張雪芹，王逸璇，趙 敏

(華東理工大學(xué) 信息科學(xué)與工程學(xué)院，上海 200237)

0 引 言

在基于網(wǎng)絡(luò)流量的惡意軟件檢[1，2]中，Chen等[3]提出從網(wǎng)絡(luò)流量中提取流量統(tǒng)計(jì)特征和數(shù)據(jù)包統(tǒng)計(jì)特征，分別采用隨機(jī)森林、K近鄰、決策樹(shù)模型進(jìn)行檢測(cè)，在隨機(jī)森林上獲得了最高95%的二分類準(zhǔn)確。王澍瑋等[4]以會(huì)話的形式對(duì)網(wǎng)絡(luò)流量進(jìn)行切分并做one-hot編碼，采用雙向LSTM(long short-term memory)提取時(shí)序特征，利用LSTM從數(shù)據(jù)包向量中學(xué)習(xí)空間特征，通過(guò)softmax層進(jìn)行分類，二分類實(shí)驗(yàn)準(zhǔn)確率為87.55%。Wei等[5]提出采用網(wǎng)絡(luò)流量統(tǒng)計(jì)特征作為檢測(cè)特征，利用一維卷積神經(jīng)網(wǎng)絡(luò)從多個(gè)網(wǎng)絡(luò)流中提取局部特征，利用自編碼器從神經(jīng)網(wǎng)絡(luò)中提取主要的流量特征并集成到獨(dú)立遞歸神經(jīng)網(wǎng)絡(luò)中，在實(shí)驗(yàn)中二分類準(zhǔn)確率為98%。Xu等[6]提取原始網(wǎng)絡(luò)流中的部分字節(jié)轉(zhuǎn)換為二維圖像，使用卷積神經(jīng)網(wǎng)絡(luò)提取流特征，將屬于同一個(gè)應(yīng)用的流特征按照時(shí)間順序送入雙向LSTM進(jìn)行特征學(xué)習(xí)，最后使用softmax層進(jìn)行分類，實(shí)驗(yàn)中二分類和多分類準(zhǔn)確率分別為97.16%和84.70%。Zhou等[7]對(duì)網(wǎng)絡(luò)流量的統(tǒng)計(jì)特征進(jìn)行分析，分別使用添加了混淆分類器的支持向量機(jī)、隨機(jī)森林和XGBoost(eXtreme gra-dient boosting)3種模型進(jìn)行分類，最高達(dá)到98.80%的二分類準(zhǔn)確率。

1 基于DenseNet_IS網(wǎng)絡(luò)的惡意軟件動(dòng)態(tài)檢測(cè)方法

本文提出的基于DenseNet網(wǎng)絡(luò)的Android惡意軟件檢測(cè)框架結(jié)構(gòu)如圖1所示。

圖1 基于DenseNet_IS網(wǎng)絡(luò)的安卓惡意軟件檢測(cè)框架

1.1 數(shù)據(jù)預(yù)處理

一個(gè)APK文件運(yùn)行后，會(huì)產(chǎn)生一組流量。在流量文件中，具有相同[源IP地址、源端口、目的IP地址、目的端口、傳輸層協(xié)議]五元組信息[8]的所有包的集合被稱為流，由雙向流組成的所有包的集合即為會(huì)話。將應(yīng)用軟件運(yùn)行時(shí)的通信流量根據(jù)會(huì)話的五元組信息進(jìn)行切分，同時(shí)丟棄不帶有實(shí)際通信數(shù)據(jù)包的單純的握手或揮手會(huì)話，并只保留大多數(shù)的應(yīng)用軟件采用的TCP協(xié)議會(huì)話。

