張皓

（鄭州工業(yè)應(yīng)用技術(shù)學(xué)院 河南省鄭州市 451100）

惡意軟件是互聯(lián)網(wǎng)發(fā)展過(guò)程中產(chǎn)生的未經(jīng)用戶許可，強(qiáng)行運(yùn)行，影響用戶使用的病毒，又被稱為流氓軟件。計(jì)算機(jī)技術(shù)的進(jìn)步也導(dǎo)致流氓軟件的數(shù)量越來(lái)越多，組成也越來(lái)越復(fù)雜，嚴(yán)重影響了網(wǎng)絡(luò)安全，除此之外，受信息技術(shù)的影響，惡意軟件的攻擊方法也在不斷更新，因此急需對(duì)惡意軟件進(jìn)行檢測(cè)，傳統(tǒng)的惡意軟件檢測(cè)方法受到惡意軟件數(shù)量和攻擊方式的限制，無(wú)法滿足現(xiàn)有的檢測(cè)需求，仍然依賴人工方法提取檢測(cè)中的相關(guān)信息，因此無(wú)法滿足現(xiàn)有的檢測(cè)需求，急需設(shè)計(jì)一種新的惡意軟件動(dòng)態(tài)檢測(cè)方法來(lái)解決現(xiàn)有的惡意軟件動(dòng)態(tài)檢測(cè)問(wèn)題。

智能設(shè)備的普及化拓寬了惡意軟件的傳播通道，越來(lái)越多的惡意軟件利用信息傳播的快捷性非法竊取用戶信息，給用戶網(wǎng)絡(luò)信息安全帶來(lái)很大的威脅，因此惡意軟件已經(jīng)成為影響用戶網(wǎng)絡(luò)安全的重要問(wèn)題，相關(guān)研究人員調(diào)查了2018年惡意軟件的變化情況，結(jié)果表明惡意軟件數(shù)量快速增加，在一個(gè)季度中的樣本總數(shù)量甚至突破了6300 萬(wàn)個(gè)，且呈持續(xù)增加趨勢(shì)，在這種情況下各個(gè)網(wǎng)絡(luò)安全公司紛紛研究了相關(guān)的惡意軟件動(dòng)態(tài)檢測(cè)方法，但受特征碼限制，這些檢測(cè)方法都具有十分明顯的缺點(diǎn)，深度學(xué)習(xí)可以根據(jù)樣本的表達(dá)規(guī)律進(jìn)行智能化分析識(shí)別，在惡意軟件的特征識(shí)別中效果較突出，因此本文基于深度學(xué)習(xí)設(shè)計(jì)了新的惡意軟件動(dòng)態(tài)檢測(cè)方法，為后續(xù)惡意軟件的攔截及網(wǎng)絡(luò)安全環(huán)境的維護(hù)作貢獻(xiàn)。

1 基于深度學(xué)習(xí)的惡意軟件動(dòng)態(tài)檢測(cè)方法設(shè)計(jì)

1.1 采集提取惡意軟件特征

惡意軟件能被有效識(shí)別的關(guān)鍵就是惡意軟件特征的提取，因此惡意軟件動(dòng)態(tài)檢測(cè)的第一步就是采集惡意軟件信息，進(jìn)行特征提取。根據(jù)實(shí)際惡意軟件的攻擊狀態(tài)，可以設(shè)置Virtual machine introspection 虛擬機(jī)，進(jìn)行惡意軟件信息采集和識(shí)別，該虛擬機(jī)的結(jié)構(gòu)如圖1 所示。

由圖1 可知，利用該虛擬機(jī)進(jìn)行惡意軟件特征采集時(shí)需要增加內(nèi)部的安全性，設(shè)計(jì)Machine Mannager 安全管理工具實(shí)現(xiàn)數(shù)據(jù)的安全采集探測(cè)。在進(jìn)行惡意軟件信息采集的過(guò)程中需要利用虛擬機(jī)內(nèi)核加載數(shù)據(jù)采集代理端，賦予虛擬機(jī)采集監(jiān)控工具管理權(quán)限，實(shí)現(xiàn)語(yǔ)義信息的識(shí)別和轉(zhuǎn)換。

