1、物联网中融合网络流量的恶意软件检测张云春,王旺旺,李成杰,廖梓琨,封凡,林英*(云南大学软件学院昆明650500)【摘要】针对物联网基础设施、应用程序和终端设备的攻击显著增加,物联网中的代表性恶意软件以产生恶意流量为主。对基于恶意软件字节序列构建的 MalConv 模型进行改进,与基于恶意流量特征的 Bi-LSTM 模型进行融合,实现了适用于物联网终端设备恶意软件检测的融合模型。实验结果表明,融合模型 NT-MalConv具有更高的检测能力,检测准确率达95.17%;检测融合对抗样本时,NT-MalConv 模型比 MalConv 改进模型的准确率提升了 10.31%。关键词对抗攻击;物联网;
2、恶意流量检测;恶意软件检测;模型融合中图分类号TP391文献标志码Adoi:10.12178/1001-0548.2022146NetworkTraffic-OrientedMalwareDetectioninIoTZHANGYunchun,WANGWangwang,LIChengjie,LIAOZikun,FENGFan,andLINYing*(SchoolofSoftware,YunnanUniversityKunming650500)Abstract Attacks against IoT(Internet-of-Things)infrastructure,applications an
3、d end devices haveincreasedsignificantly.TypicalmalwareinIoTgeneratesahighvolumeofmalicioustraffic.Thus,thispaperimproves the malware byte sequence-based MalConv model.A malicious traffic feature-based Bi-LSTM(BidirectionalLongShort-TermMemory)modelisintegrated.Finally,wedesignafusedmalwaredetection
4、modelapplicable for end devices in IoT.The experiment results demonstrate that the fused Network Traffic-basedMalConv(NT-MalConv)achieveshigherdetectionperformancewith95.17%accuracy.NT-MalConvoutperformstheimprovedMalConvandis10.31%betterinaccuracywhendetectingadversarialsamples.Keywordsadversariala
5、ttack;internetofthings;malicioustrafficdetection;malwaredetection;modelfusion近年来,物联网(internet-of-things,IoT)及其应用飞速发展,相关技术日渐成熟。IDC 数据估计,到 2025 年每分钟将有不低于 15 万台终端设备接入物联网,每年有近 800 亿台设备投入使用。物联网解决方案通过不同的标准以多种形式改变人们生活的视角,其产生的经济价值急剧攀升。据 MordorIntelligence 的预测报告指出,到 2026 年物联网产值将超过 1.38万亿美元。随着物联网设备的快速增加和物联网市场
6、的经济价值增长,物联网也成为黑客攻击的主要对象,安全受到严重威胁。其中,恶意软件作为物联网安全中的一个主要威胁,也随着物联网设备以及服务的增加而带来新的挑战。恶意软件广泛存在于物联网中的设备上,危害物联网的安全。可见,在物联网设备上实现恶意软件的检测是非常必要的。得益于人工智能的发展,机器学习和深度学习技术被用于恶意软件检测,获得了较高的检测准确率1。2015 年 MicrosoftMalwareChallenge 竞赛促进了恶意软件检测深度神经网络技术的发展,以MalConv2、Hindroid3等为代表的多个模型被提出。然而,上述模型存在诸多不足和挑战:首先,多数模型依赖于人工标记的大量恶
