CN111062036A - 恶意软件识别模型构建、识别方法及介质和设备 - Google Patents

恶意软件识别模型构建、识别方法及介质和设备 Download PDF

Info

Publication number
CN111062036A
CN111062036A CN201911200365.8A CN201911200365A CN111062036A CN 111062036 A CN111062036 A CN 111062036A CN 201911200365 A CN201911200365 A CN 201911200365A CN 111062036 A CN111062036 A CN 111062036A
Authority
CN
China
Prior art keywords
network
malware
output
sample
training
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201911200365.8A
Other languages
English (en)
Inventor
孙玉霞
李文灏
任羽
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jinan University
University of Jinan
Original Assignee
Jinan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan University filed Critical Jinan University
Priority to CN201911200365.8A priority Critical patent/CN111062036A/zh
Publication of CN111062036A publication Critical patent/CN111062036A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Abstract

本实施例公开了恶意软件识别模型构建、识别方法及介质和设备,首先构建编码器网络和解码器网络,针对于构建的编码器网络和解码器网络进行训练,获取到生成器网络,同时构建鉴别器网络;并且通过训练样本对生成器网络和鉴别器网络进行训练;在发明中,鉴别器网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出。本发明构建的恶意软件识别模型,通过鉴别器网络输出的标准置信度可以检测出未知新奇的恶意软件,而通过鉴别器网络的多分类器的输出可以检测出恶意软件具体所属类别,考虑了恶意软件的开集识别问题,有利于在现实世界中进行恶意软件的检测与分类。