圖1：Virtual machine introspection 虛擬機(jī)結(jié)構(gòu)

虛擬機(jī)設(shè)置完畢后，需要根據(jù)現(xiàn)有的提取條件，提取惡意軟件的調(diào)用序列。根據(jù)惡意軟件的實(shí)際權(quán)限問(wèn)題可以設(shè)置虛擬化Kernel-based Virtual Machine 提取平臺(tái)，該平臺(tái)可以利用虛擬化技術(shù)設(shè)計(jì)惡意軟件動(dòng)態(tài)提取方案，加載提取模塊后進(jìn)行Linux 內(nèi)核轉(zhuǎn)換，再根據(jù)提取需求進(jìn)行提取。受惡意軟件特征的復(fù)雜性影響，在實(shí)際特征提取的過(guò)程中可能會(huì)出現(xiàn)提取失敗的現(xiàn)象，此時(shí)本方法使用Intel-VT 技術(shù)進(jìn)行non-root 模式轉(zhuǎn)換，保證提取模塊能夠通過(guò)VM Entry 和VM Exit 完成惡意軟件特征的提取。

在實(shí)際操作的過(guò)程中，隨著惡意軟件數(shù)量的增多，其數(shù)據(jù)采集和惡意特征提取的速度也在逐漸下降，因此本文設(shè)計(jì)了一種快速系統(tǒng)調(diào)用機(jī)制，設(shè)計(jì)了sysenter sysexit指令提高特征提取的效率，實(shí)現(xiàn)高效系統(tǒng)調(diào)用，但在應(yīng)用sysenter sysexit 指令時(shí)一定要注意處理器的狀態(tài)，必須保證處理器中的SCE 處在標(biāo)志位上，避免出現(xiàn)處理器異常中斷的問(wèn)題。

1.2 基于深度學(xué)習(xí)構(gòu)建惡意軟件動(dòng)態(tài)檢測(cè)模型

傳統(tǒng)的惡意軟件動(dòng)態(tài)檢測(cè)方法通常需要依賴人工進(jìn)行惡意軟件特征數(shù)據(jù)檢測(cè)，而深度學(xué)習(xí)可以根據(jù)特征提取樣本的規(guī)律和數(shù)據(jù)表達(dá)方式進(jìn)行智能化識(shí)別，因此可以利用深度學(xué)習(xí)中的處理單元實(shí)現(xiàn)惡意軟件特征的轉(zhuǎn)換和提取，受神經(jīng)元特性影響，深度學(xué)習(xí)構(gòu)建的抽象神經(jīng)網(wǎng)絡(luò)可以模擬智能化神經(jīng)網(wǎng)絡(luò)識(shí)別抽象的特征，因此其進(jìn)行動(dòng)態(tài)檢測(cè)的流程如圖2 所示。

圖2：深度學(xué)習(xí)動(dòng)態(tài)檢測(cè)流程

由圖2 所示，利用此檢測(cè)流程進(jìn)行檢測(cè)時(shí)最關(guān)鍵的就是深度學(xué)習(xí)訓(xùn)練，因此需要根據(jù)數(shù)據(jù)采集和數(shù)據(jù)處理結(jié)果構(gòu)建基于深度學(xué)習(xí)的惡意軟件動(dòng)態(tài)檢測(cè)模型，如下（1）所示。

模型（1）中，ecp(y)代表深度學(xué)習(xí)網(wǎng)絡(luò)指標(biāo)，f(x)代表初始ReLU 函數(shù)，結(jié)合該神經(jīng)網(wǎng)絡(luò)模型可以進(jìn)行映射定義和映射模擬，設(shè)計(jì)正確的數(shù)據(jù)傳遞算法實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)的反饋，組成新的前饋神經(jīng)網(wǎng)絡(luò)。