7、意软件样本,以监督式学习模型为主,对新型和未知变种的检测能力较弱4;其次,现有恶意软件检测深度神经网络结构复杂,参数量巨大,不适用于计算资源受限的终端设备和移动设备5;文献 4 证明了深度神经网络存在对抗攻击漏洞,大量对抗样本具有较高的逃逸率;以 Mirai 为代表,物联网中的恶意软件具收稿日期:20220516;修回日期:20221019基金项目:国家自然科学基金(61801418)作者简介:张云春(1981),男,博士,主要从事网络空间安全、人工智能、机器学习、并行与分布式计算等方面的研究.*通信作者:林英,E-mail:第52卷第4期电子科技大学学报Vol.52No.42023 年 7
8、月JournalofUniversityofElectronicScienceandTechnologyofChinaJul.2023有特殊性。从物联网恶意软件的行为角度来看,恶意软件在物联网中的绝大多数恶意行为都是通过恶意流量来实现,不论是传播还是攻击或信息窃取等。通过网络流量的方式来检测物联网中的恶意软件是一种可行且有效的方式。但依然存在一些挑战,如缺乏足够的标记流量数据、网络流量数据的不平衡、流量加密等。本文着眼于物联网中恶意软件和恶意流量的检测,对恶意软件检测模型的健壮性问题进行研究,通过对恶意软件样本检测算法和恶意流量检测算法的融合,提升对恶意软件检测的性能和恶意软件对抗攻击的难度,
9、从而增强恶意软件检测算法的健壮性。1相关工作介绍物联网中对恶意软件的检测可划分为基于恶意软件样本的检测和基于恶意流量的检测。1.1物联网中的恶意软件检测根据所使用的特征不同,现有的相关研究主要包括如下类别。1)基于恶意软件文本特征的机器学习方法。文献 6 使 用 从 ELF(executable and linkable format)文件中提取的操作码(OpCode)序列作为输入特征来训练机器学习模型进行恶意软件检测。文献 7使用操作码重复次数作为主要特征,其结果表明:相对于良性软件,恶意软件中某些操作码的重复次数更高。文献 8 通过提取 Windows 下恶意软件可打印字符串和 API 调
10、用,统计函数长度以及是否作为特征向量出现在恶意软件的 ELF 文件中,然后将特征向量输入机器学习模型来检测物联网中的恶意软件。文献 9 根据恶意软件样本之间的代码结构相似性进行集群划分,从每个聚类中提取可打印字符串,基于字符串特征的相似性分析来实现聚类进行合并。文献 10 从 ELF 文件中提取了 383 个结构特征,包括节头、符号部分、程序头等,通过对有效的特征进行排序和筛选实现检测。文献 11使用物联网恶意软件的字节序列作为特征,训练SVM模型来检测物联网中的恶意软件。文献 12 提出了“EveDroid”,通过补货 Android 程序的高级语义和基于函数聚类的概念设计了物联网中的恶意软
11、件检测模型。2)基于图像的深度学习方法。文献 13 通过转换恶意软件为灰度图像,设计了基于图像分类卷积神经网络的恶意软件检测方法。文献 14 对物联网中软件的内存、系统调用行为和网络行为特征进行提取,然后将提取内存特征数据、行为特征数据和行为频率表分别对应红、绿、蓝颜色三通道,依据此种映射关系将动态特征转化为彩色图片,最后使用卷积神经网络对动态特征转化的彩色图片进行训练和检测。3)基于图论的方法。文献15 基于程序OpCode序列生成控制流图(controlflowgraph,CFG),以CFG 分别构建深度学习和模糊模式树来检测物联网中的恶意软件。文献 16 利用 23 个静态特征重构物联网
12、恶意软件的 CFG 特征来进行检测,包括:边数和节点数、度中心性、密度和最短路径。文献 17 基于 CFG 揭示了物联网和安卓恶意软件在二进制文件上的区别,物联网恶意软件所表示的图包含的节点和边比安卓恶意软件少。上述基于CFG的方法精度普遍较高,但获取图属性的过程相对耗时。1.2物联网中的恶意流量检测物联网规模庞大且结构复杂,文献 18 对物联网中的流量分类进行了概述,对物联网中流量分类的问题及挑战进行了总结。为了物联网的安全,对物联网中广泛混杂其中的恶意流量进行检测是必要的。文献 19 表明通过恶意流量来对恶意软件进行检测是可行且有效的。根据恶意流量检测所使用的特征不同,现有研究主要分成如下
13、类别。1)基于规则或模式匹配的方法20。从流量数据创建联系规则、模糊规则和行为规则来进行匹配。此类方式的模型简单,但需要长时间进行网络监控,且假阳性概率较高。2)基于协议和统计特征的方法21-22。根据所涵盖协议的基本流和信息统计特征,进而训练机器学习模型对恶意流量进行检测。3)基于文本内容的方法。文献 23 通过 GrainedModel 和 N-gram 实现数据包“载荷(payload)”的特征提取,该方式对已知攻击表现极好,但对未知攻击表现较差,且计算量巨大,算法收敛时间较长。文献 24 基于值导数 GRU 算法引入“累计状态变化”概念,建立了网络恶意流量检测模型。文献 25 对以 B