Description

恶意软件识别模型构建、识别方法及介质和设备
技术领域
本发明属于涉及信息安全和模式识别领域,特别涉及一种恶意软件识别模型构建、识别方法及介质和设备。
背景技术
恶意软件,如恶意脚本、漏洞利用、后门、蠕虫、特洛伊木马、间谍软件、rootkit等,给计算机系统带来严重危害,影响用户的正常操作,是当今互联网面临的最可怕和主要的安全威胁之一。近年来,恶意软件数量都呈指数增长。为了应对大量的恶意软件,有必要对恶意软件进行分类分析。利用深度神经网络使得恶意软件分类任务得到较好的结果,然而,由于恶意软件研究领域天然的对抗性,恶意软件作者会不断地发布新的恶意软件家族,所以在相对开放的恶意软件分类环境中,待测样本可能属于训练集中的已知家族或训练集中不存在的新家族,若采用传统的分类方式,则会造成错误分类。可见,现有的封闭集合的恶意软件检测方法已经不能满足恶意软件家族日益增长的现实环境,如何在开放集合中对已知类的恶意软件进行分类,同时对未知类的恶意软件进行识别是恶意软件检测面临的一个新的问题。
发明内容
本发明的第一目的在于克服现有技术的缺点与不足,提供一种恶意软件识别模型构建方法,通过该方法可以构建出恶意软件识别模型,以识别出已知恶意软件分类中的恶意软件和未知新奇的恶意软件。
本发明第二目的在于提供一种恶意软件识别模型识别方法,该方法能够准确的识别出已知恶意软件分类中的恶意软件和未知新奇的恶意软件。
本发明第三目的在于提供一种恶意软件识别模型构建装置。
本发明第四目的在于提供一种存储介质。
本发明第五目的在于提供一种计算设备。
本发明的第一目的通过下述技术方案实现:一种恶意软件识别模型构建方法,所述方法包括:
获取带标签的各类恶意软件样本,构成训练集;
构建编码器网络和解码器网络,并且将编码器网络的输出作为解码器网络的输入;
将训练样本的特征向量作为编码器网络的输入,对编码器网络和解码器网络进行训练,将训练完成的解码器网络作为生成器网络;
构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
通过训练样本训练生成器网络和鉴别器网络,如下:
S1、将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
S2、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
S3、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
S4、重复多次执行步骤S1至S3,得到训练完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
优选的,针对于获取带标签的各类恶意软件样本,将其中几类恶意软件本划分为新奇类恶意软件本,其他类恶意软件样本按照一定比例划分为训练集和验证集;将新奇类恶意软件样本加入到验证集中;
所述方法还包括如下步骤:通过验证集对当前恶意软件识别模型进行验证,具体过程如下:
S5、根据验证集中验证样本的标签,将验证样本分为正常数据和新奇数据的类别;所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据;
S6、将各验证样本的特征向量输入到当前恶意软件识别模型的鉴别器网络中,得到各验证样本的置信度;对为正常数据的各验证样本的置信度取平均值,作为上限a1;同时对为新奇数据的各验证样本的置信度取平均值,作为下限a2;
S7、计算步骤S6中上限a1和下限a2的差值△a,以下限a2为起始值,以差值△a的1/n为步长,分别设置各阈值ai,ai=a2+(△a/n)i,i=1,2,…,n,n为定值;选择上述各阈值ai,分别对验证集中各验证样本的数据类别进行判定,具体为:将验证集中各验证样本的置信度与当前选择的阈值ai进行比较,若验证样本的置信度高于当前选择的阈值ai,则将该验证样本判定为正常数据,否则将该验证样本判定为新奇数据;
S8、将每次所选择的阈值情况下,步骤S7所判定出的各验证样本的数据类别与步骤S5中个验证样本的数据类别进行比较,确定出每次所选择的阈值情况下,恶意软件识别模型的误判率;选取最小的误判率,将该误判率下与验证样本进行比较的阈值ai,作为标准阈值;同时判定最小的误判率是否大于一定值;
若是,则进入步骤S9;
若否,将当前恶意软件识别模型作为最终的恶意软件识别模型;
S9、重新执行步骤S1到S4,对当前恶意软件识别模型进行再训练,将再训练后的恶意软件识别模型作为当前恶意软件识别模型;然后返回到步骤S6。
更进一步的,所述验证样本的置信度计算方法如下:
Figure BDA0002295725270000031
其中,xi表示第i个验证样本,
Figure BDA0002295725270000032
为验证样本xi的置信度,yi为验证样本xi的标签;Doutput(xi,yi)表示验证样本xi输入到鉴别器网络后,鉴别器网络的基本置信度输出,XV为验证集;
其中:
Figure BDA0002295725270000033
Figure BDA0002295725270000034
其中
Figure BDA0002295725270000035
表示验证样本xi输入到鉴别器网络后,鉴别器网络中第j个分类器的输出值,F为鉴别器网络中多分类器的输出类别总数。
优选的,对编码器网络和解码器网络进行训练的过程如下:
S11、将训练样本的特征向量输入到编码器网络中,通过编码器网络压缩得到潜在向量;
S12、将对应训练样本下,编码器网络输出的潜在向量与对应训练样本的标签进行卷积运算后输入到解码器网络中,由解码器网络输出与编码器网络输入特征维度相同维度的还原特征向量;
S13、计算还原特征向量和训练样本输入到编码器网络的原始特征向量之间的重构误差,并进行反向传播,更新编码器网络和解码器网络的参数,经过多伦迭代后,得到训练完成的编码器网络和解码器网络。
优选的,所述编码器网络包括依次连接的输入层、第一卷积层、最大池化层、第二卷积层和全连接层;
所述解码器网络包括依次连接的嵌入层、全连接层、批归一化层、第一反卷积序列层、第二反卷积序列层和卷积层;所述解码器网络的嵌入层前面设置有卷积层;
所述鉴别器网络包括嵌入层、全连接层、第一卷积序列层、第二卷积序列层、多分类器输出层和鉴别器输出层,其中嵌入层、全连接层、第一卷积序列层、第二卷积序列层依次连接,多分类器输出层和鉴别器输出层分别连接第二卷积序列层,多分类器输出层输出多分类结果;鉴别器输出层输出标准置信度结果。
本发明的第二目的通过下述技术方案实现:一种恶意软件识别方法,所述方法如下:
调用本发明第一目的恶意软件识别模型构建方法中构建的恶意软件识别模型;
