Method for Generating Malicious Code Adversarial Samples Based on Genetic Algorithm
-
摘要: 机器学习已经广泛应用于恶意代码检测中,并在恶意代码检测产品中发挥重要作用。构建针对恶意代码检测机器学习模型的对抗样本,是发掘恶意代码检测模型缺陷,评估和完善恶意代码检测系统的关键。该文提出一种基于遗传算法的恶意代码对抗样本生成方法,生成的样本在有效对抗基于机器学习的恶意代码检测模型的同时,确保了恶意代码样本的可执行和恶意行为的一致性,有效提升了生成对抗样本的真实性和模型对抗评估的准确性。实验表明,该文提出的对抗样本生成方法使MalConv恶意代码检测模型的检测准确率下降了14.65%;并可直接对VirusTotal中4款基于机器学习的恶意代码检测商用引擎形成有效的干扰,其中,Cylance的检测准确率只有53.55%。Abstract: Machine learning is widely used in malicious code detection and plays an important role in malicious code detection products. Constructing adversarial samples for malicious code detection machine learning models is the key to discovering defects in malicious code detection models, evaluating and improving malicious code detection systems. This paper proposes a method for generating malicious code adversarial samples based on genetic algorithms. The generated samples combat effectively the malicious code detection model based on machine learning, while ensuring the consistency of the executable and malicious behavior of malicious code samples, and improving effectively the authenticity of the generated adversarial samples and the accuracy of the model adversarial evaluation are presented. The experiments show that the proposed method of generating adversarial samples reduces the detection accuracy of the MalConv malicious code detection model by 14.65%, and can directly interfere with four commercial machine-based malicious code detection engines in VirusTotal. Among them, the accuracy rate of Cylance detection is only 53.55%.
-
Key words:
- Malware detection /
- Machine learning /
- Adversarial sample
-
1. 引言
未来信息化战争中,电子信息装备和新型电磁武器广泛使用,电磁环境日趋复杂、恶劣,对武器装备正常发挥战技性能将产生严重影响[1,2]。通信电台作为信息传递和指挥畅通的纽带,接收灵敏度高,对电磁环境依赖性强,电磁辐射干扰将成为其战技性能正常发挥的制约因素[3,4]。为提高通信装备的抗电磁干扰能力,笔者前期深入研究了通信装备电磁辐射效应规律,确定了通信电台带内单频电磁辐射效应规律和作用机理[4,5],建立了复杂电磁环境下双频、多频及其复合噪声非互调电磁辐射阻塞效应预测模型[6-10],研究了通信电台强场电磁辐射效应规律[11],提出了带外强场电磁辐射效应预测方法[12],能够基本满足非互调条件下通信电台复杂电磁环境适应性试验评估的技术需求。但是,复杂电磁环境与单频、单源电磁环境的重大区别在于互调效应的存在,由于互调产生新的频率分量,使多频电磁辐射共同作用下的受试设备较单频电磁辐射更加敏感、更易受到电磁干扰。一般认为:用频装备带内接收灵敏度高、对信号频率具有较强的选择性,当干扰信号频率偏离受试装备工作频率较远时,难以对受试装备造成有效干扰;同理,对带外电磁辐射干扰,一般仅考虑3阶互调增强效应,而忽略2阶互调的影响。但是,通过通信电台带外双频阻塞干扰效应试验发现,在带外电磁辐射干扰信号频率差别不大、3阶互调频率处于受试装备敏感工作频带之外的情况下,带外双频电磁辐射临界干扰场强远低于其中任一频率的单频电磁辐射临界干扰场强,甚至比3阶互调临界干扰场强更低,这一现象必须引起足够的重视。为此,通过场路耦合与互调机理分析,揭示了带外电磁辐射2阶互调低频阻塞干扰效应机理,为科学评价用频装备的复杂电磁环境适应性提供了技术支撑。