14、ashlite 和 Mirai 为代表的物联网僵尸网络数据集,采用自动编码器对物联网通信进行流量检测。4)基于图像的方法26-27。将提取的荷载转化成第 4 期张云春,等:物联网中融合网络流量的恶意软件检测603二维图片,作为卷积神经网络的输入来训练模型,最终进行恶意流量检测。现有研究表明:物联网中的恶意软件检测不能单纯只依靠已知样本,检测性能具有较大提升空间,在智能终端部署基于网络流量的检测模型是有效的方式。2模型设计2.1基于 MalConv 改进模型的 IoT 恶意软件检测MalConv2模型无需复杂特征工程,且检测性能较高。在 IoT 特点的基础上,本文对 MalConv进行改进,其神
15、经网络模型如图 1 所示。1 st 卷积层字节序列8N维度特征图Conv 5001Conv 5001SoftmaxFC 128特征图嵌入2 nd 卷积层全连接层Softmax 层图1MalConv 改进模型网络结构示意图相对于原 MalConv 模型,改进主要集中在新神经网络模型的卷积部分,具体的改进包括:1)原 MalConv 模型中的两个卷积层分别进行卷积,两个卷积层的输出进行乘积运算,而本文的改进模型则采用两层卷积的串行化卷积;2)原模型两个卷积层的卷积核(filter)个数均为 512;而改进后模型的卷积核分别为 64 个和16 个,所需卷积核个数仅为原模型的 1/13;3)原模型在全
16、连接层前有最大池化处理,而本文改进的模型无池化层,卷积输出的特征图直接作为全连接层的输入,降低了计算量。x x Xy=F(x)y 0,1y=1xx8N将恶意软件样本定义为(),基于所采集的恶意软件样本集合 X 作为 MalConv 改进模型的输入,通过对模型的参数 进行优化,定义改进的MalConv 模 型 为,其 中,且表示模型将给定样本 预测为恶意软件;反之,表示将给定样本 预测为良性。为避免复杂的特征工程,通过将采集的恶意软件样本源代码转换为字节序列,将该输入序列的字节嵌入并转换为一个的二维向量,然后在第一卷积层和第二卷积层上进行卷积,卷积过程如图 2 所示。8N以的二维向量作为输入,一
17、维卷积的过程可表示为:c=(c+2pk)s+1(1)ccpkssoi,t式中,表示输出的特征向量大小;表示输入的嵌入向量大小;为超出输入向量部分卷积时的填充大小;为卷积核大小;表示每次卷积后移动的步长,且在第一卷积层和第二卷积层上设置步长=500。经过卷积运算,可以得到输出特征图为:oi,t=xikt+b(2)xiikttb式中,表示第 个恶意软件输入样本;表示卷积运算;表示第 个卷积核;表示偏置向量。一维卷积8Nk 个特征图图2一维卷积图T c特征图个数与卷积核个数一致,即存在 T 个卷积核,输出的特征图个数对应为 T 个,本文第一卷积层和第二卷积层的卷积核数量 T 分别为 64、16,卷积
18、层输出的特征图维度为。Osoftmax定义输出的特征图为,将特征图变形为128 维的一维数据输入全连接层,最后经过全连接层到进行分类输出,确保输出结果为 0,1。604电子科技大学学报第52卷定义模型的损失函数为:l(x,y)=L=l1,l2,ln(3)li=wiyilog yi+(1yi)log(1 yi)i 1,nnyii yiiwi式中,且,表示批次大小,表示第 个样本的真实标签,表示第 个样本的预测结果,表示权重。基于上述定义,MalConv 改进模型的输出结果为:y=softmax(W*(xikt+b)+B)(4)xikt+bWBsoftmax式中,表示第二卷积层输出的特征图;为全连
19、接层的权重;为全连接层的偏置向量;为分类函数。通过对比原始的 MalConv 模型看出,改进后模型的“尺寸”进行了一定程度的压缩。原始的MalConv 模型使用两个 512 个卷积核的卷积层,模型共计 1024 个卷积核,卷积核大小为 500;改进后的 MalConv 模型在两个卷积层上分别有 64、16 个卷积核,模型总共设置 80 个卷积核,卷积核数量减少了 944 个,卷积核大小为 500,模型参数个数减少了 500944=472000 个。2.2基于 Bi-LSTM 的恶意流量检测模型针对 IoT 中 Mirai 为代表的恶意软件产生大量网络流量的特点,本文对此提出了基于文本分析的 B