针对于待识别的恶意软件样本,将其特征向量输入到恶意软件识别模型的鉴别器网络中,通过鉴别器网络的标准置信度输出确定待识别恶意软件是正常数据还是新奇数据,在不为新奇数据的情况下,通过鉴别器网络中多分类器的输出确定待识别恶意软件的所属类别;
所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
优选的,恶意软件识别模型的鉴别器网络判定待识别的恶意软件样本是否为新奇数据的具体过程如下:
将待识别的恶意软件样本的特征向量输入到恶意软件识别模型的鉴别器网络中,由鉴别器网络计算的得到待识别的恶意软件样本的置信度,将该置信度与标准阈值进行比较,若大于标准阈值,则将待识别的恶意软件样本判定为正常数据,否则判定为新奇数据。
本发明的第三目的通过下述技术方案实现:一种恶意软件识别模型构建装置,所述装置包括:
恶意软件样本获取模块,用于获取带标签的各类恶意软件样本,构成训练集;
编码器和解码器网络构建模块,用于构建编码器网络和解码器网络;
编码器和解码器网络训练模块,通过训练样本对编码器网络和解码器网络进行训练,通过训练完成的解码器网络得到生成器网络;
鉴别器网络构建模块,用于构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
生成器和鉴别器网络训练模块,用于通过训练样本训练生成器网络和鉴别器网络,具体包括:
第一训练模块,通过将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
第二训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
第三训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
恶意软件识别模型构建模块,控制第一训练模块、第二训练模块和第三训练模块的依次多次重复执行,得到最终更新完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
本发明的第四目的通过下述技术方案实现:一种存储介质,其中所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行本发明第一目的所述的恶意软件识别模型构建方法,或者执行本发明第二目的所述的恶意软件识别方法。
本发明的第五目的通过下述技术方案实现:一种计算设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现本发明第一所述的恶意软件识别模型构建方法,或者实现本发明第二目的所述的恶意软件识别方法。
本发明相对于现有技术具有如下的优点及效果:
(1)本发明恶意软件识别模型构建方法中,首先构建编码器网络和解码器网络,针对于构建的编码器网络和解码器网络进行训练,获取到生成器网络,同时构建鉴别器网络;并且通过训练样本对生成器网络和鉴别器网络进行训练;在发明中,鉴别器网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出。本发明构建的恶意软件识别模型,通过鉴别器网络输出的标准置信度可以检测出未知新奇的恶意软件,而通过鉴别器网络的多分类器的输出可以检测出恶意软件具体所属类别,因此,通过本发明构建的恶意软件识别模型,即能够识别出已知公开恶意软件分类中的恶意软件,又可以识别出未知、新奇的恶意软件,考虑了恶意软件的开集识别问题,有利于在现实世界中进行恶意软件的检测与分类。
(2)本发明恶意软件识别模型构建方法中,在通过验证集对恶意软件识别模型验证过程中,通过鉴别器网络的基本置信度输出以及两倍最大分类器输出值和最小分类器输出值确定每个验证样本的置信度,本发明提出的这种计算方式,能够进一步拉大已知类和未知类恶意软件样本的得分差距,使得已知类和未知类恶意软件的区分更加容易。
(3)本发明恶意软件识别模型构建方法中,在训练完成生成器网络和鉴别器网络,得到恶意软件识别模型后,通过验证集中的验证样本对恶意软件识别模型进行进一步的验证。其中验证集中包括属于已知类别的正常数据以及属于未知类别的新奇数据。在验证样本验证过程中,将各验证样本的特征向量输入到恶意软件识别模型中,得到各验证样本的置信度,然后求取所有正常数据验证样本的平均置信度和所有新奇数据验证样本的平均置信度,分别作为上限和下限,以下限为起始值,通过差值的1/n为步长,设置各阈值;通过各阈值对验证集中的各验证样本进行正常数据和新奇数据的判别,并且将判别结果和真实结果进行比较,确定误判率,选取最小的误判率,并且将得到最小误判率时的对应阈值作为标准阈值,最后判定最小误判率是否超过一定值,若是,则重新训练恶意软件识别模型,直到训练后恶意软件识别模型的最小误判率未超过一定值。可见,本发明方法中,通过验证样本验证恶意软件识别模型的误判率,使得最终得到的恶意软件识别模型的误判率能够小于一定值,保证了恶意软件识别模型针对于正常数据和新奇数据判别的准确率。
(4)本发明恶意软件识别方法中,将待识别的恶意软件样本的特征向量输入到本发明构建的恶意软件识别模型的鉴别器网络中,利用恶意软件识别模型中生成器网络对数据概率分布有很强的学习能力的特性,学习已知类恶意软件的概率分布,通过鉴别器网络的区分能力,对来自新奇类的样本得出较低的置信得分,能够准确的检测出待识别的恶意软件所属分类的同时,也能够检测出未知新奇的即新出现的一些恶意软件,克服了现有技术中封闭集合的恶意软件检测方法不能满足恶意软件家族日益增长而不能实现检测的问题。
(5)本发明恶意软件识别方法中,恶意软件识别模型的鉴别器网络判定待识别的恶意软件样本是否为新奇数据的具体过程如下:将待识别的恶意软件样本的特征向量输入到恶意软件识别模型的鉴别器网络中,由鉴别器网络计算的得到待识别的恶意软件样本的置信度,将该置信度与标准阈值进行比较,若大于标准阈值,则将待识别的恶意软件样本判定为正常数据,否则判定为新奇数据。其中标准阈值为验证样本在对恶意软件识别模型进行验证时,对应得到最小误判率时所用于与验证样本置信度进行比较的阈值,当恶意软件识别模型用该阈值进行验证样本判定时,能够保证误判率最小;因此本发明识别方法所采用的标准阈值,能够确保鉴别器网络可以更加准确的识别出待识别样本是新奇数据还是正常数据。
附图说明
图1是本发明方法中编码器网络和解码器网络的结构关系图。
图2是本发明方法中生成器网络和鉴别器网络的结构关系图。
图3是本发明方法中编码器网络的结构框图。
图4是本发明方法中解码器网络的结构框图。
图5是本发明方法中鉴别器网络的结构框图。
图6是本发明恶意软件识别模型构建装置的结构框图。
图7是本发明计算设备的结构框图。
具体实施方式
