CN111242150A - 数据训练的方法和装置 - Google Patents
数据训练的方法和装置 Download PDFInfo
- Publication number
- CN111242150A CN111242150A CN201811443927.7A CN201811443927A CN111242150A CN 111242150 A CN111242150 A CN 111242150A CN 201811443927 A CN201811443927 A CN 201811443927A CN 111242150 A CN111242150 A CN 111242150A
- Authority
- CN
- China
- Prior art keywords
- data
- processed
- features
- discriminator
- sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012549 training Methods 0.000 title claims abstract description 83
- 238000000034 method Methods 0.000 title claims abstract description 79
- 238000000605 extraction Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000010801 machine learning Methods 0.000 claims description 3
- 244000035744 Hura crepitans Species 0.000 description 11
- 230000006399 behavior Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000005034 decoration Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/214—Generating training patterns; Bootstrap methods, e.g. bagging or boosting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Abstract
本发明公开了一种数据训练的方法和装置。其中,该方法包括:将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果。本发明解决了由于现有技术中生成对抗恶意软件的方法是基于图片完成,导致的适用场景有限的技术问题。
Description
技术领域
本发明涉及互联网技术领域,具体而言,涉及一种数据训练的方法和装置。
背景技术
目前现有的生成对抗恶意软件的方法都是基于图像,因为图像作为原始信号可以直接加噪音迅速产生对抗样本;而生成式对抗网络(Generative Adversarial Network,简称GAN)中的判别器又是成熟的图像二分类器,但是对于将理想的样本做对抗混淆,并通过GAN生成恶意软件对应的非恶意沙箱行为的样本,以此降低模型的区分度,是无法实现的。
针对上述由于现有技术中生成对抗恶意软件的方法是基于图片完成,导致的适用场景有限的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种数据训练的方法和装置,以至少解决由于现有技术中生成对抗恶意软件的方法是基于图片完成,导致的适用场景有限的技术问题。
根据本发明实施例的一个方面,提供了一种数据训练的方法,包括:将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果。
可选的,在将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值之前,该方法还包括:将第二类数据进行训练,得到基线分类器;通过基线分类器对第二类数据进行生成式对抗网络训练,得到真实特征。
可选的,判别结果包括:样本数据标记为非恶意数据;真实特征对应的恶意软件标记为恶意数据。
可选的,通过判别器对待处理特征与真实特征进行判别包括:通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
可选的,在得到判别结果之后,该方法还包括:将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果,直至判别器输出的判别结果收敛至最小值。
进一步地,可选的,直至判别器输出的判别结果收敛至最小值之后,该方法还包括:对所有已知的恶意软件样本添加随机噪声,得到待处理白样本;将待处理白样本替换真实的白样本。
可选的,判别器包括:图像二分类器,图像二分类器,用于在机器学习中,使用二次曲面将特征数据分成至少两个的分类。
根据本发明实施例的另一方面,还提供了一种数据训练的方法,包括:将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
根据本发明实施例的又一方面,还提供了一种数据训练的方法,包括:提取样本数据中的特征;在特征中添加随机噪声,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果。
根据本发明实施例的再一方面,还提供了一种数据训练的方法,包括:提取样本数据中的特征;在特征中添加随机噪声,得到待处理特征;通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
根据本发明另一实施例的一方面,还提供了一种数据训练的装置,包括:添加模块,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;计算模块,用于将样本数据与预设特征进行计算,得到待处理特征;判别模块,用于通过判别器对待处理特征与真实特征进行判别,得到判别结果。
根据本发明另一实施例的另一方面,还提供了一种数据训练的装置,包括:添加模块,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;计算模块,用于将样本数据与预设特征进行计算,得到待处理特征;判别模块,用于通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
根据本发明另一实施例的又一方面,还提供了一种数据训练的装置,包括:提取模块,用于提取样本数据中的特征;添加模块,用于在特征中添加随机噪声,得到待处理特征;判别模块,用于通过判别器对待处理特征与真实特征进行判别,得到判别结果。
根据本发明另一实施例的再一方面,还提供了一种数据训练的装置,包括:提取模块,用于提取样本数据中的特征;添加模块,用于在特征中添加随机噪声,得到待处理特征;判别模块,用于通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
根据本发明另一实施例的再一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述数据训练的方法。
在本发明实施例中,采用对API加噪音后生成新的混淆特征的方式,通过将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果,达到了扩展适用场景的目的,从而实现了对沙箱检测场景生成对抗样本的扩展的技术效果,进而解决了由于现有技术中生成对抗恶意软件的方法是基于图片完成,导致的适用场景有限的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种数据训练的方法的计算机终端的硬件结构框图;
