轻量级物联网恶意软件检测与家族分类方法研究.pdfVIP

摘要

物联网设备数激增导致其安全问题日益突出。物联网设备计算、存储资源有限，且

具有多平台、多架构的特点，反汇编和配置动态分析环境十分复杂，传统恶意软件检测

方法难以实施。新型物联网恶意软件层出不穷，及时获取大量有标签样本以训练恶意软

件检测模型十分困难，针对新型物联网恶意软件的防御明显滞后。为缓解上述问题，进

一步提高物联网恶意软件检测与家族分类性能，本文主要做如下研究工作：

(1)针对物联网设备计算、存储资源有限和平台异构等因素导致的防御模型部署困

难问题，设计了一个基于视觉可解释性和多教师知识蒸馏的轻量级物联网恶意软件检测

与家族分类系统。首先利用物联网软件灰度图训练复杂模型，通过梯度加权类激活映射，

可视化并统计影响模型决策的重要代码出现的高频位置，进而截取重要位置代码以重构

灰度图用来训练轻量级恶意软件识别网络LightweightMalwareDetectionNetwork

(LMDNet)进行恶意软件检测。在此基础上，通过多教师知识蒸馏方法训练学生模型

LMDNet，得到KD-LMDNet以实现恶意软件家族分类。实验结果表明，恶意软件检测

速度比传统方法提升23.68%，准确率达到98.92%。物联网恶意软件家族分类准确率达

到96.20%，在Malimg数据集家族分类准确率为99.07%，模型大小为0.45M。

(2)常见的小样本恶意软件家族分类方法存在计算、存储资源开销大等问题。针对现

有的基于关系网络的小样本学习方法进行改进，提出了一种基于深度轻量级关系网络

EfficientandLightweightRelationNet(ELRNet)的小样本物联网恶意软件家族分类方法。

通过使用深度可分离卷积和残差连接改进关系网络的嵌入模块，解决现有基于conv-4嵌

入模块特征提取能力不足的问题，在实现多层次特征提取同时进一步降低过拟合风险；

利用轻量混合池化LightweightMixedPooling(LMP)模块代替关系网络中关系模块的全

连接层，在降低模型复杂度的同时，保持了对特征的有效学习；采用元学习策略进行训

练，使模型能够被所有小样本恶意软件分类任务共享。结果表明，在Malimg数据集中，

模型表现均优于基线方法。同时，本文模型在Malimg数据集上训练，在物联网恶意软

件数据集上工作，准确率达到96.06%，模型大小为0.79M。

关键词：恶意软件视觉可解释性轻量化卷积神经网络知识蒸馏小样本学习

Abstract

TherapidincreaseinthenumberofInternetofThings(IoT)deviceshasledtoincreasingly

severeIoTsecurityproblems.IoTdeviceshavelimitedcomputingandstorageresources.The

disassemblyandconfigurationdynamicanalysisenvironmentinIoTmalwaredetectionisvery

complexbecauseofitsmulti-platformandmulti-architecturecharacteristics.Traditional

malwaredetectionmethodsaredifficulttoapply.NewIoTmalwareemergesinanendless

stream,anditisverydifficulttoobtainmanylabeledsamplesintimetotrainmalwaredetection

models.ThereisalaginthedefenseofnewIoTmalware.Toalleviatetheseproblemsand

furtherimprovetheperformanceofIoTmalwaredetectionandfamilyclassification.Themain

contribution