Page 299 - 《软件学报》2025年第8期

P. 299

3722 软件学报 2025 年第 36 卷第 8 期

实验结果如表 5 所示, 特别地, 实验中选择 IMCFN 作为基于图像转换的代表方法, 因为它在之前的实验中表
现最佳. 从结果表中可以看出, 在概念漂移场景下, 所有方法都有不同程度的性能下降, 其中 CBOW+MLP 的下降
幅度最大, F1 值仅有 10.88%. 在概念漂移场景下, Word2Vec+KNN 的性能表现在 9 种对比工作中最好, F1 值为
43.87%. 其他方法无论基于图像转换基于字节流分析, 在概念漂移场景下的性能下降都较大. 这是因为大部分基于
图像转换和字节流分析的方法都直接将整个二进制文件作为输入进行处理. 随着时间的推移, 同一恶意软件家族
的文件结构可能发生显著变化, 这无疑会显著改变二进制文件的特征, 影响这些分析方法的正常判断. 对于基于反
汇编的方法, 由于同一家族的恶意软件行为逻辑可能不会发生明显变化, 因此反汇编提取的分析特征可能仍然有
效. 但这极其依赖于定义和抽取的反汇编特征的有效性, 例如同属于基于反汇编分析的 MAGIC 和 MCSC, 其性能
表现相差 15.52%.

表 5 概念漂移场景下各方法性能表现 (%)

分类性能
类别方法
准确率精准率召回率 F1值
基于图像转换 IMCFN 49.90 52.74 44.42 42.10
MAGIC 42.15 34.69 33.07 28.30
基于反汇编分析 Word2Vec+KNN 49.18 48.73 51.80 43.87
MCSC 50.58 46.97 48.25 43.82
CBOW+MLP 17.44 11.52 14.45 10.88
基于字节流分析 MalConv 46.50 39.19 39.49 35.51
MCBA 68.72 68.20 58.47 54.59

在概念漂移场景中, MCBA 的性能表现优于其他方法, 其 F1 值为 54.59%. MCBA 之所以对新样本具有更强
的泛化能力, 是因为采用了有效的特征提取和处理方法并对程序的上下文语义拥有深刻理解. 与一般的基于图像
转换和基于字节流分析的方法不同, MCBA 不以整体二进制文件作为输入, 而是先对恶意软件原始字节流进行反
汇编分析, 剔除冗余信息, 只保持对行为相关的操作码序列的关注, 这可以避免引入文件结构信息等方面的额外噪
声. 此外与一般的反汇编分析的方法不同, MCBA 使用深度学习语言模型理解程序的上下文语义, 具有高度的灵
活性和适应性, 不依赖固定的反汇编特征提取模式, 可以依靠神经网络理解难以人工获取的深层程序上下文语义.
除此之外, MCBA 只保持对任务相关特征的关注, 使用关键特征进行分类. 这些都对 MCBA 恶意软件分类性能表
现稳定性的提高产生了积极作用.

4.7 运行开销对比
在实际应用中, 模型的运行开销使衡量一个模型实际可用性的重要指标. 本节对 MCBA 与 9 个对比工作在
MalwareBazaar 数据集上的模型训练时间、单样本预处理时间和单样本预测时间 (如表 6 所示) 进行评估对比, 以
验证 MCBA 的实用性.

表 6 MCBA 与 9 种先进相关工作运行开销

运行时间
类别方法
模型训练 (min) 单样本预处理 (s) 单样本预测 (ms)
ResNet-50 8.4 0.7 2.6
VGG-16 44.0 0.7 2.2
基于图像转换
Inception-V3 6.4 0.7 2.0
IMCFN 18.8 0.7 2.2
MAGIC 246.0 17.8 23.6
基于反汇编分析 Word2Vec+KNN <0.1 17.7 95 243.3
MCSC 1.1 4.5 3 477.8
CBOW+MLP 0.8 1.1 5 441.0
基于字节流分析 MalConv 65.4 0.3 14.0
MCBA 2.8 1.0 1.8

294 295 296 297 298 299 300 301 302 303 304