組成前饋神經(jīng)網(wǎng)絡(luò)的訓(xùn)練數(shù)據(jù)十分復(fù)雜，且特征不一，與神經(jīng)網(wǎng)絡(luò)隱藏層的連接狀態(tài)有重要關(guān)系，因此可以根據(jù)輸入層與輸出層的神經(jīng)元狀態(tài)，設(shè)置連接權(quán)重，計(jì)算連接指標(biāo)，保證惡意軟件動(dòng)態(tài)檢測(cè)模型的準(zhǔn)確檢測(cè)。當(dāng)輸出層中存在惡意軟件特征數(shù)據(jù)時(shí)，需要進(jìn)行核心卷積連接，在保證卷積層局部特征穩(wěn)定的情況下進(jìn)行惡意軟件檢測(cè)，不僅如此，數(shù)據(jù)的空間連續(xù)性是卷積層權(quán)重的計(jì)算核心，因此需要繪制特征圖來(lái)識(shí)別過(guò)濾惡意信息，避免出現(xiàn)池化過(guò)擬合現(xiàn)象，降低惡意軟件動(dòng)態(tài)檢測(cè)模型的監(jiān)測(cè)效果。

對(duì)上述設(shè)計(jì)的惡意軟件動(dòng)態(tài)檢測(cè)模型進(jìn)行檢測(cè)發(fā)現(xiàn)，其檢測(cè)效果受特異性影響，因此需要設(shè)計(jì)深度學(xué)習(xí)語(yǔ)言，與向量空間融合，降低模型的維度識(shí)別問(wèn)題，因此可以根據(jù)現(xiàn)行函數(shù)的類型進(jìn)行N 維向量重組，設(shè)置正確的索引位置，通過(guò)線性映射空間進(jìn)行Look-up 離散表示，表示后，根據(jù)向量的連接特征輸出與tanh 擬合的輸出單元，使用上述模型計(jì)算該語(yǔ)言的擬合概率值，計(jì)算結(jié)果表明，該語(yǔ)言符合模型的特異性需求。

1.3 搭建虛擬化惡意軟件檢測(cè)平臺(tái)

根據(jù)上述設(shè)計(jì)的惡意軟件動(dòng)態(tài)檢測(cè)模型，可以搭建虛擬化惡意軟件檢測(cè)平臺(tái)，降低檢測(cè)過(guò)程中出現(xiàn)檢測(cè)錯(cuò)誤的風(fēng)險(xiǎn)，實(shí)現(xiàn)智能化檢測(cè)控制。首先可以根據(jù)實(shí)際檢測(cè)狀態(tài)獲取動(dòng)態(tài)的監(jiān)測(cè)結(jié)果，引入vmx_handle_exit()處理函數(shù)進(jìn)行處理，根據(jù)該函數(shù)產(chǎn)生的exit_reason 可以進(jìn)行數(shù)組存放，完成惡意軟件檢測(cè)平臺(tái)的指令模擬，接下來(lái)可以根據(jù)平臺(tái)的VMM 恢復(fù)需求，設(shè)計(jì)Kvm_vmx 存放代碼，完成虛擬化惡意軟件檢測(cè)平臺(tái)的設(shè)計(jì)。

利用上述搭建的虛擬化惡意軟件處理的流程如下：首先根據(jù)用戶的安全狀態(tài)修改VMM 數(shù)值，設(shè)置正確的惡意軟件檢測(cè)目標(biāo)，再向設(shè)計(jì)的平臺(tái)內(nèi)輸入SYSENTER_CS_MSR 進(jìn)行開(kāi)啟檢測(cè)模塊，利用變量進(jìn)行檢測(cè)監(jiān)控，完成檢測(cè)準(zhǔn)備，其次，使用VMM 進(jìn)行虛擬執(zhí)行恢復(fù)，根據(jù)虛擬觸發(fā)機(jī)制設(shè)計(jì)VM Exit，接下來(lái)，利用設(shè)計(jì)的SYSCALL 觀察是否存在指令觸發(fā)現(xiàn)象，一旦存在指令觸發(fā)現(xiàn)象需要立即進(jìn)行虛擬機(jī)恢復(fù)，否則可以繼續(xù)讀取寄存器中的內(nèi)容進(jìn)行參數(shù)調(diào)用，如果指令執(zhí)行過(guò)程中初心了阻塞現(xiàn)象，可以根據(jù)阻塞狀態(tài)進(jìn)行信號(hào)恢復(fù)處理，保證檢測(cè)平臺(tái)的檢測(cè)效果。

