在过去的几十年里,网络攻击者设计出了越来越复杂的恶意软件,这些恶意软件可以破坏计算机系统的运行或允许他们访问敏感数据。开发能够可靠地检测恶意软件的存在并确定其所属“家族”的技术可能非常有利,因为它可以帮助在恶意软件造成重大损害之前迅速消除它们。
马里兰大学和博思艾伦汉密尔顿公司的研究人员最近推出了一种新的计算模型,旨在完成远程恶意软件检测任务。这些任务需要识别和分析旨在规避传统安全措施的复杂恶意软件,通常是通过查看系统被入侵的异常或细微指标来实现的。
该团队的新模型在arXiv上预先发表的一篇论文中进行了介绍,该模型利用了一类特殊的机器学习算法的功能,即全息全局卷积网络 (HGConv)。HGConv 网络特别适合捕获远程依赖关系和事件发生的一般背景,从而更深入地了解数据中各种元素之间的关系。
作为研究的一部分,研究人员首先回顾了之前在远程恶意软件检测方面的努力,研究了现有技术和基准方法所取得的成果。总体而言,他们发现之前提出的方法并不特别适合远程恶意软件检测,这启发他们设计了一种替代技术。
“我们引入了 HGConv,利用全息简化表示 (HRR) 的特性对序列元素的特征进行编码和解码,”Mohammad Mahmudul Alam、Edward Raff 及其合作者在论文中写道。“与其他全局卷积方法不同,我们的方法不需要任何复杂的内核计算或精心设计的内核。HGConv 内核被定义为通过反向传播学习的简单参数。”
到目前为止,研究人员已经在一系列测试中评估了他们提出的远程恶意软件检测方法,重点关注实际的恶意软件分类问题。他们使用了常见的恶意软件分类基准,包括 Microsoft Windows 恶意软件、Android 应用程序包、Drebin 数据集的恶意软件基准和 EMBER 基准。
该团队将他们的模型的性能与基准方法和其他最近开发的恶意软件分类机器学习技术进行了比较。他们的发现非常有希望,他们的模型在执行时间方面优于其他技术,在 Kaggle 数据集上的准确率达到 99.3%,在 Drebin 数据集上的准确率达到 91.0%。
该团队在论文中写道:“所提出的方法在 Microsoft 恶意软件分类挑战赛、Drebin 和 EMBER 恶意软件基准测试中取得了新的先进成果。”“由于序列长度具有对数线性复杂度,经验结果表明,与其他方法相比,HGConv 的运行时间明显更快,即使序列长度≥100,000,也能实现更高效的扩展。”
Alam、Raff 及其同事开发的基于 HGConv 的远程恶意软件检测新方法很快将得到进一步改进,并在更广泛的恶意软件检测任务中进行测试。未来,它可以部署在现实世界中,帮助用户快速发现计算机系统上的恶意软件并减轻其负面影响。
本站全部资讯来源于实验室原创、合作机构投稿及网友汇集投稿,仅代表个人观点,不作为任何依据,转载联系作者并注明出处:https://www.lvsky.net/134.html
评论