下面结合实施例及附图对本发明作进一步详细的描述,但本发明的实施方式不限于此。
实施例1
本实施例公开了一种恶意软件识别模型构建方法,该方法包括以下步骤:
1)、获取带标签的各类恶意软件样本并进行特征工程,将其中几类恶意软件本划分为新奇类恶意软件本,其他类恶意软件样本按照一定比例划分为训练集和验证集;将新奇类恶意软件样本加入到验证集中;
在本实施例可以获取如下表1所述的恶意软件样本;
序号 家族名称(类别) 样本数量 类型
1 Ramnit 1514 Worm
2 Lollipop 2478 Adware
3 Kelihos_ver3 2942 Backdoor
4 Vundo 475 Trojan
5 Simda 42 Backdoor
6 Tracur 751 Trojandownloader
7 Kelihos_ver1 398 Backdoor
8 Obfuscator_ACY 1228 Any kind of obfuscated malware
9 Gatak 1013 Backdoor
将其中第1至7类中的恶意软件样本按照一定比例如8:2划分为训练集和验证集,即将第1至7类确定为已知的恶意软件类别。将第8至9类中的恶意软件样本划分为新奇类恶意软件样本,即假定其为未知新出现的恶意软件样本。上述针对于新奇类恶意软件样本的划分是随意的,人为确定的,也可以将其他类的恶意软件样本划分为新奇类恶意软件样本,本实施例上述划分对本实施例方法没有影响,此处新奇类恶意软件样本的划分只是为了在验证恶意软件识别模型的时候使用。
2)、构建编码器网络和解码器网络,并且将编码器网络的输出作为解码器网络的输入,如图1中所示。
在本实施例中,将训练样本的特征向量作为编码器网络的输入,对编码器网络和解码器网络进行训练,将训练完成的解码器网络作为生成器网络。在本实施例中,设置编码器网络和解码器网络的学习率为0.0001。
在本实施例中,对编码器网络和解码器网络进行训练的过程如下:
21)、将训练样本的特征向量x输入到编码器网络中,通过编码器网络压缩得到潜在向量;在本实施例中训练样本的特征向量的大小为25*25,通过编码器网络得到维度为100的潜在空间向量z。
本实施例中恶意软件样本的特征向量x通过特征工程提取到,特征向量x由如下元素组成:恶意软件样本的熵和大小、恶意软件样本的魔方签名(Magic Signature)和TrID签名(TrID Signature)、恶意软件样本通过IDA反编译得到的ASM文本特征、函数调用图特征、从函数调用图中提取的函数调用计数,在本实施例中,特征工程提取到特征向量后,对特征向量的每一个列向量进行归一化,最后转换成25*25大小的二维矩阵。
22)、将对应训练样本下,编码器网络输出的潜在向量z与对应训练样本的标签进行连接后,即进行卷积运算后输入到解码器网络中,由解码器网络输出与编码器网络输入特征维度相同维度的还原特征向量x′;
23)、计算还原特征向量x′和训练样本输入到编码器网络的原始特征向量x之间的重构误差,并进行反向传播,更新编码器网络和解码器网络的参数,经过多伦迭代后,得到训练完成的编码器网络和解码器网络,在本实施例中迭代次数可以设置为100。在本实施例本步骤获取到重构误差后,通过Adam方法更新编码器网络和解码器网络的参数,最终将训练完成的解码器网络作为生成器网络。
3)、构建鉴别器网络,鉴别器网络和生成器网络之间的关系如图2所示,鉴别器网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
4)通过训练样本训练生成器网络和鉴别器网络,如下:
41)、将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;在本实施例中,训练样本的特征向量输入到鉴别器网络时,将训练样本即真实样本的特征向量Xreal与其标签进行结合即进行卷积层卷积运算后得到的的特征向量X′real,特征向量X′real为带标签的数据,上述将训练样本的特征向量输入达到鉴别器网络指的是:将特征向量X′real输入到鉴别器网络中。
42)、将随机生成的维度为100的高斯噪声Z与训练集中各训练样本的标签向量结合,即卷积运算后输入到生成器网络中,得到第一生成样本X′fake;将上述第一生成样本X′fake和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出与0之间的误差loss2;同时将训练样本的特征向量及其标签结合后,即卷积运算后输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出与1之间的误差loss3;通过误差loss2+loss3更新生成器网络和鉴别器网络;
43)、将随机生成的高斯噪声与训练集中各训练样本的标签向量结合后,即卷积运算后输入到生成器网络中,得到第二生成样本;将上述第二生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出与1之间的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
44)、重复多次执行步骤41)至43),得到训练完成的生成器网络和鉴别器网络,作为恶意软件识别模型。在本实施例中,重复200次执行步骤41)至43),得到恶意软件识别模型。
5)通过验证集对当前恶意软件识别模型进行验证,具体过程如下:
51)、根据验证集中验证样本的标签,将验证样本分为正常数据和新奇数据的类别;所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
52)、将各验证样本的特征向量输入到当前恶意软件识别模型的鉴别器网络中,得到各验证样本的置信度;对为正常数据的各验证样本的置信度取平均值,作为上限a1;同时对为新奇数据的各验证样本的置信度取平均值,作为下限a2;在本实施例中,验证样本的置信度计算方法如下:
Figure BDA0002295725270000091
其中,xi表示第i个验证样本,
Figure BDA0002295725270000092
为验证样本xi的置信度,yi为验证样本xi的标签;Doutput(xi,yi)表示验证样本xi输入到鉴别器网络后,鉴别器网络的基本置信度输出,XV为验证集;
其中:
Figure BDA0002295725270000093
Figure BDA0002295725270000094
其中
Figure BDA0002295725270000095
表示验证样本xi输入到鉴别器网络后,鉴别器网络中第j个分类器的输出值,F为鉴别器网络中多分类器的输出类别总数。
