（文章來源：網絡整理）
惡意軟件是指被設計成對其所在系統造成損害的任何軟件。主要類型是蠕蟲，木馬和廣告軟件。如今，每年大約有35萬個樣本被生產出來，這對反病毒公司來說變得越來越困難，因為只有50%的新惡意軟件被報告，而從這50％中，只有20％會被現有的反病毒軟件檢測到。用于對惡意軟件進行分類的一些傳統方法是

沙箱檢測：此處可在虛擬環境中運行任何可疑軟件，在該環境中可以監視其行為，并且根據其行為，將確定該軟件是否為惡意軟件。但是這種方法可以被惡意軟件繞過，因為惡意軟件太大了以至于無法在虛擬環境中處理，惡意軟件文件還可以以一種模糊的、無法識別的文件格式保存，等等。沙箱檢測屬于基于行為的惡意軟件檢測。基于簽名的檢測：反病毒公司為惡意軟件創建一個簽名，并在其數據庫中更新它。因此，殺毒軟件將掃描軟件的簽名與殺毒公司數據庫中的簽名進行比較。正如上面所討論的，每天大約有350000個惡意軟件被創建，對于反病毒公司來說，為每個惡意軟件創建簽名是極其困難的。如今，反病毒公司正在使用深度學習技術來對付惡意軟件。在這里，我們將探討基于卷積神經網絡的分類。

在論文《 Malware Images: Visualization and Automatic Classification》中首次看到了分類為灰度圖像的特定類別惡意軟件圖像的相似性。在論文中，他們展示了特洛伊木馬病毒的外觀。

text部分包含要執行的代碼，.text部分的末尾為全黑，表示末尾的填充為零。.data部分包含未初始化的代碼，.rsrc部分包含模塊的所有資源，例如應用程序可以使用的圖標。

上面的圖片來自《Malware Classification Using Image Representation》論文，其中他們顯示了不同家族的惡意軟件圖片，對于一個家族，我們可以在圖片中看到相似之處。

同樣在論文《Convolution Neural Networks for Malware Classification》中，他們還展示了常見的惡意軟件家族的圖片，例如Rammit，Gatak（木馬版本）等。

因此，在《Malware Images: Visualization and Automatic Classification》一文中，他們使用GIST來計算紋理特征，并使用具有歐氏距離的k近鄰對其進行分類。所以GIST基本上就是利用Gabor濾波器對圖像進行小波分解。Gabor濾波器是一種線性濾波器，它主要分析圖像在特定方向上的頻率內容。主要用于邊緣檢測、紋理分析和特征提取。他們使用了來自25個家族的9,458個惡意軟件，準確率高達98%

在《Convolution Neural Networks for Malware Classification>論文中，他們訓練了三個模型。

CNN 1C 1D由NxN像素（N = 32）的輸入層，卷積層（大小為11x11的64個filter maps），最大池化層，Densely-connected層（4096個神經元），9個神經元的輸出層組成。結果的準確度為0.9857，交叉熵為0.0968CNN 1C 2D由NxN像素（N = 32）的輸入層，卷積層（大小為3x3的64個filter maps），最大池化層，卷積層（大小為3x3的128個filter maps），最大池化層，Densely-connected層（512個神經元），輸出層為9個神經元。結果是準確性：0.9976，交叉熵：0.0231CNN 3C 2D由NxN像素（N = 32）的輸入層，卷積層（大小為3x3的64個filter maps），最大池化層，卷積層（大小為3x3的128個filter maps），最大池化層，卷積層組成（大小為3x3的256個filter maps），最大池化層，Densely-connected層（1024個神經元），Densely-connected層（512個神經元），輸出層為9個神經元。結果是準確性：0.9938，交叉熵：0.0257在論文《Malware Classification Using Image Representation》中，他們使用了2個模型，一個具有4層（2個卷積層和2個dense層）的CNN模型和一個Resnet18。普通的CNN的準確度為95.24％，Resnet的準確度為98.206％。

如您所見，這些論文發表的結果大約檢測到95-98％的惡意軟件，這表明計算機視覺技術比傳統方法更好。與傳統方法相比，深度學習能夠實現非常好的準確性，并且占用的硬件更少。
（責任編輯：fqj）