網(wǎng)絡(luò)流量實(shí)質(zhì)上是字節(jié)序列，可以與像素灰度值相對(duì)應(yīng)，因此可以轉(zhuǎn)化為灰度圖[9]，稱為流量圖。文獻(xiàn)[10]和文獻(xiàn)[11]的研究結(jié)果表明，使用深度學(xué)習(xí)方法對(duì)流量數(shù)據(jù)進(jìn)行檢測(cè)時(shí)，只取流量的前n個(gè)字節(jié)即可實(shí)現(xiàn)對(duì)其的有效分類。因此，對(duì)每個(gè)切分后的會(huì)話流量選取前n個(gè)字節(jié)轉(zhuǎn)化為像素點(diǎn)，超過(guò)部分截?cái)?，不足的?x00進(jìn)行補(bǔ)充。將轉(zhuǎn)化后的像素點(diǎn)按照一定的規(guī)律排列，即可實(shí)現(xiàn)流量從序列到圖片的轉(zhuǎn)換，并通過(guò)深度學(xué)習(xí)方法實(shí)現(xiàn)端到端的分類[12]。

1.2 DenseNet_IS網(wǎng)絡(luò)結(jié)構(gòu)

1.2.1 DenseNet52網(wǎng)絡(luò)結(jié)構(gòu)

DenseNet網(wǎng)絡(luò)與傳統(tǒng)的卷積神經(jīng)網(wǎng)絡(luò)相比，具有參數(shù)量較少、抗過(guò)擬合能力較強(qiáng)和減輕梯度消失問(wèn)題的優(yōu)點(diǎn)[13]。

對(duì)于一個(gè)L層的DenseNet網(wǎng)絡(luò)，共有L×(L+1)/2個(gè)連接，第l層的輸出如式(1)所示

xl=Hl([x0，x1，…，xl-1])

(1)

其中，Hl(·) 表示第l層的非線性變換。

DenseNet52網(wǎng)絡(luò)的整體結(jié)構(gòu)如圖2中白色方框所示，其核心是DenseBlock模塊，每個(gè)DenseBlock模塊中包含多個(gè)bottleneck層。兩個(gè)DenseBlock模塊之間使用Transition模塊進(jìn)行連接，用于減小特征圖的尺寸，并通過(guò)控制卷積核的數(shù)量實(shí)現(xiàn)對(duì)模型的壓縮。

圖2 DenseNet52_IS的網(wǎng)絡(luò)結(jié)構(gòu)

1.2.2 DenseNet52_IS網(wǎng)絡(luò)結(jié)構(gòu)

由于前n個(gè)字節(jié)轉(zhuǎn)換的流量圖尺寸較小，DenseNet網(wǎng)絡(luò)原有的大卷核會(huì)在學(xué)習(xí)和提取特征時(shí)忽略細(xì)節(jié)信息。此外，DenseNet網(wǎng)絡(luò)將各層的特征圖在通道維度上進(jìn)行拼接后通過(guò)Transition層進(jìn)行壓縮，缺少了對(duì)重要特征圖及特征圖中重要部分的選擇。為了使DenseNet網(wǎng)絡(luò)適用于基于流量圖的惡意軟件的檢測(cè)和分類，并提高檢測(cè)和分類的精度，通過(guò)添加卷積分支、引入SimAM注意力模塊等方式對(duì)DenseNet52網(wǎng)絡(luò)模型進(jìn)行了改進(jìn)，改進(jìn)后的網(wǎng)絡(luò)稱為DenseNet52_IS，改進(jìn)部分在圖2中用斜體加粗表示。

(1)第一個(gè)卷積層(Conv)的改進(jìn)

由于流量圖的尺寸較小，大卷積核會(huì)使得在學(xué)習(xí)和提取特征時(shí)較多細(xì)節(jié)信息被忽略，以及輸出的特征圖尺寸過(guò)小，不利于后續(xù)層的特征提取。因此，將第一個(gè)卷積層中7×7，步長(zhǎng)為2，填充為3的卷積核換成了大小為3×3，步長(zhǎng)為1，填充為1的卷積核。這樣做能夠使得經(jīng)過(guò)第一個(gè)卷積層后的圖片在保持原有尺寸的同時(shí)，還可以學(xué)到足夠多的領(lǐng)域信息，且不會(huì)被過(guò)多的填充值所干擾。

(2)bottleneck層的改進(jìn)

為了進(jìn)一步增加網(wǎng)絡(luò)的學(xué)習(xí)能力，借鑒Inception網(wǎng)絡(luò)結(jié)構(gòu)[14]的設(shè)計(jì)思想，采用不同卷積分支以及不同大小的卷積核對(duì)bottleneck層進(jìn)行改進(jìn)。DenseNet52網(wǎng)絡(luò)中bottleneck層的結(jié)構(gòu)如圖3(a)所示，改進(jìn)后的bottleneck層稱為bottleneck_I層，結(jié)構(gòu)如圖3(b)所示。bottleneck_I層中增加了一個(gè)與bottleneck層結(jié)構(gòu)相同的卷積分支，但將第二個(gè)卷積層中大小為3×3、填充為1的卷積核換成了大小為5×5、填充為2的卷積核。這樣做可以采用不同大小的卷積核，以此可以獲得不同大小的感受野。采用在通道維度上對(duì)特征圖進(jìn)行拼接的方式來(lái)融合不同尺度的特征，以此增強(qiáng)網(wǎng)絡(luò)的識(shí)別能力和泛化能力。將原網(wǎng)絡(luò)中前兩個(gè)DenseBlock結(jié)構(gòu)內(nèi)的基礎(chǔ)層全部替換為bottleneck_I層，數(shù)量保持不變。

圖3 bottleneck與bottleneck_I結(jié)構(gòu)對(duì)比

(3)引入SimAM注意力機(jī)制

為了使網(wǎng)絡(luò)能夠在學(xué)習(xí)特征的過(guò)程中對(duì)重要特征更加關(guān)注，將SimAM注意力機(jī)制[15]引入DenseNet網(wǎng)絡(luò)。與現(xiàn)有的通道和空間注意力模塊不同，SimAM同時(shí)考慮空間和通道兩個(gè)維度。在不增加原始網(wǎng)絡(luò)參數(shù)的情況下，通過(guò)優(yōu)化能量函數(shù)，找到每個(gè)神經(jīng)元的重要性。

在神經(jīng)科學(xué)中，信息豐富的神經(jīng)元通常表現(xiàn)出與周圍神經(jīng)元不同的放電模式，并且激活神經(jīng)元通常會(huì)對(duì)其周圍的神經(jīng)元產(chǎn)生抑制作用[15]。因此，具有空域抑制效應(yīng)的激活神經(jīng)元應(yīng)當(dāng)被賦予更高的重要性，通過(guò)測(cè)量一個(gè)目標(biāo)神經(jīng)元與其它神經(jīng)元之間的線性可分性即可找到該類神經(jīng)元。

每個(gè)神經(jīng)元能量函數(shù)的定義如式(2)所示

(2)

其中，t是輸入特征X∈C×H×W在單通道的目標(biāo)神經(jīng)元，i是空間維度上的索引，λ是權(quán)重因子，M=H×W是該通道上的神經(jīng)元數(shù)量。和分別表示在同一通道中除了目標(biāo)神經(jīng)元以外的其它神經(jīng)元的均值和方差。

在SimAM模塊中，還使用縮放操作符來(lái)進(jìn)行特征細(xì)化，經(jīng)過(guò)細(xì)化后的特征輸出如式(3)所示

(3)

其中，X代表輸入特征，E將所有神經(jīng)元的能量根據(jù)通道和空間維度進(jìn)行分組。添加sigmoid函數(shù)是為了限制E中的值，防止其過(guò)大，且不會(huì)影響每個(gè)神經(jīng)元的相對(duì)重要性。

在第一個(gè)卷積層、bottleneck層以及bottleneck_I層中每個(gè)卷積分支的第二個(gè)卷積層上添加SimAM注意力模塊，根據(jù)式(2)為卷積層獲得的特征圖分配權(quán)重后，再送入到下一層進(jìn)行進(jìn)一步的特征學(xué)習(xí)。

綜上所述，DenseNet_IS模型在DenseNet的基礎(chǔ)上，首先通過(guò)修改卷積核的大小，使網(wǎng)絡(luò)更適合于尺寸較小的流量圖；其次，為獲得更廣泛的感受野，在采用對(duì)bottleneck層添加具有不同大小的卷積核的卷積分支；最后，通過(guò)引入SimAM注意力模塊，從空間和通道兩個(gè)維度實(shí)現(xiàn)對(duì)重要特征的權(quán)重。通過(guò)這3個(gè)改進(jìn)，有效增強(qiáng)網(wǎng)絡(luò)的表征學(xué)習(xí)能力。

1.2.3 應(yīng)用軟件良惡性判別

每個(gè)安卓應(yīng)用軟件在與服務(wù)器端通信時(shí)會(huì)產(chǎn)生一組流量，對(duì)應(yīng)多張流量圖，DenseNet52_IS模型以單張流量圖為輸入樣本，實(shí)現(xiàn)了流量級(jí)別的良惡性檢測(cè)?？紤]惡意軟件檢測(cè)的最終目的是獲得軟件級(jí)的檢測(cè)結(jié)果，采取判別機(jī)制，根據(jù)流量級(jí)判別結(jié)果獲得軟件級(jí)的分類結(jié)果。

二分類時(shí)，當(dāng)一個(gè)應(yīng)用軟件的流量圖被判定為惡意的數(shù)量占總流量圖數(shù)量的比例超過(guò)閾值T，則認(rèn)為該應(yīng)用軟件是惡意的，否則認(rèn)為其是良性的，如式(4)所示。T通過(guò)實(shí)驗(yàn)確定

(4)

其中，Lapp表示應(yīng)用軟件的類別標(biāo)簽，Lpic表示流量圖的類別標(biāo)簽，mal表示惡意標(biāo)簽，ben表示良性標(biāo)簽，num(.) 表示數(shù)量統(tǒng)計(jì)，pic表示流量圖。

多分類時(shí)，用同樣的方法標(biāo)記出良性軟件；對(duì)于非良性軟件，如果其流量圖種多數(shù)被標(biāo)記為某類惡意軟件，該樣本就被標(biāo)記為對(duì)應(yīng)的惡意軟件類別，如式(5)所示

(5)

其中，mali表示第i類惡意，max(.) 表示統(tǒng)計(jì)數(shù)量最多的類別。

2 實(shí) 驗(yàn)

實(shí)驗(yàn)中，所用的計(jì)算機(jī)操作系統(tǒng)為Windows 10，CPU配置為Intel Xeon E5-2620 v4 @ 2.10 GHz，GPU是NVIDIA GeForce GTX 1080 Ti，開(kāi)發(fā)環(huán)境為Python3.6。

模型的損失函數(shù)使用交叉熵?fù)p失函數(shù)，學(xué)習(xí)率設(shè)置為0.0001，優(yōu)化器使用SGD，會(huì)話流量選取前784個(gè)字節(jié)。

2.1 實(shí)驗(yàn)數(shù)據(jù)集

實(shí)驗(yàn)采用CICAndMal2017[16]數(shù)據(jù)集?？紤]到惡意軟件，抓取了應(yīng)用安裝后的1 min～3 min、設(shè)備重啟前15 min以及重啟后15 min這3個(gè)階段的網(wǎng)絡(luò)流量。最終完整地捕獲到1700個(gè)良性應(yīng)用和426個(gè)惡意應(yīng)用的網(wǎng)絡(luò)流量。其中，惡意軟件包括廣告軟件、勒索軟件、恐嚇軟件和短信惡意軟件4類。在通信過(guò)程中，考慮安卓應(yīng)用軟件的數(shù)據(jù)傳輸和指令收發(fā)等行為都是以會(huì)話為單元進(jìn)行的，而惡意軟件產(chǎn)生的通信會(huì)話通常都隱含其惡意性。因此，在數(shù)據(jù)處理時(shí)，將應(yīng)用軟件的標(biāo)簽視作其對(duì)應(yīng)的流量圖的標(biāo)簽。

表1 二分類數(shù)據(jù)集樣本數(shù)量分布

表2 五分類數(shù)據(jù)集樣本數(shù)量分布

2.2 評(píng)價(jià)指標(biāo)

實(shí)驗(yàn)采用的評(píng)價(jià)指標(biāo)如下：

準(zhǔn)確率(accuracy，ACC)：被正確識(shí)別出來(lái)的惡意軟件和良性軟件個(gè)數(shù)在樣本總數(shù)中的占比

(6)

良性檢測(cè)率(true positive rate，TPR)：被正確識(shí)別出來(lái)的良性軟件個(gè)數(shù)在所有良性軟件個(gè)數(shù)中的占比

(7)

誤報(bào)率(false positive rate，F(xiàn)PR)：被錯(cuò)誤識(shí)別為良性的惡意軟件個(gè)數(shù)在所有惡意軟件個(gè)數(shù)中的占比

(8)

精確率(precision)：被識(shí)別為良性的軟件中，檢測(cè)正確的數(shù)量占比

(9)

F1-Score：Precision和TPR的調(diào)和平均值

(10)

其中，TP是指正確分類為良性的樣本數(shù)量，F(xiàn)P是指被錯(cuò)誤分類為良性的樣本數(shù)量，TN是指正確分類為惡意的樣本數(shù)量，F(xiàn)N是指被錯(cuò)誤分類為惡意的樣本數(shù)量。

2.3 實(shí)驗(yàn)結(jié)果及分析

在該部分，實(shí)驗(yàn)(1)～實(shí)驗(yàn)(3)是流量級(jí)檢測(cè)和分類實(shí)驗(yàn)，實(shí)驗(yàn)(4)～實(shí)驗(yàn)(6)是軟件級(jí)判別實(shí)驗(yàn)和對(duì)比實(shí)驗(yàn)。

(1)消融實(shí)驗(yàn)

本實(shí)驗(yàn)為消融實(shí)驗(yàn)，用于驗(yàn)證對(duì)DenseNet52網(wǎng)絡(luò)改進(jìn)的有效性。實(shí)驗(yàn)將原始DenseNet52網(wǎng)絡(luò)、僅添加5×5卷積分支的網(wǎng)絡(luò)、僅添加SimAM模塊的網(wǎng)絡(luò)以及DenseNet52_IS網(wǎng)絡(luò)進(jìn)行比較，實(shí)驗(yàn)結(jié)果見(jiàn)表3。在表格中，僅添加了5×5卷積分支的網(wǎng)絡(luò)模型稱為DenseNet52_I，只添加了SimAM模塊的網(wǎng)絡(luò)模型稱為DenseNet52_S。

表3 消融實(shí)驗(yàn)結(jié)果

從表3中可以看出，對(duì)流量圖檢測(cè)時(shí)，與DenseNet52相比，DenseNet52_I和DenseNet_S的ACC、F1-Score和Precision均得到了提高，分別提高了1.49%、1.35%和4.70%，且FPR分別降低了4.85%和5.63%，DenseNet52_S模型的ACC、F1-Score和Precision分別提高了1.14%、0.93%和5.47%，F(xiàn)PR降低了5.63%；兩個(gè)模型僅在TPR指標(biāo)上比原網(wǎng)絡(luò)分別低了2.33%和3.95%。

DenseNet52_IS的ACC和F1-Score均優(yōu)于另外3個(gè)模型，TPR分別比DenseNet52_I和DenseNet52_S高出1.92%和3.54%，F(xiàn)PR和Precision較DenseNet52相比分別降低4.72%，提高4.66%。

可見(jiàn)，與DenseNet52相比，DenseNet52_I學(xué)習(xí)了來(lái)自不同感受野的特征，獲得了更多特征信息，DenseNet52_S對(duì)重要特征賦予更高的關(guān)注度。兩部分的結(jié)合進(jìn)一步提升了網(wǎng)絡(luò)性能。綜合來(lái)看，DenseNet52_IS的整體性能優(yōu)于原模型以及部分改進(jìn)的模型。

(2)二分類對(duì)比實(shí)驗(yàn)

為了進(jìn)一步驗(yàn)證DenseNet52_IS在二分類上的有效性，本實(shí)驗(yàn)將DenseNet52_IS與DenseNet52、ResNet34、ResNet101、DPN68和Transformer進(jìn)行了比較，二分類實(shí)驗(yàn)的結(jié)果如圖4和表4所示。

表4 二分類實(shí)驗(yàn)結(jié)果

圖4 ROC曲線對(duì)比

從圖4中的ROC曲線可以看出，DenseNet52_IS的ROC曲線下面積最大，模型的綜合性能最優(yōu)。從表4可以看出，在對(duì)流量圖進(jìn)行二分類時(shí)，DenseNet52_IS在ACC、FPR、F1-Score和Precision這4個(gè)指標(biāo)上都獲得了最佳值，而TPR僅比最佳值低0.41%，整體效果最佳。分析原因，與其它幾個(gè)模型相比，DenseNet52使用到了更多的低層特征，可以有效防止過(guò)擬合問(wèn)題。DenseNet52_IS在此基礎(chǔ)上改進(jìn)，獲得不同感受野的特征，從空間和通道兩個(gè)維度對(duì)重要特征進(jìn)行關(guān)注，進(jìn)一步提高網(wǎng)絡(luò)的分類精度。

(3)五分類對(duì)比實(shí)驗(yàn)

為了驗(yàn)證DenseNet52_IS模型在五分類上的有效性，本實(shí)驗(yàn)將DenseNet52_IS與DenseNet52、ResNet34、ResNet101、DPN68和Transformer進(jìn)行了比較，五分類實(shí)驗(yàn)的結(jié)果見(jiàn)表5。

表5 五分類實(shí)驗(yàn)結(jié)果

從表5可以看出，在對(duì)流量圖進(jìn)行五分類時(shí)，DenseNet52_IS網(wǎng)絡(luò)的ACC比其它5個(gè)模型平均提高3.50%，M-TPR平均提高3.67%，M-FPR平均降低0.85%，均優(yōu)于其它模型。

(4)判別閾值T確定實(shí)驗(yàn)

本實(shí)驗(yàn)用于選取合適的判別閾值T，實(shí)現(xiàn)應(yīng)用軟件級(jí)別上良惡性分類。對(duì)應(yīng)用軟件二分類的實(shí)驗(yàn)結(jié)果見(jiàn)表6，對(duì)應(yīng)用軟件五分類的實(shí)驗(yàn)結(jié)果見(jiàn)表7。

表6 不同閾值下的應(yīng)用軟件二分類實(shí)驗(yàn)結(jié)果

表7 不同閾值下的應(yīng)用軟件五分類實(shí)驗(yàn)結(jié)果

從表6中可以看出，對(duì)于應(yīng)用軟件二分類，當(dāng)閾值T=0.2時(shí)，模型的ACC、F1-Score、Precision和FPR分別為99.05%、99.41%、99.70%和1.18%，均優(yōu)于其它閾值的結(jié)果。盡管T=0.6或0.7時(shí)，TPR較T=0.2時(shí)高0.59%，但整體性能不再變化，且T=0.2時(shí)模型的整體結(jié)果最好。因此，在后續(xù)的應(yīng)用軟件二分類實(shí)驗(yàn)中取T=0.2。

從表7中可以看出，對(duì)于應(yīng)用軟件五分類，當(dāng)閾值T=0.5或0.6時(shí)，模型的M-TPR和M-FPR均優(yōu)于其它閾值的結(jié)果。雖然當(dāng)T=0.9時(shí)ACC較T=0.5時(shí)高0.58%，但其M-TPR降低1.79%，M-FPR升高0.16%，整體性能有所下降。綜上所述，當(dāng)閾值T大于0.6后，模型整體性能下降。因此，在后續(xù)的應(yīng)用軟件五分類實(shí)驗(yàn)中取T=0.5。

(5)應(yīng)用軟件良惡性分類

根據(jù)實(shí)驗(yàn)(4)得到的閾值T，采用DenseNet52_IS對(duì)應(yīng)用軟件進(jìn)行良惡性分類，并與DenseNet52、ResNet34、ResNet101、DPN68和Transformer進(jìn)行比較。二分類實(shí)驗(yàn)結(jié)果見(jiàn)表8。

表8 二分類實(shí)驗(yàn)結(jié)果(應(yīng)用軟件)

從表8可以看出，在進(jìn)行二分類時(shí)，DenseNet52_IS的ACC和F1-Score均高于其它模型，TPR僅比DenseNet52模型低0.29%。雖然ResNet34模型和ResNet101模型的Precision和FPR略高于DenseNet52_IS模型，但其ACC、TPR和F1-Score分別平均較DenseNet52_IS大幅降低24.80%、31.15%和19.16%。因此，與其它幾個(gè)模型相比，DenseNet52_IS模型的綜合性能最優(yōu)。

根據(jù)實(shí)驗(yàn)(4)得到的閾值T，對(duì)應(yīng)用軟件進(jìn)行五分類實(shí)驗(yàn)結(jié)果見(jiàn)表9。

表9 五分類實(shí)驗(yàn)結(jié)果(應(yīng)用軟件)

從表9可以看出，在五分類時(shí)，DenseNet52_IS比DenseNet52、ResNet34、ResNet101、DPN68、Transfor-mer分別提高2.33%、3.49%、3.49%、5.23%和5.23%，M-TPR分別提高2.42%、2.13%、1.41%、2.12%和2.83%，M-FPR分別降低0.57%、0.91%、0.81%、1.21%和1.20%，均優(yōu)于其余5個(gè)模型。因此，DenseNet52_IS網(wǎng)絡(luò)在五分類上的綜合性能最優(yōu)。

(6)與其它文獻(xiàn)所提方法對(duì)比

為了進(jìn)一步驗(yàn)證本章提出的良惡性應(yīng)用軟件分類方法的有效性，與文獻(xiàn)[10-12]中提出方法進(jìn)行比較，實(shí)驗(yàn)結(jié)果見(jiàn)表10。

表10 與其它文獻(xiàn)對(duì)比結(jié)果

從表10可以看出，本章提出的方法在5個(gè)評(píng)價(jià)指標(biāo)上優(yōu)于文獻(xiàn)[5]和文獻(xiàn)[6]，在ACC上比文獻(xiàn)[7]提高0.26%。分析原因，一方面本文所提特征更加全面有效，另一方面改進(jìn)的DenseNet_IS網(wǎng)絡(luò)中的密集連接、多卷積分支和注意力機(jī)制減少了梯度消失問(wèn)題和對(duì)復(fù)雜特征的依賴性，增加了對(duì)學(xué)習(xí)到的重要特征的權(quán)重。因此，本章提出的方法性能優(yōu)于這三篇文獻(xiàn)的方法，進(jìn)一步驗(yàn)證了本章提出的方法的有效性。

3 結(jié)束語(yǔ)

針對(duì)Android惡意軟件高精度動(dòng)態(tài)檢測(cè)問(wèn)題，本文采用應(yīng)用軟件網(wǎng)絡(luò)通信交互階段的流量作為分析對(duì)象，并提出一種基于神經(jīng)網(wǎng)絡(luò)DenseNet52改進(jìn)的檢測(cè)模型。該方法將原始流量根據(jù)會(huì)話五元組信息進(jìn)行切分后轉(zhuǎn)換成流量灰度圖，利用基于DenseNet52改進(jìn)的網(wǎng)絡(luò)對(duì)惡意軟件進(jìn)行檢測(cè)和分類。在對(duì)DenseNet52模型的改進(jìn)中，借鑒Inception網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)思想對(duì)DenseNet52模型的bottleneck層進(jìn)行改進(jìn)，通過(guò)添加使用不同大小卷積核的卷積分支以獲取不同感受野的特征；通過(guò)添加SimAM注意力模塊，在空間和通道兩個(gè)維度引入注意力機(jī)制，實(shí)現(xiàn)對(duì)重要特征的關(guān)注。二分類和多分類實(shí)驗(yàn)結(jié)果表明，本文所提方法能有效地提高Android惡意軟件動(dòng)態(tài)檢測(cè)準(zhǔn)確率。未來(lái)可進(jìn)一步考慮減小模型內(nèi)存、加快模型的訓(xùn)練和檢測(cè)速度。