53)、计算步骤52)中上限a1和下限a2的差值△a,以下限a2为起始值,以差值△a的1/n为步长,分别设置各阈值ai,ai=a2+(△a/n)i,i=1,2,…,n,n为定值,在本实施例中可以设置n为10;选择上述各阈值ai,分别对验证集中各验证样本的数据类别进行判定,具体为:将验证集中各验证样本的置信度与当前选择的阈值ai进行比较,若验证样本的置信度高于当前选择的阈值ai,则将该验证样本判定为正常数据,否则将该验证样本判定为新奇数据;
54)、将每次所选择的阈值情况下,步骤S53所判定出的各验证样本的数据类别与步骤S51中个验证样本的数据类别进行比较,确定出每次所选择的阈值情况下,恶意软件识别模型的误判率;选取最小的误判率,将该误判率下与验证样本进行比较的阈值ai,作为标准阈值;同时判定最小的误判率是否大于一定值,该值可以根据对于恶意软件识别模型的误判率需求进行设置;
若是,则进入步骤55);
若否,将当前恶意软件识别模型作为最终的恶意软件识别模型。
55)、重新执行步骤51)到54),对当前恶意软件识别模型进行再训练,将再训练后的恶意软件识别模型作为当前恶意软件识别模型;然后返回到步骤52)。
如图3中所示,为本实施例上述步骤2)中构建的编码器网络,该编码器网络包括依次连接的输入层、第一卷积层、最大池化层、第二卷积层和全连接层;各层的具体设置如下:
输入层:输入25*25大小的特征向量;
第一卷积层:1通道输入,4通道输出,卷积核大小为3*3,步长为1,LeakyRelu作为激活函数;
最大池化层:核大小为3,步长为3;
第二卷积层:4通道输入,8通道输出,卷积核大小为3*3,步长为1,LeakyRelu作为激活函数;
全连接层:输出1*100维向量。
如图4中所示,为本实施例上述步骤2)构建的解码器网络,该解码器网络包括依次连接的嵌入层、全连接层、批归一化层、第一反卷积序列层、第二反卷积序列层和卷积层;各层的具体设置如下:
嵌入层(Embedding层):10维输入,10维输出;
全连接层:110维输入,27*27维输出;作为嵌入层的输出和随机噪声连接后的输入层;
批归一化层:核大小为1,采用Relu激活函数;
第一反卷积序列层:包括反卷积核为3x3的反卷积层、卷积核为3x3的卷积层、核心大小为64的批归一化层;采用Relu激活函数;
第二反卷积序列层:包括反卷积核为3x3的反卷积层、卷积核为3x3的卷积层、核心大小为32的批归一化层;采用Relu激活函数。
卷积层:卷积核大小为3*3,步长为1,采用Tanh激活函数。
如图5中所示,为本实施例上述步骤3)构建的鉴别器网络,所述鉴别器网络包括嵌入层、全连接层、第一卷积序列层、第二卷积序列层、多分类器输出层和鉴别器输出层,其中嵌入层、全连接层、第一卷积序列层、第二卷积序列层依次连接,多分类器输出层和鉴别器输出层分别连接第二卷积序列层,多分类器输出层输出多分类结果;鉴别器输出层输出标准置信度结果。各层的具体设置如下:
嵌入层(Embedding层):10维输入,10维输出;
全连接层:625维输入,625维输出,用于连接输入向量和经过嵌入层的标签;
第一卷积序列层:1通道输入,4通道输出,包括核大小为3*3的卷积层、核大小为4的批归一化层以及核大小为3x3的平均池化层;采用Leaky ReLU作为激活函数。
第二卷积序列层:4通道输入,8通道输出,包括核大小为3*3的卷积层、核大小为4的批归一化层以及核大小为3x3的平均池化层;采用Leaky ReLU作为激活函数。
多分类器输出层:包括两个全连接层,其中一个全连接层为32维输入,32维输出,采用LeakyReLU作为激活函数;另一个全连接层为32维输入,10维输出,Sigmoid作为激活函数;
鉴别器输出层:包括两个全连接层,其中一个全连接层为32维输入,10维输出,采用LeakyReLU作为激活函数;另一个全连接层为10维输入,1维输出,LeakyReLU作为激活函数。
实施例2
本实施例公开了一种恶意软件识别方法,该方法包括如下步骤:
1)、调用实施例1所述的恶意软件识别模型构建方法中构建的恶意软件识别模型。
2)、针对于待识别的恶意软件样本,将其特征向量输入到恶意软件识别模型的鉴别器网络中,通过鉴别器网络的标准置信度输出确定待识别恶意软件是正常数据还是新奇数据,在不为新奇数据的情况下,通过鉴别器网络中多分类器的输出确定待识别恶意软件的所属类别。
其中,正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
在本实施例中,恶意软件识别模型的鉴别器网络判定待识别的恶意软件样本是否为新奇数据的具体过程如下:将待识别的恶意软件样本的特征向量输入到恶意软件识别模型的鉴别器网络中,由鉴别器网络计算的得到待识别的恶意软件样本的置信度,将该置信度与标准阈值进行比较,若大于标准阈值,则将待识别的恶意软件样本判定为正常数据,否则判定为新奇数据。
实施例3
本实施例公开了一种恶意软件识别模型构建装置,如图6所示,该装置包括恶意软件样本获取模块、编码器和解码器网络构建模块、编码器和解码器网络训练模块、鉴别器网络构建模块、生成器和鉴别器网络训练模块和验证模块:
恶意软件样本获取模块,用于获取带标签的各类恶意软件样本,并且将其中几类恶意软件本划分为新奇类恶意软件本,其他类恶意软件样本按照一定比例划分为训练集和验证集;将新奇类恶意软件样本加入到验证集中;
编码器和解码器网络构建模块,用于构建编码器网络和解码器网络;
编码器和解码器网络训练模块,通过训练样本对编码器网络和解码器网络进行训练,通过训练完成的解码器网络得到生成器网络;
鉴别器网络构建模块,用于构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
生成器和鉴别器网络训练模块,用于通过训练样本训练生成器网络和鉴别器网络,具体包括:
第一训练模块,通过将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
第二训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
第三训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
恶意软件识别模型构建模块,控制第一训练模块、第二训练模块和第三训练模块的依次多次重复执行,得到最终更新完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
验证模块,通过验证集对当前恶意软件识别模型进行验证;具体包括:
分类模块,用于根据验证集中验证样本的标签,将验证样本分为正常数据和新奇数据的类别;正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
