《表3 与其他方法的对比:基于LSTM-CNN的容器内恶意软件静态检测》
为说明特征和模型的有效性,本文针对同一数据集构建了其他文献中常用的四种恶意软件检测模型,并选取每种模型的最优检测效果,得到如表3所示的对比结果,其中train和test分别表示针对训练和测试样本集的建模和检测时间。由表3可知,本文采用的API调用序列在三项检测指标上均优于代码灰度图的表示方法,原因在于API调用序列能有效表征程序行为,且不易被混淆,具有较稳定的可区分性。此外,本文构建的LSTM-CNN模型的检测效果最优,其准确率高达99.54%,误报率为0.82%,优于CNN模型98.93%的检测率及2.47%的误报率,其他两种模型的误报率则高于20%。因本文模型先通过LSTM抽取长序列的语义信息,再将其输入CNN提取多维局部特征,解决了单独的LSTM无法提取过长序列特征信息的问题,并且消除了先经CNN处理后的特征已不具备序列上下文联系的问题,因此能够达到优于其他对比模型的检测效果。在模型效率上,虽然本文方法的建模和检测时间略劣于其他方法,但由于模型的建立是离线进行的,并不影响容器的正常运行,考虑到检测效果,这样的时间损耗是可以接受的。
图表编号 | XD00189241600 严禁用于非法目的 |
---|---|
绘制时间 | 2020.12.05 |
作者 | 金逸灵、陈兴蜀、王玉龙 |
绘制单位 | 四川大学网络空间安全学院、四川大学网络空间安全研究院、四川大学网络空间安全学院、四川大学网络空间安全研究院、四川大学网络空间安全学院、四川大学网络空间安全研究院 |
更多格式 | 高清、无水印(增值服务) |