20、i-LSTM 模型,用于对恶意流量的检测。本文设计的基于注意力的 Bi-LSTM 模型结构如图 3所示,其中,xi为输入向量,ei为嵌入向量,hi为LSTM 层计算的输出向量。e1e2e3eTh1h2h3hTh1h2h3hTh1h2h3hTyx1x2x3xT输入层嵌入层LSTM 层注意力层输出层图3Bi-LSTM 模型结构图xy=G(x)y 0,1y=1将给定的恶意流量提取的特征定义为,定义使用参数 构建和训练的深度神经网络为,其中,表示该网络流量为恶意;反之为正常的良性流量。如图 3 所示,基于注意力的 Bi-LSTM 是针对恶意流量检测和特征重要性分析而设计的,该模型由 5 个部分组成。1
21、)输入层。以接收提取的网络数据流量特征文x1,x2,xMM本作为输入,其中为提取的特征个数(维度)。xjeij 1,M2)嵌入层。用于将输入特征嵌入映射到向量层,其中。3)LSTM 层。通过嵌入层从输出向量中获取输入,该层定义为:hi=hihi(5)hihihihihi式中,因为该模型是双向(bi-directional)的 LSTM,所以 和 分别为正向输出和反向输出,正向输出和反向输出进行拼接得到 作为 LSTM 层的输出。单向输出的 和 从神经元细胞内可分为 4 个步骤计算。ht1xt0,1Ct1ft单元的遗忘门决定单元的状态信息。遗忘门根据前一时刻的输出状态和此刻输入可以计算输出之间的
22、遗忘值,然后根据遗忘值计算出前一时刻的单元状态中应该被遗忘的信息。单元遗忘门 的为:ft=(Wfht1,xt+bf)(6)ht1xtitCt单元的记忆门用记忆保留信息。记忆门根据前一时刻的输出状态和此刻输入计算出记忆值 和单元的临时状态,即有:it=(Wiht1,xt+bi)(7)Ct=tanh(WCht1,xt+bC)(8)Ct更新单元信息。将遗忘门决定遗忘的信息和记忆门保留的信息合并,生成新的状态信息为:Ct=ftCt1+itCt(9)输出门计算当前时刻隐藏层状态和输出状态特征,分别为:ot=(Woht1,xt+bo)(10)ht=ottanh(Ct)(11)Wobhthihi式中,为权重
23、;为偏置向量;为 Sigmoid 激活函数;tanh 为 tanh 激活函数。计算最后得到的即为正向输出和反向输出的 和。4)注意力(attention)层。利用注意机制计算LSTM 最后一层的输出,得到对应的权重大小,主要用于特征的量化分析。5)输出层。对注意力层的输出进行加权计算,预测分类结果为 0(良性)或 1(恶意),即有:p(y|xi)=softmax(W(xi)h+b(xi)(12)第 4 期张云春,等:物联网中融合网络流量的恶意软件检测605xih式中,表示输入特征向量;表示具有注意力机制的 Bi-LSTM 最终计算得到的相应矩阵。2.3模型融合xi=xis+xipxisxipx
24、ipxis为了使 MalConv 改进模型在保持精简的同时可对恶意软件样本和恶意软件网络流量进行检测,以 2.1 节设计的 MalConv 改进模型为基础,首先实现特征融合。定义新的输入特征向量为,其中,和分别表示特定攻击所对应的恶意软件样本特征和攻击对应的网络流量特征。当某个恶意软件样本缺少对应的网络流量时,对应的为0;反之,若某个病毒攻击没有从网络流量中提取到独立的恶意软件样本,则设置为 0。以融合的特征向量为输入进行检测模型的融合,如图 4所示。恶意软件字节序列恶意流量文本特征转化为字节序列融合恶意软件样本和恶意流量的字节序列图4特征融合示意图其次,在采用 MalConv 改进模型结构和
25、输入特征融合的基础上,将融合恶意流量检测模型后的模型命名为 NT-MalConv(networktraffic-basedMalConv),并对其损失函数综合设计为:L(xi,y)=L1(xi,y)+(1)L2(xi,y)(13)L(xi,y)L1(xi,y)L2(xi,y)xiF(xi,y)0,1式中,表示融合模型 NT-MalConv 的损失函数;和分别表示 MalConv 改进模型和 Bi-LSTM 的损失函数;为融合模型的输入;为超参数,表示两个模型损失函数之间的权重关系,通常,默认值为 0.5。3实验结果与分析3.1数据集与环境配置实验运行环境:所有实验都在同一个平台上实现。服务器配