設(shè)計(jì)的虛擬化惡意軟件檢測(cè)平臺(tái)使用ioctl 進(jìn)行通信，根據(jù)VMM 修改結(jié)果及時(shí)傳輸惡意軟件檢測(cè)信息，完成Linux內(nèi)部通信，除此之外，為了保證平臺(tái)的檢測(cè)效率，平臺(tái)還額外設(shè)置了通信信號(hào)詢問(wèn)機(jī)制，利用copy_to_user 函數(shù)不斷進(jìn)行安全信息檢測(cè)，完成動(dòng)態(tài)檢測(cè)信息的高效傳遞。

1.4 自動(dòng)提取蠕蟲(chóng)特征碼

蠕蟲(chóng)病毒是一種最常見(jiàn)的計(jì)算機(jī)惡意軟件，其可以根據(jù)計(jì)算機(jī)漏洞實(shí)現(xiàn)傳播，篡改計(jì)算機(jī)系統(tǒng)，嚴(yán)重影響計(jì)算機(jī)安全，因此本方法通過(guò)多樣化數(shù)據(jù)處理研究了蠕蟲(chóng)特征碼的自動(dòng)提取方式，提高惡意軟件動(dòng)態(tài)檢測(cè)的效率。

基于上述特性，設(shè)計(jì)了蠕蟲(chóng)特征碼提取方案，首先根據(jù)頻數(shù)處理和差值處理原則進(jìn)行CNN 訓(xùn)練，檢測(cè)訓(xùn)練后蠕蟲(chóng)特征碼的顯示狀態(tài)，然后利用DNNLM 構(gòu)建訓(xùn)練模型，設(shè)計(jì)Signature Beam Search 算法降低蠕蟲(chóng)特征碼的處理難度。由上述處理方案可知，蠕蟲(chóng)檢測(cè)模塊是蠕蟲(chóng)特征碼提取的中心，受模塊檢測(cè)需求的影響，在設(shè)計(jì)時(shí)需要有效地收集蠕蟲(chóng)檢測(cè)數(shù)據(jù)，區(qū)分蠕蟲(chóng)載荷數(shù)值，經(jīng)過(guò)對(duì)模塊的驗(yàn)證可知，僅進(jìn)行蠕蟲(chóng)檢測(cè)無(wú)法實(shí)現(xiàn)蠕蟲(chóng)特征碼的高效提取，因此需要設(shè)置蠕蟲(chóng)特征預(yù)警模塊，及時(shí)接收CNN 蠕蟲(chóng)預(yù)警，并根據(jù)預(yù)警數(shù)值實(shí)現(xiàn)蠕蟲(chóng)特征的高效提取。

1.5 實(shí)現(xiàn)惡意軟件動(dòng)態(tài)檢測(cè)

實(shí)現(xiàn)惡意軟件動(dòng)態(tài)檢測(cè)的最后一步就是進(jìn)行動(dòng)態(tài)檢測(cè)語(yǔ)義重構(gòu)，惡意軟件攻擊語(yǔ)言的檢測(cè)是影響惡意軟件動(dòng)態(tài)檢測(cè)結(jié)果的重要因素，因此可以使用語(yǔ)義重構(gòu)法對(duì)操作語(yǔ)義進(jìn)行重新定義，設(shè)計(jì)新的惡意軟件動(dòng)態(tài)檢測(cè)序列，來(lái)保證惡意軟件動(dòng)態(tài)檢測(cè)的檢測(cè)效果，降低動(dòng)態(tài)檢測(cè)面臨的風(fēng)險(xiǎn)。

惡意軟件可以攻擊系統(tǒng)的調(diào)用函數(shù)，導(dǎo)致其發(fā)生偏移，從而產(chǎn)生系統(tǒng)漏洞，因此可以設(shè)置調(diào)用語(yǔ)義，進(jìn)行調(diào)用檢測(cè)實(shí)現(xiàn)操作符號(hào)的查詢，一旦惡意軟件信息被結(jié)構(gòu)體串聯(lián)，需要通過(guò)語(yǔ)義重構(gòu)，設(shè)置stack degment、mmap segment、heap segment 進(jìn)行進(jìn)程切換，保證惡意軟件的有效檢測(cè)，為了保證檢測(cè)效果，設(shè)計(jì)的語(yǔ)義可以進(jìn)行Section Object 字段重合，設(shè)置可以執(zhí)行的EPROCESS 進(jìn)程信息，完成惡意軟件特征的提取。

