编辑推荐:
随着电动汽车普及,其面临的恶意软件攻击风险增加。研究人员开展了关于汽车恶意软件分类的研究,提出轻量级双注意力模块(LDAM)。实验表明,集成 LDAM 的模型在相关数据集分类准确率高,有助于保障车辆系统安全。
近年来,电动汽车凭借其经济和环保优势,越来越受家庭青睐,成为智能交通系统的重要组成部分。然而,这一发展趋势也吸引了不法分子,他们利用电动汽车充电站漏洞、USB 接口等途径传播恶意软件。这些恶意软件可能导致网络中断、停电,甚至引发交通事故,严重威胁电动汽车的安全运行。
传统基于规则的恶意软件分类方法,在面对先进的加密和混淆技术时,往往力不从心。而现有的分类方法,有的侧重于静态特征分析,虽然速度快但依赖逆向工程专家的经验;有的基于运行时行为分析,能观察恶意软件活动,但面临恶意软件的逃避技术挑战;还有的利用内存转储分析,虽对特定恶意软件有效,但手动特征提取困难且计算资源需求大。此外,基于原始二进制文件可视化的分类方法忽视了内存数据的重要性,基于内存转储可视化的分类方法则依赖手动特征和大规模模型。因此,迫切需要一种创新的分类方法,既能有效处理二进制图像和内存转储图像分类任务,又能减少对计算资源的依赖。
为了解决这些问题,研究人员开展了关于汽车恶意软件分类的研究,并提出了轻量级双注意力模块(LDAM),构建了基于此的 EfficientNetV1 - LDAM 模型。该研究成果发表在《Array》上,为汽车恶意软件分类提供了新的解决方案,对保障车辆系统安全具有重要意义。
在研究过程中,研究人员主要运用了以下关键技术方法:
- 图像转换技术:将恶意软件的内存转储文件和二进制文件转换为 RGB 图像,以便后续利用图像处理技术进行特征提取和分类。
- 双注意力模块技术:设计了 LDAM 模块,包含高效通道注意力(ECA)模块和无参数简单注意力模块(SimAM)。ECA 模块通过全局平均池化、一维卷积和 Sigmoid 函数等操作,有效捕捉全局特征信息;SimAM 模块通过计算和归一化输入张量与均值的平方偏差,增强像素级细节特征的表示。
- 特征融合技术:采用 Pixel attention guided(Pag)特征融合模块,对来自不同注意力模块的特征进行融合,避免单一尺度特征的主导,使模型更专注于共享特征,提高模型的泛化性能。
- 模型构建与训练技术:将 LDAM 模块集成到 EfficientNetV1 中,构建 EfficientNetV1 - LDAM 模型。使用 Python 3.8 和 Pytorch 2.3 搭建模型,以 Adam 为优化器,在特定的硬件环境下对模型进行训练和评估。
下面介绍研究结果:
- 数据集准备:研究人员使用了 Dumpware10 和 Malvis 数据集。Dumpware10 数据集包含 11 类共 4294 个样本,由恶意软件在 Windows 虚拟机环境中的内存转储文件转换而来;Malvis 数据集包含 26 类共 14228 个样本,由 2017 - 2018 年收集的软件样本转换得到。这些数据集用于评估模型对内存转储图像和二进制样本图像的分类能力。
- 消融实验:通过三组消融实验评估 LDAM 中注意力模块和结构的有效性。第一组实验表明,同时部署 SimAM 和 ECA 模块可提高分类准确率,证明关注细节和全局特征的重要性。第二组和第三组实验对比不同特征融合技术,发现使用 Pag 融合模块且同时部署两个注意力模块时,模型分类效果最佳,且所需训练参数更少。
- 对比实验:将 EfficientNetV1 - LDAM 模型与 VGG16、SMO、MobileNetV3、EfficientNetV1 和 EfficientNetV2 等模型进行对比。结果显示,在 Dumpware10 数据集上,EfficientNetV1 - LDAM 模型准确率达到 98.1%,优于其他模型;在 Malvis 数据集上,其准确率为 96.7%,也具有竞争力。这表明集成 LDAM 的模型在不同任务中能保持优势,更适合处理复杂的恶意软件分类任务。
研究结论和讨论部分:
研究人员提出的 LDAM 模块显著提升了深度学习模型对原始二进制图像和内存转储图像的分类性能。集成 LDAM 的 EfficientNetV1 模型在两个数据集上取得了较高的分类准确率,证明了该模块在汽车恶意软件分类中的有效性。然而,这种基于可视化的分类方法存在局限性,图像结构相似会导致误分类,且内存转储捕获时间和性能开销也面临挑战。
尽管存在这些问题,该研究仍为汽车恶意软件分类领域开辟了新方向。它为后续研究提供了宝贵的经验和思路,研究人员可进一步探索更多恶意软件特征,优化特征提取过程,开发更高效、快速的恶意软件分类方法,从而更好地保障车辆系统的安全,为智能交通系统的稳定运行提供有力支持。