置信度获取模块,通过将各验证样本的特征向量输入到当前恶意软件识别模型的鉴别器网络中,得到各验证样本的置信度;其中,对为正常数据的各验证样本的置信度取平均值,作为上限a1;同时对为新奇数据的各验证样本的置信度取平均值,作为下限a2;
阈值设定模块,用于设置各阈值a为i:ai=a2+(△a/n)i,i=1,2,…,n,n为定值;其中△a上限a1和下限a2的差值,在本实施例中可以设置n为10;
第一判定模块,用于将验证集中各验证样本的置信度与当前选择的阈值ai进行比较,若验证样本的置信度高于当前选择的阈值ai,则将该验证样本判定为正常数据,否则将该验证样本判定为新奇数据;
误判率计算模块,用于将每次所选择的阈值情况下,所判定出的各验证样本的数据类别与分类模块针对各验证样本所区分的类别进行比较,确定出每次所选择的阈值情况下,恶意软件识别模型的误判率;
误判率选取模块,用于在误判率计算模块得到的所有误判率中,选取出最小的误判率,将该误判率下与验证样本进行比较的阈值ai,作为标准阈值;
第二判定模块,用于判定最小的误判率是否大于一定值,该值可以根据对于恶意软件识别模型的误判率需求进行设置;若是,则通过生成器和鉴别器网络训练模块对当前恶意软件识别模型进行再训练,直到再训练后的恶意软件识别模型经过验证模块验证后,最小的误判率小于等于一定值。
本实施例恶意软件识别模型构建装置与实施例1的恶意软件识别模型构建方法相对应,因此各个模块的具体实现可以参见上述实施例1,在此不再一一赘述;需要说明的是,本实施例提供的装置仅以上述各功能模块的划分进行举例说明,在实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
实施例4
本实施例公开了一种存储介质,其中所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行实施例1中所述的恶意软件识别模型构建方法,如下:
获取带标签的各类恶意软件样本,构成训练集;
构建编码器网络和解码器网络,并且将编码器网络的输出作为解码器网络的输入;
将训练样本的特征向量作为编码器网络的输入,对编码器网络和解码器网络进行训练,将训练完成的解码器网络作为生成器网络;
构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
通过训练样本训练生成器网络和鉴别器网络,如下:
S1、将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
S2、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
S3、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
S4、重复多次执行步骤S1至S3,得到训练完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
实施例5
本实施例公开了一种存储介质,其中所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行实施例2中所述的恶意软件识别方法,如下:
调用实施例所述的恶意软件识别模型构建方法中构建的恶意软件识别模型;
针对于待识别的恶意软件样本,将其特征向量输入到恶意软件识别模型的鉴别器网络中,通过鉴别器网络的标准置信度输出确定待识别恶意软件是正常数据还是新奇数据,在不为新奇数据的情况下,通过鉴别器网络中多分类器的输出确定待识别恶意软件的所属类别;
所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
上述实施例4和实施例5中的存储介质可以是磁盘、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、U盘、移动硬盘等介质。
实施例6
本实施例公开了一种计算设备,如图7所示,包括通过系统总线1401连接的处理器1402、存储器、输入装置1403、显示器1404和网络接口1405。其中,处理器1402用于提供计算和控制能力,存储器包括非易失性存储介质1406和内存储器1407,该非易失性存储介质1406存储有操作系统、计算机程序和数据库,该内存储器1407为非易失性存储介质1406中的操作系统和计算机程序的运行提供环境,计算机程序被处理器1402执行时,实现上述实施例1所述的恶意软件识别模型构建方法,如下:
获取带标签的各类恶意软件样本,构成训练集;
构建编码器网络和解码器网络,并且将编码器网络的输出作为解码器网络的输入;
将训练样本的特征向量作为编码器网络的输入,对编码器网络和解码器网络进行训练,将训练完成的解码器网络作为生成器网络;
构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
通过训练样本训练生成器网络和鉴别器网络,如下:
S1、将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
S2、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
S3、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
S4、重复多次执行步骤S1至S3,得到训练完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
实施例7
本实施例公开了一种计算设备,其组成同实施例6,计算机程序被处理器执行时,实现上述实施例2所述的恶意软件识别方法,如下:
调用实施例所述的恶意软件识别模型构建方法中构建的恶意软件识别模型;
针对于待识别的恶意软件样本,将其特征向量输入到恶意软件识别模型的鉴别器网络中,通过鉴别器网络的标准置信度输出确定待识别恶意软件是正常数据还是新奇数据,在不为新奇数据的情况下,通过鉴别器网络中多分类器的输出确定待识别恶意软件的所属类别;
所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
上述实施例6和实施例7中所述的计算设备可以是台式电脑、笔记本电脑、智能手机、PDA手持终端、平板电脑或其他具有处理器功能的终端设备。
上述实施例为本发明较佳的实施方式,但本发明的实施方式并不受上述实施例的限制,其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化,均应为等效的置换方式,都包含在本发明的保护范围之内。

