本發明屬于網絡與信息安全技術領域，具體涉及一種基于圖神經網絡的惡意軟件快速檢測方法，該方法包括：構建惡意軟件檢測模型，采用不同元結構挖掘軟件節點中不同實體中的隱藏信息；捕獲節點之間基于高階內容的相關性，使用注意力機制，對元路徑進行語義融合；采用基于元結構相似度匹配的Sim2vec算法從未知軟件節點和與之相似的已知軟件節點嵌入進行增量聚合，提升檢測速度；本發明考慮到不同惡意軟件實體的多樣性和語義關系復雜性所帶來的檢測精度不準得問題，采用異質信息網絡構建模型，并利用高階圖神經網絡挖掘惡意軟件的高階特征信息，再利用相似度算法進行匹配，能夠有效的進行惡意軟件的快速檢測。

技術領域

本發明屬于網絡與信息安全技術領域，具體涉及一種基于圖神經網絡的惡意軟件快速檢測方法。

背景技術

隨著科學技術的不斷發展，網絡安全越來越受到人們的關注，特別是軟件的安全性，其中惡意軟件對網絡安全、信息安全造成了嚴重的威脅，如何準確檢測惡意軟件和如何降低惡意軟件產生的危害成為了現在亟需解決的問題?，F有的檢測可分為兩大類型：靜態(基于簽名)檢測和動態(基于行為)檢測。在靜態檢測中，會因為簡單的代碼混淆技術使得檢測失效，而在動態檢測會取決于操作系統的版本和設備運行的狀態，這樣需要較高的檢測成本。因此現有技術對軟件進行檢測過程中雖然惡意軟件數據中包含了大量內容特征，但這些檢測方法都忽略惡意軟件樣本節點之間的隱含關系；而大多的異構圖嵌入方法僅僅考慮了直接相鄰鄰居節點的影響，而忽略了高階鄰居的屬性，從而對于節點的內容相關性獲取不全面，并且在網絡深層網絡的語義傳播中，會存在一個語義的混淆現象；并且在未知的軟件進行檢測時，因為需要對未知軟件進行重新進行異質圖嵌入，同時還需要重新訓練下游分類器，所以會導致模型對未知軟件的檢測速度過于緩慢。如何有效地學習異質圖中未知軟件的表示仍然是很大的困難。

發明內容

針對現有技術中由于惡意軟件樣本的多樣性和樣本之間關系的復雜性和惡意樣本節點之間基于內容的相關性造成檢測的結果準確度低，并且未知的惡意軟件的檢測速度慢的問題，本發明提出了一種基于圖神經網絡的惡意軟件快速檢測方法，該方法包括：構建惡意軟件檢測模型；獲取待檢測軟件的應用數據，將待檢測軟件的應用數據輸入到惡意軟件檢測模型中，得到檢測結果；

采用惡意軟件檢測模型對待檢測軟件的應用數據進行處理的過程包括：

S1、采用不同的元路徑和元圖對輸入的待檢測軟件的應用程序數據進行特征提取，根據提取的特征構建異質圖網絡；

S2、采用HG2vec算法對異質圖網絡中的軟件實體節點的高階領居節點進行消息聚合，得到待檢測軟件節點的高階增強嵌入表示；

S3、采用自注意力機制對經過不同元結構的高階增強嵌入表示進行語義融合，得到融合后節點的最終嵌入向量表示；

S4、采用Sim2vec算法對待測軟件節點的最終嵌入向量表示進行分類檢測，得到待測軟件的檢測結果。

優選的，采用不同的元路徑和元圖對輸入的待檢測應用數據進行特征提取的過程包括：

S11、獲取待檢測軟件的數據信息，該數據信息包括代碼文件、配置文件以及簽名信息；提取數據信息中的五類實體作為軟件的關鍵特征，五類實體包括API、權限、組件、簽名以及服務；

S12、根據待檢測軟件的五類實體構建不同的元結構，獲取各個元結構的鄰接矩陣，對各個鄰接矩陣進行點乘，得到異質圖網絡。

優選的，采用HG2vec算法對隱藏信息進行特征提取的過程包括：

S21、采用單層神經網絡構成的映射函數將不同元路徑中高階領居節點的隱藏信息投影到語義空間中，并采用聚合函數將所有投影到語義空間中的鄰居信息進行聚合，得到節點嵌入；

S22、采用GAT方法計算節點嵌入中各個節點之間的權重，并對計算出的權重進行Lipschitz歸一化處理，得到權重系數；