2. 受试电台单频阻塞临界干扰特性
选择某型超短波数字通信电台作为受试设备,采用全电平整体辐照法[13]研究其误码率随电磁辐射场强的变化规律,以误码率10%作为敏感判据[14],确定特定干扰频率对应的临界干扰场强。试验配置如图1所示,在发射电台主机与发射天线之间连接40 dB的衰减器,用来模拟远距离通信状态,受试电台处于定频接收状态,辅助电台处于定频发射状态,监视探头偏离电磁辐射干扰主波束且聚焦于受试电台的前面板,监视试验过程中是否出现通信中断(完全阻塞)等现象。在连续波电磁辐射持续过程中,操作辅助电台进行链路测试,确定受试电台接收信号的误码率。采用变步长升降法[5]调节射频信号源的输出功率,测定10%误码率对应的临界干扰场强。
测试结果如图2所示:受试超短波通信电台的单频电磁辐射敏感频点处于其工作频率f0±30 kHz的范围内;辐射频偏(电磁辐射干扰频率f与电台工作频率f0的差值)处于±25~35 kHz范围时,临界干扰场强随辐射频偏剧烈变化;辐射频偏处于±35~75 kHz及大于80 kHz范围时,临界干扰场强出现两个明显的台阶,分别比带内电磁辐射临界干扰场强高40 dB, 60 dB以上。由此可见:受试通信电台具有较强的抗单频电磁辐射干扰能力,电磁辐射频率偏离其工作频率30 kHz以上时,临界干扰场强迅速上升40~60 dB,单频阻塞干扰的防护重点是带内干扰防护。
3. 带外双频电磁辐射敏感现象
为试验评估上述数字超短波通信电台的复杂电磁环境适应性,对其进行了双频电磁辐射阻塞效应研究。试验配置如图3所示,为尽量降低射频电磁辐射效应试验系统[15]自身产生互调频率分量,采用两套效应试验系统分别激发不同频率的电磁辐射场,且在每套效应试验系统的双定向耦合器与干扰辐射天线之间串接隔离器,阻止干扰辐射天线接收的电磁信号反向进入宽带射频功率放大器,最大程度降低干扰源的互调。试验过程中同一频率的单频临界干扰场强Ei0与双频效应试验时的干扰场强Ei由同一套效应试验系统激发,通过馈入干扰辐射天线的功率换算得到[5],以降低辐射天线主波束偏移对测试结果的影响。
3.1 带外双频3阶互调阻塞效应
表1所列为受试通信电台工作频率取60 MHz时带外双频3阶互调阻塞临界干扰场强的典型试验结果,为体现双频3阶互调阻塞与单频电磁辐射阻塞临界干扰场强的差异,双频3阶互调阻塞临界干扰场强组合用出现临界干扰时两个频率分量各自场强Ei与其单频临界干扰场强Ei0比值的组合(E1/E10, E2/E20)表示,频率组合用电磁辐射频偏(Δfi=fi–f0)表示。
表 1 通信电台双频3阶互调阻塞临界干扰场强频率组合(kHz) Δf1=f1–f0 36 48 72 96 144 Δf2=f2–f0 72 96 144 192 288 临界干扰场强比 E1/E10 –11.7 –12.3 –13.3 –17.9 –18.2 E2/E20 –13.2 –22.5 –24.8 –32.3 –27.1 频率组合(kHz) Δf1=f1–f0 36 48 72 96 144 Δf2=f2–f0 48 86 154 212 268 临界干扰场强比 E1/E10 –8.7 –13.3 –13.6 –19.5 –19.8 E2/E20 –10.8 –17.0 –24.1 –19.9 –22.9 表1上半部分双频3阶互调频率与受试电台工作频率相同(2f1–f2=f0),而下半部分双频3阶互调频率虽然偏离受试电台工作频率,但偏差处于(–20~24 kHz之间,由图2所示受试电台单频阻塞临界干扰场强曲线可知,3阶互调频率仍处于受试电台敏感频带内。
若电磁干扰辐射场强分别为
E1(f1) 和E2(f2) ,则3阶互调信号强度φ3(2f1−f2)=D(f0)S21(f1)S2(f2) (1) 其中,D是与受试用频装备工作频率f0有关的3阶互调非线性系数。
由式(1)可知:3阶互调干扰强度取决于(E1/E10)2(E2/E20),据此由表1所列数据可知:相对于单频电磁辐射干扰,受试电台对带外双频3阶互调电磁辐射干扰敏感9~23 dB。
3.2 一种新型的带外双频阻塞敏感现象
在进行带外双频3阶互调阻塞效应试验的过程中发现:在较宽的频率范围内,即使带外双频电磁辐射信号的3阶互调频率不能进入受试通信电台的敏感频带范围内,受试通信电台对带外双频电磁辐射仍比单频电磁辐射敏感得多,临界干扰场强甚至相差30 dB以上,比3阶互调还要敏感,试验结果如表2所列。