Claims (10)

1.一种恶意软件识别模型构建方法,其特征在于,所述方法包括:
获取带标签的各类恶意软件样本,构成训练集;
构建编码器网络和解码器网络,并且将编码器网络的输出作为解码器网络的输入;
将训练样本的特征向量作为编码器网络的输入,对编码器网络和解码器网络进行训练,将训练完成的解码器网络作为生成器网络;
构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
通过训练样本训练生成器网络和鉴别器网络,如下:
S1、将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
S2、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
S3、将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本和对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
S4、重复多次执行步骤S1至S3,得到训练完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
2.根据权利要求1所述的恶意软件识别模型构建方法,其特征在于,针对于获取带标签的各类恶意软件样本,将其中几类恶意软件本划分为新奇类恶意软件本,其他类恶意软件样本按照一定比例划分为训练集和验证集;将新奇类恶意软件样本加入到验证集中;
所述方法还包括如下步骤:通过验证集对当前恶意软件识别模型进行验证,具体过程如下:
S5、根据验证集中验证样本的标签,将验证样本分为正常数据和新奇数据的类别;所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据;
S6、将各验证样本的特征向量输入到当前恶意软件识别模型的鉴别器网络中,得到各验证样本的置信度;对为正常数据的各验证样本的置信度取平均值,作为上限a1;同时对为新奇数据的各验证样本的置信度取平均值,作为下限a2;
S7、计算步骤S6中上限a1和下限a2的差值△a,以下限a2为起始值,以差值△a的1/n为步长,分别设置各阈值ai,ai=a2+(△a/n)i,i=1,2,…,n,n为定值;选择上述各阈值ai,分别对验证集中各验证样本的数据类别进行判定,具体为:将验证集中各验证样本的置信度与当前选择的阈值ai进行比较,若验证样本的置信度高于当前选择的阈值ai,则将该验证样本判定为正常数据,否则将该验证样本判定为新奇数据;
S8、将每次所选择的阈值情况下,步骤S7所判定出的各验证样本的数据类别与步骤S5中个验证样本的数据类别进行比较,确定出每次所选择的阈值情况下,恶意软件识别模型的误判率;选取最小的误判率,将该误判率下与验证样本进行比较的阈值ai,作为标准阈值;同时判定最小的误判率是否大于一定值;
若是,则进入步骤S9;
若否,将当前恶意软件识别模型作为最终的恶意软件识别模型;
S9、重新执行步骤S1到S4,对当前恶意软件识别模型进行再训练,将再训练后的恶意软件识别模型作为当前恶意软件识别模型;然后返回到步骤S6。
3.根据权利要求2所述的恶意软件识别模型构建方法,其特征在于,所述验证样本的置信度计算方法如下:
Figure FDA0002295725260000021
其中,xi表示第i个验证样本,
Figure FDA0002295725260000022
为验证样本xi的置信度,yi为验证样本xi的标签;Doutput(xi,yi)表示验证样本xi输入到鉴别器网络后,鉴别器网络的基本置信度输出,XV为验证集;
其中:
Figure FDA0002295725260000023
Figure FDA0002295725260000024
其中
Figure FDA0002295725260000025
表示验证样本xi输入到鉴别器网络后,鉴别器网络中第j个分类器的输出值,F为鉴别器网络中多分类器的输出类别总数。
4.根据权利要求1所述的恶意软件识别模型构建方法,其特征在于,对编码器网络和解码器网络进行训练的过程如下:
S11、将训练样本的特征向量输入到编码器网络中,通过编码器网络压缩得到潜在向量;
S12、将对应训练样本下,编码器网络输出的潜在向量与对应训练样本的标签进行卷积运算后输入到解码器网络中,由解码器网络输出与编码器网络输入特征维度相同维度的还原特征向量;
S13、计算还原特征向量和训练样本输入到编码器网络的原始特征向量之间的重构误差,并进行反向传播,更新编码器网络和解码器网络的参数,经过多伦迭代后,得到训练完成的编码器网络和解码器网络。
5.根据权利要求1所述的恶意软件识别模型构建方法,其特征在于,所述编码器网络包括依次连接的输入层、第一卷积层、最大池化层、第二卷积层和全连接层;
所述解码器网络包括依次连接的嵌入层、全连接层、批归一化层、第一反卷积序列层、第二反卷积序列层和卷积层;所述解码器网络的嵌入层前面设置有卷积层;
所述鉴别器网络包括嵌入层、全连接层、第一卷积序列层、第二卷积序列层、多分类器输出层和鉴别器输出层,其中嵌入层、全连接层、第一卷积序列层、第二卷积序列层依次连接,多分类器输出层和鉴别器输出层分别连接第二卷积序列层,多分类器输出层输出多分类结果;鉴别器输出层输出标准置信度结果。
6.一种恶意软件识别方法,其特征在于,所述方法如下:
调用权利要求1~5中任一项所述的恶意软件识别模型构建方法中构建的恶意软件识别模型;
针对于待识别的恶意软件样本,将其特征向量输入到恶意软件识别模型的鉴别器网络中,通过鉴别器网络的标准置信度输出确定待识别恶意软件是正常数据还是新奇数据,在不为新奇数据的情况下,通过鉴别器网络中多分类器的输出确定待识别恶意软件的所属类别;
所述正常数据指的是属于训练集中恶意软件分类的数据;新奇数据指的是不属于训练集中所有恶意软件分类的数据。
7.根据权利要求6所述的恶意软件识别方法,其特征在于,恶意软件识别模型的鉴别器网络判定待识别的恶意软件样本是否为新奇数据的具体过程如下:
将待识别的恶意软件样本的特征向量输入到恶意软件识别模型的鉴别器网络中,由鉴别器网络计算的得到待识别的恶意软件样本的置信度,将该置信度与标准阈值进行比较,若大于标准阈值,则将待识别的恶意软件样本判定为正常数据,否则判定为新奇数据。
8.一种恶意软件识别模型构建装置,其特征在于,所述装置包括:
恶意软件样本获取模块,用于获取带标签的各类恶意软件样本,构成训练集;
编码器和解码器网络构建模块,用于构建编码器网络和解码器网络;
编码器和解码器网络训练模块,通过训练样本对编码器网络和解码器网络进行训练,通过训练完成的解码器网络得到生成器网络;
鉴别器网络构建模块,用于构建鉴别器网络,该网络包括两个输出模型,一个单输出的标准置信度输出,一个多输出的分类器输出;
生成器和鉴别器网络训练模块,用于通过训练样本训练生成器网络和鉴别器网络,具体包括:
第一训练模块,通过将训练样本的特征向量输入到鉴别器网络,得到多分类器输出,计算多分类输出的误差loss1,根据误差loss1更新鉴别器网络;
第二训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第一生成样本;将上述对应标签向量下得到的第一生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss2;同时将训练样本的特征向量输入到鉴别器网络,得到标准置信度输出,计算标准置信度输出的误差loss3;通过误差loss2和loss3更新生成器网络和鉴别器网络;
第三训练模块,通过将随机生成的高斯噪声与训练集中各训练样本的标签向量输入到生成器网络中,得到第二生成样本;将上述对应标签向量下得到的第二生成样本与对应标签向量输入到鉴别器网络中,得到标准置信度输出,计算标准置信度输出的误差loss4;利用误差loss4更新生成器网络和鉴别器网络;
恶意软件识别模型构建模块,控制第一训练模块、第二训练模块和第三训练模块的依次多次重复执行,得到最终更新完成的生成器网络和鉴别器网络,作为恶意软件识别模型。
9.一种存储介质,其特征在于,其中所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时使所述处理器执行权利要求1-5中任一项所述的恶意软件识别模型构建方法,或者执行权利要求6-7中任一项所述的恶意软件识别方法。
10.一种计算设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-5中任一项所述的恶意软件识别模型构建方法,或者实现权利要求6-7中任一项所述的恶意软件识别方法。
CN201911200365.8A 2019-11-29 2019-11-29 恶意软件识别模型构建、识别方法及介质和设备 Pending CN111062036A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911200365.8A CN111062036A (zh) 2019-11-29 2019-11-29 恶意软件识别模型构建、识别方法及介质和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911200365.8A CN111062036A (zh) 2019-11-29 2019-11-29 恶意软件识别模型构建、识别方法及介质和设备