在實(shí)際檢測(cè)中，可能會(huì)存在syscall/sysret 參數(shù)與實(shí)際檢測(cè)參數(shù)不一致的情況，因此需要設(shè)計(jì)正確的參數(shù)調(diào)用格式，使用正確的參數(shù)信息進(jìn)行處理，一旦出現(xiàn)檢測(cè)信息解壓異常和代碼混淆的情況，可以設(shè)計(jì)控制流程圖，利用Libvmi 進(jìn)行物理內(nèi)存庫(kù)的讀寫(xiě)，根據(jù)操作系統(tǒng)符號(hào)表，結(jié)合相應(yīng)的操作系統(tǒng)原理來(lái)獲得內(nèi)核關(guān)鍵數(shù)據(jù)，消除語(yǔ)義鴻溝問(wèn)題，整個(gè)處理步驟如下：第一步應(yīng)用程序請(qǐng)求查看內(nèi)核符號(hào)，第二步通過(guò)system.map 獲取內(nèi)核符號(hào)的虛擬地址，第三步找到內(nèi)核頁(yè)目錄，獲取對(duì)應(yīng)頁(yè)表地址 ，最后使用libvmi 將數(shù)據(jù)頁(yè)內(nèi)容返回給應(yīng)用程序，實(shí)現(xiàn)惡意軟件的動(dòng)態(tài)檢測(cè)。

2 實(shí)驗(yàn)

為了檢驗(yàn)設(shè)計(jì)的惡意軟件自動(dòng)檢測(cè)方法的檢測(cè)效果，搭建了實(shí)驗(yàn)平臺(tái)，將其與傳統(tǒng)的惡意軟件動(dòng)態(tài)檢測(cè)方法進(jìn)行對(duì)比，實(shí)驗(yàn)如下。

2.1 實(shí)驗(yàn)準(zhǔn)備

根據(jù)實(shí)驗(yàn)的實(shí)際需求，構(gòu)建了實(shí)驗(yàn)數(shù)據(jù)采集中心，利用MATLAB 軟件構(gòu)建了仿真檢測(cè)環(huán)境，為后續(xù)的驗(yàn)證提供依據(jù)，實(shí)驗(yàn)中使用的架構(gòu)、數(shù)據(jù)集等，都需要進(jìn)行準(zhǔn)確描述，提高實(shí)驗(yàn)的準(zhǔn)確性，實(shí)驗(yàn)需要突出惡意軟件的動(dòng)態(tài)檢測(cè)效果，因此實(shí)驗(yàn)使用的樣本分為兩種類型，即惡意軟件樣本及良性軟件樣本，選取Drebin 數(shù)據(jù)集和CICAndMal2018 數(shù)據(jù)集的數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，經(jīng)檢測(cè)，Window 中的惡意軟件樣本數(shù)量共1350 個(gè)，惡意軟件樣本的類型較豐富，其基本類別組合成表如表1 所示。

表1：惡意軟件數(shù)據(jù)集組成表

由表1 可知，此時(shí)Trojan-Banker 的數(shù)量最多，Hack Tool 的數(shù)量最少，Trojan-Downloads 與Worm 的數(shù)量接近，根據(jù)惡意軟件數(shù)據(jù)集組成表，可以采集SPEC2015 程序中的635 個(gè)程序作為本實(shí)驗(yàn)的良性軟件樣本，利用Virus Total 進(jìn)行識(shí)別驗(yàn)證，確保這些軟件不存在惡意操作。

根據(jù)實(shí)驗(yàn)需求，搭建數(shù)據(jù)采集平臺(tái)，保證采集數(shù)據(jù)的準(zhǔn)確性，利用VM Ware 進(jìn)行采集運(yùn)行模擬，受數(shù)據(jù)采集效率的影響，其操作系統(tǒng)需要進(jìn)行重新設(shè)置，本實(shí)驗(yàn)使用windows7 操作系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集平臺(tái)的操作，具體的采集架構(gòu)如圖3 所示。

