技術領域

本發明屬于信息安全技術領域，尤其涉及未知惡意代碼的深度學習檢測方法。

背景技術

隨著計算機技術和網絡技術的不斷發展，計算機已經成為人們日常生活中不可或缺的工具，為了獲取經濟、政治利益或進行個人報復，大量組織或個人使用各種惡意代碼進行非法活動，隨之而來的是各類惡意代碼層出不窮，惡意代碼所采用的技術也越來越先進，其傳播、危害、隱藏等能力不斷增強。雖然各種惡意代碼的檢測技術也在不斷的發展，但目前惡意代碼的檢測技術和檢測能力仍然滯后于惡意代碼的發展，特別是對未知惡意代碼的檢測能力對惡意代碼檢測技術提出了巨大的挑戰。

目前計算機惡意代碼檢測技術主要有兩種，一種是基于特征碼的模式匹配技術，另一種是基于惡意代碼行為規則的檢測技術。

基于特征碼的模式匹配技術是將被檢測文件的特征代碼與特征數據庫中的惡意代碼特征字符串進行匹配，當匹配成功時代表被檢測文件中含惡意代碼，否則認為被檢測文件不含惡意代碼。該技術需要技術人員第一時間發現并獲取惡意代碼樣本，并能夠提取出惡意代碼的唯一標識特征碼。此外還需及時將特征碼更新到惡意代碼特征碼庫中，以便在該惡意代碼大規模傳播和爆發前檢測出來。該檢測技術不適用于對引入多態和變形技術的惡意代碼檢測，以及傳播迅速、破壞力強、針對性強的惡意代碼的檢測。基于惡意代碼行為規則的檢測技術，是依據專家預先定義的惡意代碼常見行為規則來檢測惡意代碼。該技術主要原理是，惡意代碼的運行行為經常伴隨用戶權限變更、注冊表修改、網絡端口開放、異常網絡通信等行為，或者某種特定系統操作序列。該技術存在嚴重的滯后性缺陷，特別是隨著計算機運行速度的大幅度提升，等到檢測到惡意代碼行為時，往往已經給系統帶來了無法彌補的損失。上述兩種檢測技術都是一種事后檢測技術，只能檢測到已知惡意代碼，或者在惡意代碼被執行后才能被檢測到，然而在此期間惡意代碼已經造成了破壞。

發明內容

本發明針對上述缺陷公開了未知惡意代碼的深度學習檢測方法，它包括下列步驟：

1)利用字節級n元文法提取訓練集中文件的特征向量；

2)構建HTM網絡結構，并確定HTM結構中底層每個節點的輸入數據長度；

3)將特征向量作為輸入，利用HTM算法進行序列模式學習訓練和分類推導；

4)利用字節級n元文法提取測試集中的文件的特征向量；

5)將特征向量輸入到完成訓練的HTM網絡進行序列識別，以確定測試集中的文件是否含有惡意代碼。

所述步驟2)具體包括下列步驟：

21)選擇一個F層的HTM網絡模型，定義除底層外每個節點有M個子節點；

22)利用公式l＝L/M(F-1)截取文件特征向量，并將截取的文件特征向量依次作為HTM網絡底層每一個節點的輸入樣本。

所述步驟3)具體包括下列步驟：

31)以截取的文件特征向量作為HTM網絡的輸入，底層節點進入學習階段，直到底層所有節點的空間池都完成空間模式的學習、暫態池都完成時間分組的學習；

32)底層節點在經步驟31)中學習階段結束后，底層節點進入推導階段，新的樣本輸入經底層節點推導后，輸出給其位于HTM網絡下一層的父節點，具有相同父節點的下層節點的輸出經連接后，成為下一層節點學習階段的輸入，下一層節點進入學習階段重復步驟31)中節點的學習過程；

步驟33)重復步驟3.2的過程，直到HTM網絡所有層的節點都完成了序列模式的學習訓練。

所述步驟31)具體包括下列步驟：

311)輸入到節點的二進制序列輸入到空間池，空間池使用最大距離參數D來學習這些序列的聚類；空間池使用最大距離D的方法儲存了輸入模式的子集，稱為聚類中心；隨著時間的增加，空間池在單位時間內產生的新序列模式的數量會減少，當每個時間周期的新聚類中心的數量低于設定好的閾值時，聚類過程將停止；

312)空間池對已經學習的序列模式輸出給暫態池，暫態池根據序列模式的時間鄰接性對序列模式進行分組，直到所有的序列模式都被分組后，分組計算結束。

所述步驟32)具體包括下列步驟：

321)利用公式計算輸入序列e^-基于節點空間池的空間模式c_i的概率分布，經正則化處理后作為空間池的輸出，其中代表非零的空間模式，M是此節點的子節點的數量，e^-為來自底層的待識別的輸入序列；