本發(fā)明提供了一種基于弱耦合SGAN的惡意軟件家族分類器生成方法、裝置及可讀存儲介質(zhì)，用于適應(yīng)具有部分無家族標(biāo)簽惡意軟件的家族分類模型訓(xùn)練，最終確定待檢測軟件屬于某一類惡意軟件家族。該方法通過惡意軟件的二進(jìn)制文件，結(jié)合改進(jìn)的惡意軟件圖像縮放算法實(shí)現(xiàn)對惡意軟件原始圖形特征提取功能，利用VGG模型的1D?CNN和有家族標(biāo)簽的惡意軟件訓(xùn)練原始的惡意軟件家族分類器，然后采用弱耦合的半監(jiān)督生成對抗網(wǎng)絡(luò)模型，利用無標(biāo)簽的惡意軟件對惡意軟件家族分類器、半監(jiān)督生成對抗網(wǎng)絡(luò)中的研判器和生成器進(jìn)行訓(xùn)練，最終得到適用范圍更廣的惡意軟件家族分類器。本發(fā)明在未知家族標(biāo)簽或家族標(biāo)簽不準(zhǔn)確的惡意軟件的分類上具有良好的效果。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)空間安全領(lǐng)域、惡意軟件和深度學(xué)習(xí)領(lǐng)域，具體涉及一種基于弱耦合SGAN的惡意軟件家族分類器生成方法、裝置及可讀存儲介質(zhì)。

背景技術(shù)

惡意軟件家族分類是分析了解惡意軟件攻擊目標(biāo)的基礎(chǔ)，也是攻擊發(fā)現(xiàn)中重要的一環(huán)。同時，隨著人工智能技術(shù)的不斷創(chuàng)新發(fā)展，將深度學(xué)習(xí)技術(shù)運(yùn)用到惡意軟件家族分類已經(jīng)是一種趨勢。在早期惡意軟件檢測中，曾有技術(shù)發(fā)明利用受限玻爾茲曼機(jī)(RestrictedBoltzmann Machine，RBM)對多層感知機(jī)預(yù)訓(xùn)練，提高了安卓惡意軟件的檢測準(zhǔn)確率；隨后通過結(jié)合多層感知機(jī)與循環(huán)神經(jīng)網(wǎng)絡(luò)(Recurrent Neural Network，RNN)，以及文件頭(Headers)、標(biāo)簽(Tags)、指令操作碼(Opcodes)、API調(diào)用序列作為特征，對惡意flash的檢測準(zhǔn)確率可以達(dá)到98.33％。也有技術(shù)發(fā)明表明使用n-gram表示惡意軟件API間依賴關(guān)系以及系統(tǒng)事件序列可以有效提高惡意軟件的檢測效果，使用循環(huán)神經(jīng)網(wǎng)絡(luò)和回聲網(wǎng)絡(luò)(Erasmus Student Network，ESN)對系統(tǒng)事件序列進(jìn)行降維，同時采用最大池化方法配合邏輯回歸分類的惡意軟件檢測準(zhǔn)確率達(dá)到98.3％。

綜合上述發(fā)現(xiàn)，目前針對惡意軟件家族分類多采用惡意軟件的靜態(tài)行為和動態(tài)行為，比如API序列、文件頭、控制流圖等，建立檢測惡意軟件的特征模型。這類特征提取技術(shù)，尤其是動態(tài)行為特征，將會產(chǎn)生比較大的時延和花銷，而利用深度學(xué)習(xí)技術(shù)的目標(biāo)便是可以通過訓(xùn)練產(chǎn)生的分類器可以快速的對惡意軟件進(jìn)行家族分類，但在面對未知家族標(biāo)簽或家族標(biāo)簽不準(zhǔn)確的惡意軟件的分類上效果較差。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種基于弱耦合SGAN的惡意軟件家族分類器的生成方法。該方法使用IMIR構(gòu)建特征提取算法，將惡意軟件二進(jìn)制文件快速轉(zhuǎn)化成可用于分類器學(xué)習(xí)訓(xùn)練的特征向量，并運(yùn)用1D-CNN網(wǎng)絡(luò)結(jié)構(gòu)結(jié)合應(yīng)用弱耦合思想的SGAN對分類器進(jìn)行進(jìn)一步訓(xùn)練和生成。

為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是：

一種基于弱耦合SGAN的惡意軟件家族分類器生成方法，包括以下步驟：

利用改進(jìn)的惡意軟件圖像縮放算法將惡意軟件轉(zhuǎn)化為圖像特征；

利用產(chǎn)生的圖像特征和有家族標(biāo)簽的惡意軟件，采用神經(jīng)網(wǎng)絡(luò)訓(xùn)練原始的惡意軟件家族分類器；

采用弱耦合的半監(jiān)督生成對抗網(wǎng)絡(luò)模型，利用無家族標(biāo)簽的惡意軟件，對惡意軟件家族分類器、半監(jiān)督生成對抗網(wǎng)絡(luò)中的研判器和生成器進(jìn)行訓(xùn)練，得到最終的惡意軟件家族分類器。

進(jìn)一步地，所述改進(jìn)的惡意軟件圖像縮放算法包括：基于局部均值算法，將采樣點(diǎn)的范圍從最近的若干個點(diǎn)提升至整個滑動窗口內(nèi)的點(diǎn)，再通過調(diào)整滑動窗口大小和滑動方式，擴(kuò)展采樣窗口的大小，使其適合惡意樣本圖像。

進(jìn)一步地，所述的利用產(chǎn)生的圖像特征和有家族標(biāo)簽的惡意軟件，采用神經(jīng)網(wǎng)絡(luò)訓(xùn)練原始的惡意軟件家族分類器，包括：

將圖像特征和家族標(biāo)簽作為訓(xùn)練集和測試集，輸入基于VGG模型的1D-CNN神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行訓(xùn)練；

根據(jù)訓(xùn)練結(jié)果生成初始的特征訓(xùn)練模型F(x)和原始的惡意軟件家族分類器C。