26、置 IntelCorei710700,NvidiaGeForceGTX2060,内存 16GB,运行操作系统为 Ubuntu16.04;所有程序都运行在 Python3.6 和 pytorch1.2.0 上。脚本恶意流量采集环境:在 T-Pot16.10 平台上进行,通过恶意软件脚本运行时产生的恶意流量进行采集。在 Ubuntu16.04 操作系统中使用 Honeytrap等蜜罐收集网络流量数据,从而捕获恶意行为的“踪迹”。恶意软件数据集:恶意软件样本采集自VirusShare和 VirusTotal 网站,良性软件样本采集自真实的物联网环境中常见的软件。恶意流量数据集:恶意流量数据采集自两个
27、方面,一方面从数据集 IoT-23 上采集;另一方面通过运行采集的恶意软件样本,基于开发的脚本插件生成对应的恶意流量。实验中,使用 zeek 工具在T-Pot16.10 开源蜜罐平台上进行监控采集。作为公开的标准数据集,IoT-23 数据集是由 23 个不同物联网场景中的网络流量构成。23 个场景进一步分为 20 个来自受感染物联网设备所在网络中捕获的.pcap 文件和 3 个真实物联网设备所在的网络中捕获的.pcap 文件两部分。通过上述数据集,对恶意流量进行特征提取,以网络报文报头关键字段为基础,结合“网络流(networkflow)”的代表性统计特征,实验中所用恶意流量特征主要包括:协议
28、、服务、请求的字节大小、响应字的大小、连接状态、本地请求、本地响应、连接记录、丢失字节大小、请求的包字节大小、请求 IP 字节大小、响应的包字节大小、响应IP 字节大小、隧道信息。其中,代表连接发起者和连接响应者之间的行为动作的“连接记录”特征具有最大的贡献。由于恶意流量和良性流量样本数量差距较大,为防止数据不均衡问题影响模型的训练,本文对所采集的全部数据集综合后运用 K 折交叉验证(K-foldcrossvalidation),并取 K=4。对恶意软件数据集和恶意流量数据集,其训练集和验证集比设为3:1,即 75%用于训练,25%用于评估和测试。3.2MalConv 改进模型性能分析为了量化
29、改进的神经网络模型表现,本文在2.1 节设计的神经网络模型的基础上,分别又配置了全连接层数量不同的另外 4 种模型。对比来看,5 个网络模型的区别主要表现在全连接层的层数,分别从 1 层到 5 层,每层的神经元个数均为 128个,分别记为:MalConv_Full_1、MalConv_Full_2、MalConv_Full_3、MalConv_Full_4 和MalConv_Full_5。通过将上述 5 个神经网络模型同原始的 MalConv模型进行对比,实验结果如表 1 所示。606电子科技大学学报第52卷表 1MalConv 及相应改进模型的检测性能对比%模型准确率精确率召回率F1值Mal
30、Conv93.4994.6692.8393.74MalConv_Full_193.2894.4192.6693.53MalConv_Full_294.8294.8995.3695.12MalConv_Full_395.2895.5796.6996.13MalConv_Full_495.2193.9793.6295.28MalConv_Full_591.8193.5693.5691.64从表 1 所示的实验结果可以看出,上述模型对于IoT 中的恶意软件检测均取得了较好的效果,准确率均超过 91.81%。此外,MalConv 同 MalConv_Full_1两者表现无明显差距。MalConv_Fu
31、ll_1 模型卷积层的参数数量为原始 MalConv 模型的 1/13,通过减少卷积核数量,模型并无明显性能下降,说明原 MalConv 模型卷积层在恶意特征提取方面存在网络结构的较高冗余度。MalConv_Full_2 模型的性能普遍高于原 MalConv模型,准确率提升约1.3%。随着全连接层数量的增加,检测性能逐渐提高,主要原因在于神经网络全连接层数量的增加为模型的分类提供了更多可学习的参数,提升了模型的表现能力。反之,这也说明制约原 MalConv 模型性能的关键因素集中在全连接层的分类能力,仅配置一层全连接层的卷积神经网络,对恶意样本特征的“学习能力”存在较大的改进空间。随着全连接层
