意代码及其变体的检测技术,首先对样本进行解压缩、反编译等数据预处理,然后在沙箱中执行APT攻击恶意代码,将所获得的带有行为信息的流量会话数据映射为灰度图像,并利用图像增强和数据增强技术增强灰度图的特征,再通过特征提取实现APT攻击恶意代码家族聚类,利用实验数据训练预设的AlexNet卷积神经网络模型,获得最优模型。最终对比实验,验证了本文所提出的模型在APT攻击恶意代码及其变体检测问题上可实现98.84%的准确率,精确率和F1值可达到98.78%和97.98%,在APT攻击检测领域具有一定的参考意义。
(原载于《保密科学技术》杂志2022年6月刊)