表 2 通信电台新型双频阻塞临界干扰场强频率组合(kHz) Δf1=f1–f0 100 150 200 250 300 Δf2=f2–f0 150 200 250 300 350 临界干扰场强比 E1/E10 –25.6 –26.3 –28.7 –28.4 –30.6 E2/E20 –26.7 –29.5 –29.2 –30.5 –28.5 频率组合(kHz) Δf1=f1–f0 127 150 220 240 230 Δf2=f2–f0 177 160 330 360 390 临界干扰场强比 E1/E10 –26.5 –17.5 –30.6 –34.4 –4.0 E2/E20 –27.7 –17.7 –30.5 –34.4 –4.1 表2所列试验数据,干扰频率偏离受试电台工作频率127~390 kHz,3阶互调频率至少偏离受试电台工作频率50~250 kHz,由图2所示受试电台单频阻塞临界干扰场强曲线可知,无论是2个干扰频率还是其3阶互调频率均远离受试电台的敏感频带,这一双频阻塞敏感现象不能用3阶互调解释;即使受试电台工作信号参与非线性调制,3阶交调频率除了一组试验落在受试电台敏感频带内(偏离10 kHz)之外,其它9组试验偏离受试电台工作频率50~160 kHz,这一敏感现象也不能用3阶交调解释;若双频电磁辐射不产生互调效应,无论受试电台对多频电磁辐射干扰场强有效值敏感还是幅值敏感,其临界干扰场强组合中必须有一个频率的干扰场强与其单频临界干扰场强之比不小于–6 dB[8,10],即E1/E10或E2/E20不能同时小于–6 dB,显然表2试验结果不满足该条件,说明试验过程中产生了非线性效应。
由此可见,表2所示的带外双频电磁辐射敏感现象既不能用3阶互调机理解释,也不能用双频非互调迭加机理解释。同理分析,这一电磁辐射敏感现象也不能用3阶交调机理解释,因为若受试通信电台对双频干扰信号与工作信号产生的3阶交调带外信号敏感,势必对单频干扰信号与工作信号产生的更强的3阶交调带外信号敏感,导致单频辐射干扰场强大幅度降低,反而不会出现双频干扰比单频干扰敏感的现象。因此,必须从3阶交互调之外探寻这种双频干扰敏感效应的本质原因。
4. 2阶互调低频阻塞效应机理
对表2所列试验数据进行深入分析并进一步试验发现:出现上述双频辐射敏感现象的条件是双频频差既不能太大、也不能太小,似乎应在10~130 kHz之间,结合受试电台的工作原理进一步分析,阐明了2阶互调低频阻塞效应机理,解释了上述敏感现象。
受试电台原理结构如图4所示(一般通信电台原理框图基本相同),天线接收射频信号经一级放大后与一本振混频进行上变频,将电台工作频率中心由设定值f0变频到恒定值Fm和Fm+2f0的频率分量,该信号经次级放大和中心频率为Fm的窄带晶体带通滤波器选频后,将天线接收的射频信号由设定的电台工作频率上变频对称迁移到Fm附近,便于信号后续处理。通过晶体带通滤波器的射频信号被三级放大器进一步放大,与二本振混频进行下变频,变频输出信号经低通(带通)滤波后,将电台工作频率下变频平移至FL,经可变增益放大与检波,检出通信语音或数码信息,实现通信功能。
若空间不同频率的电磁辐射场强分别为
Ei(fi) 、信号场路耦合系数为Ai(fi) ,则各路信号到达一级放大器时的等效电平为Si(fi)=Ai(fi)Ei(fi) (2) 其中,i=0表示受试电台工作信号,i=1, 2分别代表带外干扰信号。
上述信号进入一级放大及其后续电路,由于非线性效应必然会因交互调而产生新的频率分量。对用频装备,带外干扰信号强度远大于工作信号强度,交调信号一般远小于互调信号强度。因此,仅从互调信号出发,分析双频辐射敏感现象。假设天线接收双频电磁辐射干扰信号的频率为f1,f2,干扰信号进入受试电台各结构后输出信号各分量的频率如表3所示。其中,窄带滤波部分的中心频率为Fm,若干扰信号频率偏离受试电台工作频率不远且二者差别不大,才能输出表中所示的频率分量。上述双频干扰信号的2阶互调分量仅f2–f1, 2(f2–f1), 3(f2–f1)可与有用信号一起进入可变增益放大与检波器,对有用信号增益进行压制,形成阻塞干扰。
表 3 干扰信号进入通信电台各结构后输出分量频率结构 频率 天线接收 f1, f2 (设f1<f2) 一级放大 f1, f2, f2±f1, 2f1±f2和2f2±f1, 3f1和3f2 (忽略高阶互调分量) 上变频 Fm+f0–f1, Fm+f0–f2, Fm+f0–f2±f1, Fm+f0–2f1±f2, Fm+f0–2f2±f1, Fm+f0–3f1, Fm+f0–3f2和
Fm+f0+f1, Fm+f0+f2, Fm+f0+f2±f1, Fm+f0+2f1±f2, Fm+f0+2f2±f1, Fm+f0+3f1, Fm+f0+3f2窄带滤波 Fm+f0–f1, Fm+f0–f2, Fm+f0–2f1+f2和Fm+f0–2f2+f1 三级放大 Fm+f0–f1, Fm+f0–f2, Fm+f0–2f1+f2, Fm+f0–2f2+f1和f2–f1, 2(f2–f1), 3(f2-f1), 2(Fm+f0)–f1–f2,