32、的加深,MalConv_Full_5 模型的性能突然下降,主要原因在于全连接层深度的增加导致了学习过程中出现了过拟合。全连接层的加深导致模型的参数增多,对训练样本具有较强的学习能力,但削弱了模型的泛化能力,在恶意软件变种和未知变种的检测方面能力减弱。3.3融合模型性能分析为检验融合模型 NT-MalConv 对恶意软件和恶意流量的检测性能,除采用恶意软件样本集合和网络数据流量数据集外,还采用了部分面向 MalConv模型所生成的对抗恶意软件样本28,用于对模型的健壮性进行验证,实验结果如表 2 所示。从表 2 实验结果可以可知,MalConv 改进模型面对恶意软件对抗样本时各项性能指标均有所下
33、降,模型的健壮性相对较差。主要原因在于针对MalConv 模型的对抗攻击利用了主流对抗攻击技术(以 C&W29、FGSM30、DeepFool31为代表),产生的对抗样本具有较强的“逃逸”能力。表 2实验中使用的数据集统计%模型数据集准确率精确率召回率F1值MalConv改进模型恶意软件93.2894.4192.6693.53恶意软件+对抗样本84.2090.8290.9181.02NT-MalConv恶意软件92.8392.8692.0392.41恶意软件+恶意流量95.1794.8995.9995.44恶意软件+对抗样本+恶意流量94.5192.6297.7095.09但是,引入对抗样本能
34、够对恶意软件及其变种在特征空间的分布进行学习,有利于提升现有检测模型对新型变种或未知变种的检测能力。融合模型 NT-MalConv 对恶意软件的检测性仅表现轻微的下降,健壮性强。当对恶意软件和恶意流量的数据集同时进行检测时,NT-MalConv 模型的性能达到最高值 95.17%,比 MalConv 改进模型在恶意软件数据集上的性能平均提高了约 2%。对比MalConv 改进模型和融合模型NT-MalConv在不同场景下的表现,综合表 1 和表 2 的结果,可以得出如下结论。1)融合模型 NT-MalConv 能有效提升恶意软件的检测率,即使仅对恶意软件的输入数据进行检测也能取得较好的性能。该
35、模型既能作用于恶意软件样本,也可以作用于网络流量上,满足了 IoT 中的恶意软件检测需求。2)融合模型 NT-MalConv 对恶意软件对抗样本表现出更高的健壮性。物联网中绝大部分种类恶意软件的行为是同时针对设备和网络的,其在网络数据流上具有较强的检测特征,整合恶意流量的检测方式,从网络行为的“动态”特征层面上对恶意软件检测进行了强化。所以,NT-MalConv 模型比单纯的 MalConv改进模型性能更佳。恶意流量作为恶意软件发送的网络流量信息是普遍存在的,不论恶意软件还是对抗性恶意软件样本均会发送恶意流量。融合的输入特征在输入 NT-MalConv 模型后,虽然对抗性恶意软件样本的一部分在
36、 MalConv 改进模型的输出结果为阴性(逃逸),但对抗性恶意软件样本的恶意流量在 Bi-LSTM 模型的输出为阳性,最终 NT-MalConv的输出为阳性。所以,NT-MalConv 模型对对抗性恶意软件具有更好的检测能力,健壮性更高。为了检验本文提出的融合模型的性能,将 NT-MalConv 和 IoT 中恶意软件检测的同类研究工作进第 4 期张云春,等:物联网中融合网络流量的恶意软件检测607行了对比,结果如表 3 所示。表 3与已有研究工作对比%模型/文献准确率NT-MalConv95.17文献995.5文献1394.0文献3293.495.8文献3392.21从表 3 可以看到,本
37、文提出的融合模型比大部分已有 IoT 中恶意软件检测模型的准确率高,仅文献 9 模型的准确率略高于本文的融合模型,两者都强调了恶意软件的统计特征、文本特征,这也表明了特征融合对恶意软件检测的重要性。融合恶意网络流量和恶意软件对抗样本,能够对恶意软件特征空间进一步学习,提高模型的健壮性和安全性,而其他模型均没有考虑对抗样本的特征。同类研究中强调了文本特征(可打印字符)的重要性,但此类特征容易受到代码混淆、加壳和加密算法的干扰,从而降低检测的准确率。而本文的融合模型对混淆和加壳的样本依旧具有较高的检测性能。综合来看,本文提出的 MalConv改进模型和NT-MalConv 模型均能够直接对恶意软件
38、文本或网络流量进行检测,更符合 IoT 应用的需要。4结束语本文对物联网中的恶意软件检测做了较为全面的研究,在对现有 MalConv 模型进行改进的基础上,通过特征融合和模型融合,提出了具有较高性能和健壮性的 NT-MalConv 模型。依托测试结果和模型对恶意软件样本和网络流量特征的卓越学习能力,对 IoT 中的攻击与防御进行了一定程度的深入研究,促进了 IoT 应用的安全性。未来的研究工作主要集中在 IoT 中边缘智能设备上的安全问题,同时以降低能耗为目标,优化 IoT 中恶意软件检测模型的结构,降低开销。参考文献1NGOQD,NGUYENHT,LEVH,etal.AsurveyofIoT
