汪洁  等:子图相似性的恶意程序检测方法                                                            3445


                 子图比较来判断其包含的特征子图,这可以避免进行图匹配,从而使得整个算法效率能够明显提高.
                 5.2   参数最优化
                    本小节中将讨论实验中参数的最优化.图 6 列出了最大深度 D 以及选择阈值 t 的参数效果图,其中,符号(1)、
                 符号(2)分别表示矩阵 M 的两种计算方法.从图 6(a)和图 6(b)可以看出,随着最大深度 D 的增大,其精度也在提高;
                 但深度 D≥5 后预测结果花费的时间(提取子图和训练的时间总和)却呈现大幅度增长,我们可以认为提取子图
                 的深度最佳为 5.图 6(c)和图 6(d)表明,选择阈值 t 增加,其精度呈现下降趋势,而花费的时间呈上升趋势.这是因
                 为 t 取值越大,剔除的子图越少,增加了子图库中的无关子图数,从而增加了时间开销.


















                                       (a)                                       (b)
















                                       (c)                                       (d)

                                            Fig.6  Effect chart of different parameters
                                                  图 6   不同参数的效果图

                 6    结   论

                    本文提出了基于子图相似性的恶意程序检测方法,利用神经网络学习数据流图中子图的分布式表示,使得
                 上下文相似的子图其向量也相近;然后使用子图向量构建图相似性函数,同时,结合 SVM 分类器算法进行分检
                 测;最后,实验证实我们的方法在恶意程序检测上的准确性和有效性.本文的下一步工作考虑数据流图中的数据
                 量,即将子图的数据量也纳入进检测模型.引入子图的数据量,可以进一步优化检测模型.同时,我们的方法也可
                 以向安卓平台进行拓展,问题的关键是构建安卓端的系统行为图.

                 References:
                 [1]    Caballero J, Grier C, Kreibich C, Paxson V. Measuring pay-per-install: The commoditization of malware distribution. In: Proc. of
                     the Usenix Security Symp. 2011. 13−31.