2(Fm+f0–f1), 2(Fm+f0–f2), 2(Fm+f0)–3f1–f2, 2(Fm+f0)–3f2–f1 (忽略3阶互调)下变频与低通(带通)滤波 FL+f0–f1, FL+f0–f2, FL+f0–2f1+f2, FL+f0–2f2+f1, FL+(f2–f1), FL+2(f2–f1), FL+3(f2–f1) 根据以上分析可知:f2–f1频率分量、2(f2–f1)频率分量和3(f2–f1)频率分量强度依次降低,若f2–f1频率分量能够落在低通(带通)滤波器的通带内,即可对有用信号增益进行压制,形成阻塞干扰。由于该信号来源于双频干扰信号的2阶互调,对有用信号增益的压制出现在低通(带通)滤波以后,故称为2阶互调低频阻塞效应。
5. 低频阻塞效应机理实验验证
效应机理分析的正确性需要通过实验来验证。为此,从式(2)出发,给出带外信号f1,f2产生的2阶互调干扰信号
φ2(Δf)=GS1(f1)S2(f2) (3) 其中,G为与f0有关的2阶互调非线性系数,Δf=|f1–f2|。
假设受试电台的低频干扰电平为L(f),定义2阶互调低频阻塞效应指数Rs为2阶互调干扰信号电平与相同低频干扰电平的比值。显然,当Rs≥1时出现2阶互调低频阻塞干扰,而Rs<1时受试电台能够正常工作。
Rs(Δf)=GS1(f1)S2(f2)L(Δf) (4) 假设受试电台工作频率为f0时干扰频率fi对应的敏感系数为Bi(fi),单频电磁辐射临界干扰场强为Ei0(fi),受试用频装备在敏感端口处的临界干扰电平为C0(C0为与f0相关的常数,与干扰频率fi相关的变化因素均包含在敏感系数Bi(fi)中),则有
A1B1E10=A2B2E20=A3B3E30=···=C0 (5) 结合式(3)—式(5)可得
Rs(Δf)=C20GL(△f)B1(f1)B2(f2)E1(f1)E10(f1)E2(f2)E20(f2) (6) 引入f0和fi有关的新参数—2阶互调低频阻塞干扰因子βi,其形式为
βi=C0√G/LminBi (7) 其中,Lmin为低频干扰电平的最小值。
另外,引入低频干扰相对电平Lr(Δf)=L(Δf)/Lmin,则2阶互调低频阻塞效应指数Rs可表示为
Rs(Δf)=β1(f1)β2(f2)Lr(Δf)E1(f1)E10(f1)E2(f2)E20(f2) (8) 严格来讲,2阶互调低频阻塞效应因子与干扰信号频率和工作频率有关,准确描绘其变化图谱工作量巨大。分析受试电台工作原理可发现,改变其工作频率的实质是改变一本振的频率,因此,从工程上可以认为2阶互调低频阻塞效应因子仅取决于辐射频偏,低频干扰相对电平仅取决于2阶互调频差,简化后的2阶互调低频阻塞效应预测模型为
Rs(f2−f1)=β(f1−f0)β(f2−f0)Lr(f2−f1)E1(f1)E10(f1)E2(f2)E20(f2) (9) 其中的模型参数需要通过带外双频临界干扰效应试验测定(受论文篇幅限制,不再赘述)。R2≥1时出现2阶互调低频阻塞干扰,R2<1时用频装备能够正常工作。
5.1 模型参数测试结果
设定受试通信电台的工作频率为60 MHz,试验测定受试通信电台低频干扰电平随互调频差的变化关系、2阶互调低频阻塞干扰因子与辐射频偏的关系分别如图5、图6所示。
由于低频干扰电平是决定受试电台能否出现2阶互调低频阻塞干扰的关键技术指标,干扰电平提高20 dB后,可以不再考虑2阶互调低频阻塞干扰对受试通信电台的影响。根据图5测试结果,可以认为受试通信电台出现2阶互调低频阻塞干扰的敏感互调频差为10~135 kHz。
从图6测试结果可以看出,辐射频频过大或过小均不易产生2阶互调低频阻塞干扰,受试通信电台在辐射频偏处于65~880 kHz范围内时,2阶互调低频阻塞干扰不容忽视。
5.2 低频阻塞干扰效应实验验证
利用受试通信电台在工作频率60 MHz测试确定的2阶互调低频阻塞干扰因子和低频干扰电平相对值,假定其随电磁辐射频偏或互调频差的变化关系不随受试通信电台工作频率变化而变化,改变受试通信电台工作频率,测试不同频偏组合的带外2阶互调低频阻塞干扰临界电场强度组合,按式(4)计算2阶互调低频阻塞干扰效应指数R2,验证效应评估的准确性,结果如表4所列。
表 4 2阶互调低频阻塞干扰效应评估准确度电台工作频率(MHz) 50 60 70 50 60 70 频率组合(kHz) f1–f0 200 200 200 200 200 230 f2–f0 250 250 250 300 300 330 临界干扰场强比 E1/E10 –25.0 –28.9 –29.1 –26.3 –30.2 –29.1 E2/E20 –23.7 –30.9 –22.0 –28.7 –30.1 –28.9 评估准确度R2 4.4 –6.7 2.0 –4.1 –9.4 –7.6 从表4可以看出,虽然受试通信电台的低频干扰电平相对值、2阶互调低频阻塞干扰因子都是在电台工作频率60 MHz的条件下测定的,在试验条件改变后,采用单组2阶互调低频阻塞效应试验验证效应评估的准确度时,电台工作频率60 MHz时的评估误差并不小,说明评估误差源于测试数据的误差,与受试装备工作频率关系不大,从而验证了效应机理分析的正确性。
6. 结论