39、malwareanddetectionmethodsbasedonstaticfeaturesJ.ICTExpress,2020,6(4):280-286.2RAFF E,BARKER J,SYLVESTER J,et al.Malwaredetection by eating a whole EXEC/Workshops at the32nd AAAI Conference on Artificial Intelligence.S.l.:AAAI,2017,DOI:10.48550/arXiv.1710.09433.3HOUS,YEY,SONGY,etal.HinDroid:Anintell
40、igentandroid malware detection system based on structuredheterogeneousinformationnetworkC/Proceedingsofthe23rdACMSIGKDD.S.l.:ACM,2017:1507-1515.4SZEGEDY C,ZAREMBA W,SUTSKEVER I,et al.Intriguing properties of neural networksJ.ComputerScience,2013,DOI:10.48550/arXiv.1312.6199.5冀甜甜,方滨兴,崔翔,等.深度学习赋能的恶意代码
41、攻防研究进展J.计算机学报,2021,44(4):669-695.JI T T,FANG B X,CUI X,et al.Research on deeplearning-poweredmalwareattackanddefensetechniquesJ.ChineseJournalofComputers,2021,44(4):669-695.6HADDADPAJOUHH,DEHGHANTANHAA,KHAYAMIR,etal.AdeeprecurrentneuralnetworkbasedapproachforinternetofthingsmalwarethreathuntingJ.Fut
42、ureGenerationComputerSystems,2018,85:88-96.7DARABIANH,DEHGHANTANHAA,HASHEMIS,etal.Anopcode-basedtechniqueforpolymorphicInternetofThingsmalwaredetectionJ.ConcurrencyandComputation:PracticeandExperience,2020,32(6):e5173.8ISLAMR,TIANR,BATTENLM,etal.Classificationofmalwarebasedonintegratedstaticanddynam
43、icfeaturesJ.Journal of Network and Computer Applications,2013,36(2):646-656.9ALHANAHNAH M,LIN Q,YAN Q,et al.Efficientsignaturegenerationforclassifyingcross-architectureIoTmalwareC/2018 IEEE Conference on CommunicationsandNetworkSecurity(CNS).S.l.:IEEE,2018:1-9.10SHAHZADF,FAROOQM.Elf-miner:Usingstruc
44、turalknowledgeanddataminingmethodstodetectnew(linux)malicious executablesJ.Knowledge and InformationSystems,2012,30(3):589-612.11WAN T L,BAN T,LEE Y T,et al.IoT-Malwaredetection based on byte sequences of executablefilesC/202015thAsiaJointConferenceonInformationSecurity(AsiaJCIS).S.l.:IEEE,2020:143-
