[發明專利]一種基于軟件圖譜的閾值機制惡意軟件檢測方法及系統在審
| 申請號: | 202310554806.4 | 申請日: | 2023-05-17 |
| 公開(公告)號: | CN116595525A | 公開(公告)日: | 2023-08-15 |
| 發明(設計)人: | 姚燁;朱怡安;郭巍;李聯 | 申請(專利權)人: | 西北工業大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F18/24;G06N3/0464;G06N3/048;G06N3/084 |
| 代理公司: | 西安凱多思知識產權代理事務所(普通合伙) 61290 | 代理人: | 劉新瓊 |
| 地址: | 710072 *** | 國省代碼: | 陜西;61 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 軟件 圖譜 閾值 機制 惡意 檢測 方法 系統 | ||
1.一種基于軟件圖譜的閾值機制惡意軟件檢測方法,其特征在于包括:
S1:對惡意軟件反編譯得到二進制代碼,對得到的二進制代碼經過裁剪變換得到惡意軟件圖譜;
S2:將惡意軟件圖譜輸入基于軟閾值機制的惡意軟件檢測模型,提取惡意軟件圖譜中的特征并對惡意軟件檢測模型進行反復訓練;
所述特征:惡意軟件圖譜樣本通過向前傳播和反向傳播階段,經過層層卷積池化后得到惡意軟件圖譜的淺層特征圖;將淺層特征圖譜經過軟閾值處理,獲取到惡意軟件圖譜的深層次特征;
S3:利用訓練好的模型進行惡意軟件檢測。
2.根據權利要求1所述的一種基于軟件圖譜的閾值機制惡意軟件檢測方法,其特征在于S1具體步驟如下:
S11:打開逆向工具IDA-Pro,點擊導入按鈕,將惡意軟件上傳至工具內,然后選擇反編譯按鈕,利用逆向工具IDA-Pro反編譯惡意軟件樣本,獲取惡意軟件的源碼文件;
S12:將惡意軟件的源碼文件反編譯成二進制代碼;
S13:將連續的8bit數據轉化成0到255內的無符號整數;
S14:連續四個字節代表一條指令,分別對應R、G、B、A四個特征通道;
S15:按照固定728*384的長寬,對特征進行裁剪并轉換為RGBA圖像。
3.根據權利要求2所述的基于軟件圖譜的閾值機制惡意軟件檢測方法,其特征在于還包括:對于惡意軟件圖譜長度小于固定值,或者在裁剪過程中出現了二進制編碼丟失的現象,均用使用0字節進行填充。
4.根據權利要求1所述的基于軟件圖譜的閾值機制惡意軟件檢測方法,其特征在于所述軟閾值機制的具體公式如下:
其中τ是每一個通道的閾值,軟閾值化通過將[-τ,τ]這個區間中的特征值置為0,將大于τ的特征減τ,將小于τ的特征值+τ這樣使得每一個通道上的值都向著0的位置收縮,能夠更快的加速收斂。
5.根據權利要求4所述的基于軟件圖譜的閾值機制惡意軟件檢測方法,其特征在于在軟閾值機制中加入了BN方法,將每層神經網絡任意神經元這個輸入值的分布強行拉回到均值為0方差為1的標準正態分布,讓激活輸入值落在非線性函數對輸入敏感的區域。
6.一種基于軟件圖譜的閾值機制惡意軟件檢測系統,其特征在于包括特征提取模塊和惡意軟件檢測模塊;
所述特征提取模塊:對惡意軟件反編譯得到二進制代碼,對得到的二進制代碼經過裁剪變換得到惡意軟件圖譜;
所述惡意軟件檢測模塊:將惡意軟件圖譜作為輸入,采用基于軟閾值機制提取惡意軟件圖譜中包含的特征對惡意軟件檢測模型進行反復訓練。
7.根據權利要求6所述的基于軟件圖譜的閾值機制惡意軟件檢測系統,其特征在于所述特征提取模塊包括惡意軟件的反編譯、特征通道的生成、基于特征通道的圖像化。
8.根據權利要求6所述的基于軟件圖譜的閾值機制惡意軟件檢測系統,其特征在于所述惡意軟件檢測模塊包括一個卷積層、一定量的神經網絡層、一個批標準化、一個軟閾值化模塊、一個全局均值池化和一個全連接層。
9.一種計算機系統,其特征在于包括:一個或多個處理器,計算機可讀存儲介質,用于存儲一個或多個程序,其中,當所述一個或多個程序被所述一個或多個處理器執行時,使得所述一個或多個處理器實現權利要求1所述的方法。
10.一種計算機可讀存儲介質,其特征在于存儲有計算機可執行指令,所述指令在被執行時用于實現權利要求1所述的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于西北工業大學,未經西北工業大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202310554806.4/1.html,轉載請聲明來源鉆瓜專利網。