本文通信电台单频、双频电磁辐射效应实验表明:
(1) 受试超短波通信电台电磁辐射敏感带宽约为60 kHz,辐射频偏处于±25~35 kHz范围时,临界干扰场强随辐射频偏增加迅速提高,电磁辐射频偏大于30 kHz时,临界干扰场强较带内提高40~60 dB;
(2) 3阶互调敏感属于射频阻塞机理,相对于单频电磁辐射干扰,受试电台对带外双频3阶互调电磁辐射干扰敏感9~23 dB;
(3) 当带外双频干扰的2阶、3阶互调频率处于受试电台敏感频带之外时,带外双频电磁辐射敏感机理属于2阶互调低频阻塞机理,即2阶互调频率落入受试装备低频滤波敏感带宽内,导致的低频检波信号阻塞;
(4) 受试电台出现2阶互调低频阻塞干扰的敏感条件是:双频互调频差10~135 kHz、辐射频偏65~880 kHz。
-
表 1 PE文件改写原子操作
改写模块 改写内容 PE头文件 PE标志位修改 PE文件校验和修改 节表 导入表添加冗余导入函数 节表模块重命名 节表冗余信息填充 节表新模块添加 PE文件 加壳、脱壳操作 
下载: 导出CSV
表 3 恶意代码检测引擎检测结果
评测样本集 良性样本误报 恶意样本误报 误报样本综述 模型检测准确率(%) 原始样本集 7 10 17 98.88 初代对抗样本集 37 9 46 96.97 优化后的对抗样本集 228 11 239 84.23
下载: 导出CSV
表 4 厂商产品的检测成功率
恶意代码检测引擎 误报样本数 检测逃逸率(%) Cylance 111 46.45 Endgame 43 17.99 Sophos ML 50 20.92 Trapmine 35 14.64
下载: 导出CSV
-
LANDAGE J and WANKHADE M P. Malware and malware detection techniques: A survey[J]. International Journal of Engineering Research & Technology, 2013, 2(12): 61–68. SAXE J and BERLIN K. Deep neural network based malware detection using two dimensional binary program features[C]. The 10th International Conference on Malicious and Unwanted Software (MALWARE), Fajardo, USA, 2015: 11–20. doi: 10.1109/MALWARE.2015.7413680. ARP D, SPREITZENBARTH M, HUBNER M, et al. Drebin: Effective and explainable detection of android malware in your pocket[C]. Network and Distributed System Security Symposium, San Diego, USA, 2014: 23–26. doi: 10.14722/ndss.2014.23247. RAFF E, SYLVESTER J, and NICHOLAS C. Learning the PE header, malware detection with minimal domain knowledge[C]. The 10th ACM Workshop on Artificial Intelligence and Security, Dallas, USA, 2017: 121–132. doi: 10.1145/3128572.3140442. RAFF E, ZAK R, COX R, et al. An investigation of byte n-gram features for malware classification[J]. Journal of Computer Virology and Hacking Techniques, 2018, 14(1): 1–20. doi: 10.1007/s11416-016-0283-1 Cylance Inc. What’s new in CylancePROTECT and CylanceOPTICS[EB/OL]. https://s7d2.scene7.com/is/content/cylance/prod/cylance-web/en-us/resources/knowledge-center/resource-library/briefs/Whats-New-CylancePROTECT-and-CylanceOPTICS.pdf, 2020. Sophos Inc. Sophos central migration tool articles, documentation and resources[EB/OL]. https://community.sophos.com/kb/en-us/122264#Product%20Information, 2020. 