Publications (1)

Publication Number Publication Date
CN111062036A true CN111062036A (zh) 2020-04-24

Family

ID=70299313

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911200365.8A Pending CN111062036A (zh) 2019-11-29 2019-11-29 恶意软件识别模型构建、识别方法及介质和设备

Country Status (1)

Country Link
CN (1) CN111062036A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111382783A (zh) * 2020-02-28 2020-07-07 广州大学 恶意软件识别方法、装置及存储介质
CN111832019A (zh) * 2020-06-10 2020-10-27 国家计算机网络与信息安全管理中心 基于生成对抗网络的恶意代码检测方法
CN112163217A (zh) * 2020-09-25 2021-01-01 北京天融信网络安全技术有限公司 恶意软件变种识别方法、装置、设备及计算机存储介质
CN112214770A (zh) * 2020-10-30 2021-01-12 奇安信科技集团股份有限公司 恶意样本的识别方法、装置、计算设备以及介质
CN112749391A (zh) * 2020-12-31 2021-05-04 华中科技大学 一种恶意软件对抗样本的检测方法、装置和电子设备
CN114205164A (zh) * 2021-12-16 2022-03-18 北京百度网讯科技有限公司 流量分类方法及装置、训练方法及装置、设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10133865B1 (en) * 2016-12-15 2018-11-20 Symantec Corporation Systems and methods for detecting malware
CN109165688A (zh) * 2018-08-28 2019-01-08 暨南大学 一种安卓恶意软件家族分类器构建方法及其分类方法
CN110289004A (zh) * 2019-06-18 2019-09-27 暨南大学 一种基于深度学习的人工合成声纹检测系统及方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10133865B1 (en) * 2016-12-15 2018-11-20 Symantec Corporation Systems and methods for detecting malware
CN109165688A (zh) * 2018-08-28 2019-01-08 暨南大学 一种安卓恶意软件家族分类器构建方法及其分类方法
CN110289004A (zh) * 2019-06-18 2019-09-27 暨南大学 一种基于深度学习的人工合成声纹检测系统及方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111382783A (zh) * 2020-02-28 2020-07-07 广州大学 恶意软件识别方法、装置及存储介质
CN111832019A (zh) * 2020-06-10 2020-10-27 国家计算机网络与信息安全管理中心 基于生成对抗网络的恶意代码检测方法
CN111832019B (zh) * 2020-06-10 2024-02-23 国家计算机网络与信息安全管理中心 基于生成对抗网络的恶意代码检测方法
CN112163217A (zh) * 2020-09-25 2021-01-01 北京天融信网络安全技术有限公司 恶意软件变种识别方法、装置、设备及计算机存储介质
CN112163217B (zh) * 2020-09-25 2023-10-13 北京天融信网络安全技术有限公司 恶意软件变种识别方法、装置、设备及计算机存储介质
CN112214770A (zh) * 2020-10-30 2021-01-12 奇安信科技集团股份有限公司 恶意样本的识别方法、装置、计算设备以及介质
CN112214770B (zh) * 2020-10-30 2023-11-10 奇安信科技集团股份有限公司 恶意样本的识别方法、装置、计算设备以及介质
CN112749391A (zh) * 2020-12-31 2021-05-04 华中科技大学 一种恶意软件对抗样本的检测方法、装置和电子设备
CN112749391B (zh) * 2020-12-31 2024-04-09 华中科技大学 一种恶意软件对抗样本的检测方法、装置和电子设备
CN114205164A (zh) * 2021-12-16 2022-03-18 北京百度网讯科技有限公司 流量分类方法及装置、训练方法及装置、设备和介质

Similar Documents

Publication Publication Date Title
US11514297B2 (en) Post-training detection and identification of human-imperceptible backdoor-poisoning attacks
CN111062036A (zh) 恶意软件识别模型构建、识别方法及介质和设备
CN109302410B (zh) 一种内部用户异常行为检测方法、系统及计算机存储介质
CN107577945B (zh) Url攻击检测方法、装置以及电子设备
US20200167471A1 (en) Detection and prevention of adversarial deep learning
US11475130B2 (en) Detection of test-time evasion attacks
US11704409B2 (en) Post-training detection and identification of backdoor-poisoning attacks
Sommer et al. Towards probabilistic verification of machine unlearning
CN109299741B (zh) 一种基于多层检测的网络攻击类型识别方法
CN108021806B (zh) 一种恶意安装包的识别方法和装置
CN109840413B (zh) 一种钓鱼网站检测方法及装置
CN111915437A (zh) 基于rnn的反洗钱模型的训练方法、装置、设备及介质
CN111428557A (zh) 基于神经网络模型的手写签名的自动校验的方法和装置
CN111753290A (zh) 软件类型的检测方法及相关设备
CN111400713B (zh) 基于操作码邻接图特征的恶意软件族群分类方法
CN113672931A (zh) 一种基于预训练的软件漏洞自动检测方法及装置
CN115577357A (zh) 一种基于堆叠集成技术的Android恶意软件检测方法
CN116467710A (zh) 一种面向不平衡网络的恶意软件检测方法
Su et al. Boosting image steganalysis under universal deep learning architecture incorporating ensemble classification strategy
CN116432184A (zh) 基于语义分析和双向编码表征的恶意软件检测方法
CN112364198A (zh) 一种跨模态哈希检索方法、终端设备及存储介质
CN115982706A (zh) 基于api调用序列行为多视角融合的恶意软件检测方法
CN114567512B (zh) 基于改进art2的网络入侵检测方法、装置及终端
CN116305103A (zh) 一种基于置信度差异的神经网络模型后门检测方法
CN113259369B (zh) 一种基于机器学习成员推断攻击的数据集认证方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20200424

WD01 Invention patent application deemed withdrawn after publication