[發(fā)明專利]一種基于弱耦合SGAN的惡意軟件家族分類器生成方法、裝置及可讀存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202010595658.7 | 申請日: | 2020-06-24 |
| 公開(公告)號: | CN111914254A | 公開(公告)日: | 2020-11-10 |
| 發(fā)明(設(shè)計(jì))人: | 汪姝瑋;汪秋云;姜政偉;劉建 | 申請(專利權(quán))人: | 中國科學(xué)院信息工程研究所 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06K9/62;G06N3/04 |
| 代理公司: | 北京君尚知識產(chǎn)權(quán)代理有限公司 11200 | 代理人: | 邱曉鋒 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 基于 耦合 sgan 惡意 軟件 家族 分類 生成 方法 裝置 可讀 存儲 介質(zhì) | ||
本發(fā)明提供了一種基于弱耦合SGAN的惡意軟件家族分類器生成方法、裝置及可讀存儲介質(zhì),用于適應(yīng)具有部分無家族標(biāo)簽惡意軟件的家族分類模型訓(xùn)練,最終確定待檢測軟件屬于某一類惡意軟件家族。該方法通過惡意軟件的二進(jìn)制文件,結(jié)合改進(jìn)的惡意軟件圖像縮放算法實(shí)現(xiàn)對惡意軟件原始圖形特征提取功能,利用VGG模型的1D?CNN和有家族標(biāo)簽的惡意軟件訓(xùn)練原始的惡意軟件家族分類器,然后采用弱耦合的半監(jiān)督生成對抗網(wǎng)絡(luò)模型,利用無標(biāo)簽的惡意軟件對惡意軟件家族分類器、半監(jiān)督生成對抗網(wǎng)絡(luò)中的研判器和生成器進(jìn)行訓(xùn)練,最終得到適用范圍更廣的惡意軟件家族分類器。本發(fā)明在未知家族標(biāo)簽或家族標(biāo)簽不準(zhǔn)確的惡意軟件的分類上具有良好的效果。
技術(shù)領(lǐng)域
本發(fā)明涉及網(wǎng)絡(luò)空間安全領(lǐng)域、惡意軟件和深度學(xué)習(xí)領(lǐng)域,具體涉及一種基于弱耦合SGAN的惡意軟件家族分類器生成方法、裝置及可讀存儲介質(zhì)。
背景技術(shù)
惡意軟件家族分類是分析了解惡意軟件攻擊目標(biāo)的基礎(chǔ),也是攻擊發(fā)現(xiàn)中重要的一環(huán)。同時,隨著人工智能技術(shù)的不斷創(chuàng)新發(fā)展,將深度學(xué)習(xí)技術(shù)運(yùn)用到惡意軟件家族分類已經(jīng)是一種趨勢。在早期惡意軟件檢測中,曾有技術(shù)發(fā)明利用受限玻爾茲曼機(jī)(RestrictedBoltzmann Machine,RBM)對多層感知機(jī)預(yù)訓(xùn)練,提高了安卓惡意軟件的檢測準(zhǔn)確率;隨后通過結(jié)合多層感知機(jī)與循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network,RNN),以及文件頭(Headers)、標(biāo)簽(Tags)、指令操作碼(Opcodes)、API調(diào)用序列作為特征,對惡意flash的檢測準(zhǔn)確率可以達(dá)到98.33%。也有技術(shù)發(fā)明表明使用n-gram表示惡意軟件API間依賴關(guān)系以及系統(tǒng)事件序列可以有效提高惡意軟件的檢測效果,使用循環(huán)神經(jīng)網(wǎng)絡(luò)和回聲網(wǎng)絡(luò)(Erasmus Student Network,ESN)對系統(tǒng)事件序列進(jìn)行降維,同時采用最大池化方法配合邏輯回歸分類的惡意軟件檢測準(zhǔn)確率達(dá)到98.3%。
綜合上述發(fā)現(xiàn),目前針對惡意軟件家族分類多采用惡意軟件的靜態(tài)行為和動態(tài)行為,比如API序列、文件頭、控制流圖等,建立檢測惡意軟件的特征模型。這類特征提取技術(shù),尤其是動態(tài)行為特征,將會產(chǎn)生比較大的時延和花銷,而利用深度學(xué)習(xí)技術(shù)的目標(biāo)便是可以通過訓(xùn)練產(chǎn)生的分類器可以快速的對惡意軟件進(jìn)行家族分類,但在面對未知家族標(biāo)簽或家族標(biāo)簽不準(zhǔn)確的惡意軟件的分類上效果較差。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于弱耦合SGAN的惡意軟件家族分類器的生成方法。該方法使用IMIR構(gòu)建特征提取算法,將惡意軟件二進(jìn)制文件快速轉(zhuǎn)化成可用于分類器學(xué)習(xí)訓(xùn)練的特征向量,并運(yùn)用1D-CNN網(wǎng)絡(luò)結(jié)構(gòu)結(jié)合應(yīng)用弱耦合思想的SGAN對分類器進(jìn)行進(jìn)一步訓(xùn)練和生成。
為實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案是:
一種基于弱耦合SGAN的惡意軟件家族分類器生成方法,包括以下步驟:
利用改進(jìn)的惡意軟件圖像縮放算法將惡意軟件轉(zhuǎn)化為圖像特征;
利用產(chǎn)生的圖像特征和有家族標(biāo)簽的惡意軟件,采用神經(jīng)網(wǎng)絡(luò)訓(xùn)練原始的惡意軟件家族分類器;
采用弱耦合的半監(jiān)督生成對抗網(wǎng)絡(luò)模型,利用無家族標(biāo)簽的惡意軟件,對惡意軟件家族分類器、半監(jiān)督生成對抗網(wǎng)絡(luò)中的研判器和生成器進(jìn)行訓(xùn)練,得到最終的惡意軟件家族分類器。
進(jìn)一步地,所述改進(jìn)的惡意軟件圖像縮放算法包括:基于局部均值算法,將采樣點(diǎn)的范圍從最近的若干個點(diǎn)提升至整個滑動窗口內(nèi)的點(diǎn),再通過調(diào)整滑動窗口大小和滑動方式,擴(kuò)展采樣窗口的大小,使其適合惡意樣本圖像。
進(jìn)一步地,所述的利用產(chǎn)生的圖像特征和有家族標(biāo)簽的惡意軟件,采用神經(jīng)網(wǎng)絡(luò)訓(xùn)練原始的惡意軟件家族分類器,包括:
將圖像特征和家族標(biāo)簽作為訓(xùn)練集和測試集,輸入基于VGG模型的1D-CNN神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行訓(xùn)練;
根據(jù)訓(xùn)練結(jié)果生成初始的特征訓(xùn)練模型F(x)和原始的惡意軟件家族分類器C。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于中國科學(xué)院信息工程研究所,未經(jīng)中國科學(xué)院信息工程研究所許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010595658.7/2.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 惡意特征數(shù)據(jù)庫的建立方法、惡意對象檢測方法及其裝置
- 用于檢測惡意鏈接的方法及系統(tǒng)
- 惡意信息識別方法、惡意信息識別裝置及系統(tǒng)
- 主動式移動終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測方法及對應(yīng)裝置
- 惡意語音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲介質(zhì)