45、150.12LEIT,QINZ,WANGZ,etal.EveDroid:Event-AwareAndroid malware detection against model degrading forIoT devicesJ.IEEE Internet of Things Journal,2019,6(4):6668-6680.13SU J,VASCONCELLOS D V,PRASAD S,et al.LightweightclassificationofIoTmalwarebasedonimagerecognitionC/2018 IEEE 42nd Annual ComputerSoft
46、wareandApplicationsConference(COMPSAC).S.l.:IEEE,2018,2:664-669.14JEONJ,PARKJH,JEONGYS.DynamicanalysisforIoT malware detection with convolution neural networkmodelJ.IEEEAccess,2020,8:96899-96911.15DOVOMEM,AZMOODEHA,DEHGHANTANHAA,etal.FuzzypatterntreeforedgemalwaredetectionandcategorizationinIoTJ.Jou
47、rnalofSystemsArchitecture,2019,97:1-7.16ALASMARY H,KHORMALI A,ANWAR A,et al.Analyzing and detecting emerging internet of thingsmalware:A graph-based approachJ.IEEE Internet ofThingsJournal,2019,6(5):8977-8988.17ALASMARYH,ANWARA,PARKJ,etal.Graph-Based608电子科技大学学报第52卷comparisonofIoTandandroidmalwareC/I
48、nternationalConference on Computational Social Networks.S.l.:Springer,2018:259-272.18TAHAEIH,AFIFIF,ASEMIA,etal.Theriseoftrafficclassification in IoT networks:A surveyJ.Journal ofNetworkandComputerApplications,2020,154:102538.19BEKERMAN D,SHAPIRA B,ROKACH L,et al.Unknown malware detection using netw
49、ork trafficclassificationC/2015IEEEConferenceonCommunications and Network Security(CNS).S.l.:IEEE,2015:134-142.20KUMARV,SINHAD,DASAK,etal.Anintegratedrulebased intrusion detection system:Analysis on UNSW-NB15datasetandtherealtimeonlinedatasetJ.ClusterComputing,2020,23(2):1397-1418.21CHOUDHARY S,KESS
50、WANI N.A survey:IntrusiondetectiontechniquesforinternetofthingsJ.InternationalJournalofInformationSecurityandPrivacy(IJISP),2019,13(1):86-105.22MOUSTAFA N,TURNBULL B,CHOO K K R.Anensembleintrusiondetectiontechniquebasedonproposedstatisticalflowfeaturesforprotectingnetworktrafficofinternet of thingsJ
浙ICP备2021020529号-1 | 浙B2-20240490 