由圖3 可知，在該數(shù)據(jù)采集平臺(tái)工作的過(guò)程中，首先需要利用PIN 工具和待測(cè)程序進(jìn)行PIN 調(diào)整，再將其與選取的windows7 操作系統(tǒng)連接，利用虛擬機(jī)搭建數(shù)據(jù)采集平臺(tái)內(nèi)部的數(shù)據(jù)處理模塊，包括數(shù)據(jù)流圖構(gòu)建、分析決策等，完成數(shù)據(jù)采集及數(shù)據(jù)處理。

圖3：數(shù)據(jù)采集平臺(tái)架構(gòu)

在利用PIN 進(jìn)行數(shù)據(jù)采集處理的過(guò)程中需要注意程序的編譯問(wèn)題，可以根據(jù)實(shí)際程序運(yùn)行狀態(tài)設(shè)計(jì)動(dòng)態(tài)框架，保證二進(jìn)制程序編譯的實(shí)時(shí)性，對(duì)初始的二進(jìn)制程序進(jìn)行編譯檢測(cè)，檢測(cè)結(jié)果如表2 所示。

表2： 二進(jìn)制程序編譯檢測(cè)

由表2 可知，受實(shí)際編譯環(huán)境影響，二進(jìn)制程序在編譯檢測(cè)時(shí)經(jīng)常存在輸入編碼與輸出編碼不符的情況，因此需要設(shè)計(jì)一種動(dòng)態(tài)二進(jìn)制插樁框架解決編碼中面臨的動(dòng)態(tài)輸出問(wèn)題，即在開(kāi)始進(jìn)行編碼的初期，利用源代碼設(shè)計(jì)編譯因子，并利用編譯因子組成動(dòng)態(tài)編譯程序，完成編譯功能。

在實(shí)際代碼重組過(guò)程中可能受到程序行為影響，采集的信息可能與實(shí)際指令不符，為了增加實(shí)驗(yàn)的準(zhǔn)確性，本實(shí)驗(yàn)在傳統(tǒng)的PIN 框架基礎(chǔ)上引入了準(zhǔn)確性源代碼指令，保證源代碼指令能完成程序采集信息的處理，在數(shù)據(jù)讀取的過(guò)程中，搭建的實(shí)驗(yàn)平臺(tái)利用YDH4526 寄存器進(jìn)行時(shí)鐘信息的寄存及處理，保證采集工具的采集連貫性，形成底層數(shù)據(jù)與內(nèi)存數(shù)據(jù)之間的傳遞關(guān)系，根據(jù)數(shù)據(jù)的運(yùn)行邏輯，可以將實(shí)驗(yàn)所需的數(shù)據(jù)進(jìn)行邏輯處理劃分成功能不同的信息指令模塊，并設(shè)計(jì)相應(yīng)的編碼，編碼主要以二元組的形式出現(xiàn)，可以描述YDH4526 寄存器內(nèi)部的數(shù)據(jù)處理關(guān)系。

良性軟件內(nèi)部可能存在X-Y 形式的讀寫(xiě)數(shù)據(jù)，為了將其與惡性軟件中的R-W 數(shù)據(jù)區(qū)分開(kāi)，需要進(jìn)行Y 化取值，設(shè)置ox77125ab1 a：push oxf 作為訪問(wèn)目標(biāo)地址進(jìn)行后續(xù)的實(shí)驗(yàn)。準(zhǔn)備完成后，需要對(duì)使用的惡意軟件檢測(cè)環(huán)境進(jìn)行十折交叉驗(yàn)證，即10-fold cross-validation 驗(yàn)證，測(cè)試上述實(shí)驗(yàn)環(huán)境的穩(wěn)定性，將上述實(shí)驗(yàn)使用的樣本進(jìn)行隨機(jī)劃分，若產(chǎn)生的綜合系數(shù)高于數(shù)值10 則證明使用的樣本集和搭建的實(shí)驗(yàn)環(huán)境符合后續(xù)的實(shí)驗(yàn)需求，10-fold cross-validation 測(cè)試結(jié)果如表3 所示。