梁光辉, 庞建民, 单征. 基于代码进化的恶意代码沙箱规避检测技术研究[J]. 电子与信息学报, 2019, 41(2): 341–347. doi: 10.11999/JEIT180257LIANG Guanghui, PANG Jianmin, and SHAN Zheng. Malware sandbox evasion detection based on code evolution[J]. Journal of Electronics &Information Technology, 2019, 41(2): 341–347. doi: 10.11999/JEIT180257 GROSSE K, PAPERNOT N, MANOHARAN P, et al. Adversarial perturbations against deep neural networks for malware classification[J]. arXiv, 2016, 1606.04435. XU Weilin, QI Yanjun, and EVANS D. Automatically evading classifiers[C]. The 23rd Annual Network and Distributed System Security Symposium, San Diego, USA, 2016: 21–24. doi: 10.14722/ndss.2016.23115. HU Weiwei and TAN Ying. Generating adversarial malware examples for black-box attacks based on GAN[J]. arXiv, 2017, 1702.05983. HU Weiwei and TAN Ying. Black-box attacks against RNN based malware detection algorithms[C]. The Workshops of the 32nd AAAI Conference on Artificial Intelligence, New Orleans, USA, 2018. RAFF E, BARKER J, SYLVESTER J, et al. Malware detection by eating a whole exe[C]. The Workshops of the 32nd AAAI Conference on Artificial Intelligence, New Orleans, USA, 2018: 268–276. TOTAL V. VirusTotal-free online virus, malware and url scanner[EB/OL]. https//www.virustotal.com/en, 2012. PASCANU R, STOKES J W, SANOSSIAN H, et al. Malware classification with recurrent networks[C]. IEEE International Conference on Acoustics, Speech and Signal Processing (ICASSP), Brisbane, Australia, 2015: 1916–1920. doi: 10.1109/ICASSP.2015.7178304. KOLOSNJAJI B, ZARRAS A, WEBSTER G, et al. Deep learning for classification of malware system call sequences[C]. The 29th Australasian Joint Conference on Artificial Intelligence, Hobart, Australia, 2016: 137–149. doi: 10.1007/978-3-319-50127-7_11. HUANG Wenyi and STOKES J W. MtNet: A multi-task neural network for dynamic malware classification[C]. The 13th International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment, San Sebastián, Spain, 2016: 399–418. doi: 10.1007/978-3-319-40667-1_20. MANNING C D, RAGHAVAN P, and SCHÜTZE H. Introduction to Information Retrieval[M]. Cambridge: Cambridge University Press, 2008. HAN K S, LIM J H, KANG B, et al. Malware analysis using visualized images and entropy graphs[J]. International Journal of Information Security, 2015, 14(1): 1–14. doi: 10.1007/s10207-014-0242-0 KANCHERLA K and MUKKAMALA S. Image visualization based malware detection[C]. 