欢迎来到利索能及~ 联系电话:18621327849
利索能及
我要发布
收藏
专利号: 2024104514667
申请人: 重庆知含科技有限公司
专利类型:发明专利
专利状态:已下证
专利领域: 计算;推算;计数
更新日期:2024-10-29
缴费截止日期: 暂无
联系人

摘要:

权利要求书:

1.一种基于卷积神经网络的恶意软件检测方法,其特征在于,包括:建立深度学习网络,所述深度学习网络包括预训练网络,所述预训练网络用于提取软件的多种特征;

提取软件的静态特征和动态特征,并将提取的静态特征和动态特征分别转换为灰度图像A和灰度图像B,将所述A和B进行融合生成融合灰度图像c,所述灰度图像c用于表征软件行为;

利用预训练网络的深度特征网络、细节特征网络和语义特征网络获取所述灰度图像c的深度特征、细节特征和语义特征,将获取的特征进行特征融合,生成融合特征D;

将所述融合特征D输入所述深度学习网络的分类层和全连接层,用于特征分类;

重复以上步骤,将训练集中的全部样本的特征转化为融合特征D;

利用融合特征D训练深度学习网络,获得网络参数;

利用网络参数训练分类器,所述分类器用于对未知软件进行分类检测;

生成灰度图像c还包括如下步骤:

将提取的静态结构特征换为静态特征灰度图像A;

将提取的动态行为特征转换为动态特征灰度图像B;

将所述A和所述B进行融合,生成融合灰度图像c;

将所述A和所述B进行融合,生成融合灰度图像c还包括如下步骤:利用预训练的自动编码器网络分别提取所述A和所述B的深层特征,获得特征向量a和特征向量b,所述a和所述b用于增强特征表达;

将所述a和所述b在所述自动编码器网络的同一隐藏层进行拼接,获得拼接特征向量c;

将拼接特征向量c通过所述自动编码器网络的全连接层映射到与灰度图像c相同大小的重构特征向量;

通过所述自动编码器网络中的逆卷积网络将重构特征向量恢复为与灰度图像c大小相同的重构特征图,所述重构特征图用于重构特征;所述重构特征图包含重构的静态和动态特征信息;

将重构特征图进行像素级别的线性融合,生成融合图像c;

生成融合特征D还包括如下步骤:

提取灰度图像c的多种特征,所述多种特征包括层次特征、纹理特征和分布特征;

拼接多种特征形成特征向量;

对特征向量进行降维处理;

获取经过降维处理的特征向量的距离矩阵;

对距离矩阵进行聚类,获得多个聚类中心;

以多个聚类中心作为分类特征,形成融合特征D。

2.根据权利要求1所述的恶意软件检测方法,其特征在于:将提取的动态行为特征转换为动态特征灰度图像B还包括如下步骤:利用API hook技术实时获取软件的动态行为特征;

将获取的动态行为特征构建为特征图;

利用基于图卷积网络的模型对特征图进行特征提取;

利用预训练的生成对抗网络将提取的特征转换为与A大小相同的伪装图像;

对伪装图像进行线性加权融合,得到最终的动态特征灰度图像B;

其中,动态行为特征包含:系统调用、注册表访问和文件操作序列,分别表征软件功能、访问内容和时间顺序;

特征图包含节点和边,节点表示软件功能或访问内容,边表示时间顺序。

3.根据权利要求1所述的恶意软件检测方法,其特征在于:将提取的静态结构特征换为静态特征灰度图像A还包括如下步骤:获取软件的PE文件;

获取所述PE文件中的统计特征,所述统计特征包含时间戳和平台统计;

获取所述PE文件中的结构特征并将所述结构特征转换为二进制文件,所述结构特征包含PE节表和导入表;

获取二进制文件中各字节的信息熵大小;

选择信息熵大小大于阈值的字节构建整数向量;

对构建的整数向量使用KL散度选择优化子序列;

对优化子序列进行Z‑Score规范化处理,获得整数序列;

自适应调整整数序列长度为L;

将整数序列映射为灰度图像A,所述灰度图像A的大小为L*L。

4.根据权利要求1所述的恶意软件检测方法,其特征在于:所述提取灰度图像c的多种特征还包括如下步骤:利用预训练的深度特征网络提取层次特征;

利用预训练的细节特征网络提取纹理特征;

利用预训练的语义特征网络提取分布特征;

所述聚类为谱聚类。

5.一种基于卷积神经网络的恶意软件检测系统,其特征在于,包括:特征提取模块,用于提取软件的静态特征和动态特征;

图像生成模块,用于将提取的静态特征和动态特征分别转换为静态特征图像和动态特征图像,并将静态特征图像和动态特征图像进行融合生成融合特征图像;

深度特征提取模块,用于对融合特征图像进行深度特征提取,获取层次特征、纹理特征和分布特征;

特征融合模块,用于进行特征融合,获得融合特征;

模型训练模块,用于利用融合特征训练卷积神经网络,获得网络参数;

分类判断模块,用于利用网络参数对未知软件进行分类判断;

其中,所述深度特征提取模块包含:深度特征网络单元、细节特征网络单元和语义特征网络单元,用于分别提取层次特征、纹理特征和分布特征;

所述特征融合模块利用谱聚类方法获得多个类中心作为最终融合特征;

所述系统基于卷积神经网络作为分类模型;

所述图像生成模块包含:

静态图像生成单元,用于将静态结构特征转换为静态特征图像;

动态图像生成单元,用于将动态行为特征转换为动态特征图像;

图像融合单元,用于将静态特征图像和动态特征图像进行融合,生成融合特征图像;

其中,所述动态图像生成单元包含:行为提取子单元,用于获取软件的动态行为特征;

特征构建子单元,用于将动态行为特征构建成特征图;

特征提取子单元,用于基于图卷积网络的模型对特征图进行特征提取;

图像转换子单元,用于将提取的动态特征转换为动态特征图像;

所述图像融合单元包含:

特征提取子单元,用于利用自动编码器网络分别提取静态特征图像和动态特征图像的特征;

特征拼接子单元,用于将两个特征在自动编码器网络的同一隐藏层进行拼接;

映射子单元,用于通过自动编码器网络的全连接层,将拼接后的特征映射为与融合特征图像大小相同的特征;

还原子单元,用于通过自动编码器网络中的逆卷积网络,将映射后的特征还原为与融合特征图像大小相同的特征图;

融合子单元,用于对特征图进行像素级别融合,得到融合特征图像。