表3：10-fold cross-validation 測(cè)試結(jié)果

由表3 可知，隨機(jī)抽取的樣本經(jīng)過(guò)十折交叉驗(yàn)證，其測(cè)試的數(shù)值均高于10，證明搭建的實(shí)驗(yàn)環(huán)境和選取的實(shí)驗(yàn)數(shù)據(jù)集均符合后續(xù)的實(shí)驗(yàn)需求。受實(shí)驗(yàn)的精度需求影響，在進(jìn)行惡意軟件動(dòng)態(tài)檢測(cè)前需要進(jìn)行數(shù)據(jù)集訓(xùn)練，使用標(biāo)準(zhǔn)化測(cè)試訓(xùn)練程序?qū)y(cè)試數(shù)據(jù)進(jìn)行劃分，取檢測(cè)平均值進(jìn)行訓(xùn)練集精度驗(yàn)證。

將惡意軟件樣本與良性軟件樣本進(jìn)行動(dòng)態(tài)劃分和重新組合，進(jìn)行連續(xù)10 輪驗(yàn)證，其驗(yàn)證數(shù)值分別為1.32、1.65、1.33、1.47、1.02、1.58、1.49、1.55、1.35、1.42，均高于標(biāo)準(zhǔn)參數(shù)值1，證明此時(shí)的劃分狀態(tài)符合后續(xù)的實(shí)驗(yàn)需求。在惡意軟件動(dòng)態(tài)檢測(cè)過(guò)程中，需要根據(jù)實(shí)際檢測(cè)特征設(shè)計(jì)檢測(cè)參數(shù)，公式如下（2）所示。

公式（2）中，s 代表特征向量集大小，m 代表窗口長(zhǎng)度，惡意檢測(cè)參數(shù)的計(jì)算數(shù)值會(huì)對(duì)實(shí)際檢測(cè)結(jié)果有較大影響，因此可以根據(jù)特征集合交叉驗(yàn)證的狀態(tài)設(shè)置標(biāo)準(zhǔn)的檢測(cè)窗口，為后續(xù)的惡意軟件動(dòng)態(tài)檢測(cè)提供依據(jù)。

2.2 實(shí)驗(yàn)結(jié)果與討論

分別使用傳統(tǒng)的惡意軟件動(dòng)態(tài)檢測(cè)方法和本文設(shè)計(jì)的基于深度學(xué)習(xí)的惡意軟件動(dòng)態(tài)檢測(cè)方法進(jìn)行檢測(cè)，記錄兩種方法在不同軟件數(shù)量下的檢測(cè)耗時(shí)，實(shí)驗(yàn)結(jié)果如表4 所示。

表4：實(shí)驗(yàn)結(jié)果

由表4 可知，隨著混合軟件數(shù)量的增加，傳統(tǒng)的惡意軟件動(dòng)態(tài)檢測(cè)方法的檢測(cè)耗時(shí)越來(lái)越長(zhǎng)，而本文設(shè)計(jì)的惡意軟件動(dòng)態(tài)檢測(cè)方法的檢測(cè)耗時(shí)始終較短，證明設(shè)計(jì)的方法具有省時(shí)性，能滿足目前惡意軟件動(dòng)態(tài)檢測(cè)需求。

3 結(jié)束語(yǔ)

綜上所述，隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題也逐漸受到了重視，惡意軟件是影響網(wǎng)絡(luò)安全的重要因素之一，因此急需進(jìn)行惡意軟件動(dòng)態(tài)檢測(cè)來(lái)解決目前面臨的網(wǎng)絡(luò)安全問(wèn)題，傳統(tǒng)的惡意軟件檢測(cè)方法容易受到特征碼提取的限制，導(dǎo)致其在惡意軟件數(shù)量增多時(shí)無(wú)法完成檢測(cè)，因此本文基于深度學(xué)習(xí)設(shè)計(jì)了新的惡意軟件動(dòng)態(tài)檢測(cè)方法，進(jìn)行實(shí)驗(yàn)，結(jié)果表明，設(shè)計(jì)的惡意軟件動(dòng)態(tài)檢測(cè)方法的檢測(cè)耗時(shí)較短，且受惡意軟件數(shù)量的影響較小，因此具有有效性，有一定的應(yīng)用價(jià)值，可以作為后續(xù)網(wǎng)絡(luò)安全檢測(cè)的參考。