2013 IEEE Symposium on Computational Intelligence in Cyber Security (CICS), Singapore, 2013: 40–44. doi: 10.1109/CICYBS.2013.6597204. LIU Xinbo, LIN Yaping, LI He, et al. A novel method for malware detection on ML-based visualization technique[J]. Computers & Security, 2020, 89: 101682. doi: 10.1016/j.cose.2019.101682 Skylight. Cylance, I kill you![ EB/OL]. https://skylightcyber.com/2019/07/18/cylance-i-kill-you/, 2019. MOHURLE S and PATIL M. A brief study of wannacry threat: Ransomware attack 2017[J]. International Journal of Advanced Research in Computer Science, 2017, 8(5): 1938–1940. doi: 10.26483/ijarcs.v8i5.4021 DANG Hung, HUANG Yue, and CHANG E C. Evading classifiers by morphing in the dark[C]. 2017 ACM SIGSAC Conference on Computer and Communications Security, Dallas, USA, 2017: 119–133. doi: 10.1145/3133956.3133978. 戚利. Windows PE权威指南[M]. 北京: 机械工业出版社, 2011: 67–68.QI Li. Windows PE: The Definitive Guide[M]. Beijing: Machinery Industry Press, 2011: 67–68. KOZA J R. Genetic Programming II: Automatic Discovery of Reusable Subprograms[M]. Cambridge, MA, USA: MIT Press, 1994: 32. Cuckoo Sandbox. Cuckoo Sandbox–Automated malware analysis[EB/OL]. http://www.cuckoosandbox.org, 2017. BANON S. Elastic endpoint security[EB/OL]. https://www.elastic.co/cn/blog/introducing-elastic-endpoint-security, 2019. Trapmine Inc. TRAPMINE integrates machine learning engine into VirusTotal[EB/OL]. https://trapmine.com/blog/trapmine-machine-learning-virustotal/, 2018. 期刊类型引用(4)
1. 王琦,王鹏飞,李晓鲲,李树良,林维涛. 宽带小型化高精度驱动延时组件的研制. 现代雷达. 2020(11): 70-73 . 
百度学术2. 索宏泽,路志勇. 一种平面结构的遥感卫星接收天线系统设计. 无线电工程. 2018(06): 488-491 . 百度学术3. 宋长宏,吴群,张文静. K波段双圆极化波导阵列天线设计. 系统工程与电子技术. 2015(01): 1-5 . 百度学术4. 林志强,贾维敏,姚敏立,高江,王虹. 混合扫描多子阵平板天线旁瓣电平优化研究. 微波学报. 2011(06): 54-58 . 百度学术其他类型引用(3)
-
下载:
百度学术
计量
- 文章访问数: 3003
- HTML全文浏览量: 986
- PDF下载量: 255
- 被引次数: 7
下载:
