《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信与网络 > 设计应用 > 融合多尺度CNN与Transformer的恶意软件行为检测方法
融合多尺度CNN与Transformer的恶意软件行为检测方法
网络安全与数据治理
刘帅1,2,王小英1,2,戚盼盼1,2,崔方方1,2,谷瑞泽1,2
1.应急管理大学计算机科学与工程学院; 2.廊坊市网络应急保障与网络安全重点实验室
摘要: 针对恶意软件行为轨迹隐蔽且长序列依赖难以建模的严重威胁,提出一种融合多尺度卷积神经网络与Transformer架构的恶意软件检测方法,此方法首先借助Speakeasy仿真日志去噪及复合事件标记化技术,将冗余日志转化为标准化语义序列,接着运用多层次卷积神经网络结构来提取局部攻击行为特征,在此基础上,将提取的局部攻击行为特征输入Transformer编码器,利用多头自注意力机制建模全局时序依赖关系。实验结果表明,该混合模型在Speakeasy数据集上的准确率和F1Score分别达到9229%和9248%。该方法显著降低了序列检测中的误报率,为复杂网络环境下的恶意软件检测提供了新的技术途径。
中圖分類號(hào):TP3095文獻(xiàn)標(biāo)志碼:ADOI:10.19358/j.issn.2097-1788.2026.04.006
中文引用格式:劉帥,王小英,戚盼盼,等. 融合多尺度CNN與Transformer的惡意軟件行為檢測(cè)方法[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2026,45(4):45-50.
英文引用格式:Liu Shuai,Wang Xiaoying,Qi Panpan,et al. A malware behavior detection method based on the fusion of multiscale CNN and Transformer
[J].Cyber Security and Data Governance,2026,45(4):45-50.
A malware behavior detection method based on the fusion of multi-scale CNN and Transformer
Liu Shuai1,2,Wang Xiaoying1,2,Qi Panpan1,2,Cui Fangfang1,2,Gu Ruize1,2
1. College of Computer Science and Engineering, University of Emergency Management; 2. Langfang Key Laboratory of Network Emergency Support and Cybersecurity
Abstract: To address the severe threats posed by stealthy malware behavioral trajectories and the difficulty in modeling longsequence dependencies, this paper proposes a detection method that fuses multiscale Convolutional Neural Networks (CNN) with the Transformer architecture. First, the approach utilizes Speakeasy simulation logs denoising and composite event tokenization techniques to convert redundant logs into standardized semantic sequences. Next, it employs a multilayer CNN structure to extract local attack behavior features. Subsequently, these extracted features are fed into a Transformer encoder to model global temporal dependencies via a multihead selfattention mechanism.The experimental results show that the hybrid model has achieved an accuracy of 9229% and an F1Score of 9248% on the Speakeasy dataset. This approach significantly reduces the false positive rate in sequence detection, providing a new technical pathway for malware detection in complex network environments.
Key words : malware detection; Convolutional Neural Network (CNN); Transformer; multi-scale feature extraction; dynamic behavior analysis

引言

隨著互聯(lián)網(wǎng)技術(shù)快速發(fā)展,惡意軟件數(shù)量不斷增多,其攻擊方式也變得更加隱蔽,這讓基于動(dòng)態(tài)行為分析[1]的技術(shù)成為檢測(cè)未知威脅的關(guān)鍵手段。面對(duì)維度高且規(guī)模大的動(dòng)態(tài)行為日志數(shù)據(jù),實(shí)現(xiàn)惡意特征的高效提取與精準(zhǔn)識(shí)別已經(jīng)成為當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域亟需突破的關(guān)鍵技術(shù)挑戰(zhàn)。

目前學(xué)術(shù)界大多借助深度學(xué)習(xí)算法來(lái)達(dá)成此類任務(wù)的自動(dòng)化處理,然而單一網(wǎng)絡(luò)架構(gòu)在處理高維長(zhǎng)序列日志時(shí)仍存在缺陷,卷積神經(jīng)網(wǎng)絡(luò)(CNN)可以有效地借助滑動(dòng)窗口機(jī)制來(lái)提取局部行為特征,但受限于卷積核感受野,很難有效地對(duì)長(zhǎng)程語(yǔ)義關(guān)聯(lián)進(jìn)行建模,而基于自注意力機(jī)制的Transformer以及采用門控結(jié)構(gòu)的LSTM[2]模型雖然在時(shí)序依賴關(guān)系建模方面有著出色表現(xiàn),但是在面對(duì)高維長(zhǎng)序列行為數(shù)據(jù)時(shí),還是會(huì)面臨計(jì)算并行性不足或者局部特征表征能力欠缺等技術(shù)難題。此外,仿真日志數(shù)據(jù)里普遍存在的隨機(jī)噪聲進(jìn)一步降低了模型的魯棒性。 

針對(duì)上述問題,本文提出一種將多尺度CNN和Transformer[3]結(jié)合起來(lái)的惡意軟件檢測(cè)方法,該方法先采用基于核心行為的序列去噪以及復(fù)合事件標(biāo)記化策略有效過濾冗余噪聲,接著構(gòu)建混合網(wǎng)絡(luò)結(jié)構(gòu),利用多尺度CNN[4]捕捉局部攻擊特征,并且借助Transformer機(jī)制挖掘全局長(zhǎng)程依賴關(guān)系,最終實(shí)現(xiàn)對(duì)惡意代碼的高效識(shí)別。在Speakeasy數(shù)據(jù)集上的實(shí)驗(yàn)驗(yàn)證了此方法在長(zhǎng)序列建模問題方面的出色表現(xiàn):檢測(cè)準(zhǔn)確率提升至9229%,F(xiàn)1Score提升至9248%,維持了較高的檢測(cè)精度,又降低了漏報(bào)數(shù)量,為惡意軟件檢測(cè)[5]提供了一種高效且可靠的技術(shù)解決方案。


本文詳細(xì)內(nèi)容請(qǐng)下載:

http://ihrv.cn/resource/share/2000007058


作者信息:

劉帥1,2,王小英1,2,戚盼盼1,2,崔方方1,2,谷瑞澤1,2

(1.應(yīng)急管理大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,河北廊坊065201;

2.廊坊市網(wǎng)絡(luò)應(yīng)急保障與網(wǎng)絡(luò)安全重點(diǎn)實(shí)驗(yàn)室,河北廊坊065201)

2.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。