图2是根据本发明实施例一的数据训练的方法的流程图;
图3是根据本发明实施例一的一种数据训练的方法的流程图;
图4是根据本发明实施例二的数据训练的方法的流程图;
图5是根据本发明实施例三的数据训练的方法的流程图;
图6是根据本发明实施例四的数据训练的方法的流程图;
图7是根据本发明实施例五的数据训练的装置的结构图;
图8是根据本发明实施例七的数据训练的装置的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请涉及的技术名词:
沙箱:模拟文件执行的虚拟环境;
沙箱行为:通过沙箱跑出的一系列文件行为,如网络外连,生成文件等;
GAN:Generative Adversarial Network,生成式对抗网络;
API:Application Programming Interface,应用程序编程接口。
实施例1
根据本发明实施例,还提供了一种数据训练的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例,图1是本发明实施例的一种数据训练的方法的计算机终端的硬件结构框图。如图1所示,计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储应用软件的软件程序以及模块,如本发明实施例中的数据训练的方法对应的程序指令/模块,处理器102通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的数据训练的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
在上述运行环境下,本申请提供了如图2所示的数据训练的方法。图2是根据本发明实施例一的数据训练的方法的流程图。
步骤S202,将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
步骤S204,将样本数据与预设特征进行计算,得到待处理特征;
步骤S206,通过判别器对待处理特征与真实特征进行判别,得到判别结果。
具体的,如图3所示,结合步骤S202至步骤S206,图3是根据本发明实施例一的一种数据训练的方法的流程图,本申请实施例提供的数据训练的方法可以适用于数据安全领域,特别是网络安全领域,通过在沙箱内的虚拟模拟,对数据进行识别。
其中,如图3所示,在本申请实施例提供的数据训练的方法中,本申请实施例的步骤S202中将随机噪声分别添加至仿冒沙箱行为数据的序列标识和返回值(即,本申请实施例中的第一类数据)中,得到样本数据;
例如,open函数的在线程id=101的顺序原来为8,随机改为11,open函数的返回值为-1,随机改为-3。
需要说明的是,在本申请实施例中添加的随机噪声可以以随机噪声序列的形式添加至仿冒沙箱行为数据的序列标识和返回值中;
在步骤S204中,仍旧以步骤S202中的示例为例,将open函数特征,比如统计特征,返回值为-1的统计会减1,返回值为-3的统计会加1,达到了篡改特征的目的,最后得到待处理特征。
在步骤S206中,基于步骤S204得到的待处理特征,将该待处理特征与真实特征一起由判别器进行二分类判别,对待处理特征进行打标为0(0表示非恶意,由于步骤S202和步骤S204对数据特征的篡改,原恶意行为已经被破坏,而无法运行),对原恶意软件malware样本达标为1。
其中,本申请实施例中的判别器以生成式对抗网络GAN(Generative AdversarialNetwork,简称GAN)判别器为例进行说明,以实现本申请实施例提供的数据训练的方法为准,具体不做限定。
在本发明实施例中,采用对API加噪音后生成新的混淆特征的方式,通过将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果,达到了扩展适用场景的目的,从而实现了对沙箱检测场景生成对抗样本的扩展的技术效果,进而解决了由于现有技术中生成对抗恶意软件的方法是基于图片完成,导致的适用场景有限的技术问题。
可选的,在步骤S202中将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值之前,本申请实施例提供的数据训练的方法还包括:
步骤S200,将第二类数据进行训练,得到基线分类器;
步骤S201,通过基线分类器对第二类数据进行生成式对抗网络训练,得到真实特征。
具体的,如图3所示,以真实沙箱行为序列为例,第二类数据为真实数据,基于真实数据进行训练,得到基线分类器,通过基线分类器对真实数据进行GAN训练,得到真实特征,以使得在步骤S206中与待处理特征一起进行判别。
可选的,判别结果包括:样本数据标记为非恶意数据;真实特征对应的恶意软件标记为恶意数据。
可选的,步骤S206中通过判别器对待处理特征与真实特征进行判别包括:
步骤S2061,通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
具体的,基于上述步骤S206,在本申请实施例中,在通过判别器对待处理特征与真实特征进行判别的过程中,还可以通过添加原始白样本,与待处理特征和真实特征进行判别一起进行训练判别,以增加GAN判别器的学习元素的方式,促使GAN判别器得到的判别结果越来越收敛。
可选的,在步骤S206中得到判别结果之后,本申请实施例提供的数据训练的方法还包括:
步骤S207,将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
步骤S208,将样本数据与预设特征进行计算,得到待处理特征;
步骤S209,通过判别器对待处理特征与真实特征进行判别,得到判别结果,直至判别器输出的判别结果收敛至最小值。
具体的,结合步骤S207至步骤S209,本申请实施例提供的数据训练的方法通过循环执行步骤S202至步骤S206,即步骤S207至步骤S209,能够对判别器进行优化,即,优化判别器的loss,以使得判别器得到的判别结果收敛至最小。
进一步地,可选的,步骤S209中直至判别器输出的判别结果收敛至最小值之后,本申请实施例提供的数据训练的方法还包括:
步骤S210,对所有已知的恶意软件样本添加随机噪声,得到待处理白样本;
步骤S211,将待处理白样本替换真实的白样本。
具体的,基于步骤S209固定判别器之后,对所有已知的恶意软件样本以步骤S202的形式添加随机噪声,得到待处理白样本,并将该待处理白样本替换真实的白样本。
可选的,判别器包括:图像二分类器,图像二分类器,用于在机器学习中,使用二次曲面将特征数据分成至少两个的分类。
本申请实施例提供的数据训练的方法对沙箱产出结果进行加噪音混淆,而不是对恶意软件malware本身,对沙箱检测场景生成对抗样本是种扩展,同方法可以用在通用的特征数据场景上。
实施例2
根据本发明实施例的另一方面,还提供了一种数据训练的方法,图4是根据本发明实施例二的数据训练的方法的流程图,如图4所示,本申请实施例提供的数据训练的方法包括:
步骤S402,将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
步骤S404,将样本数据与预设特征进行计算,得到待处理特征;
步骤S406,通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
区别于实施例1记载的数据训练的方法,在本申请实施例中基于步骤S402与步骤S404得到的待处理特征,在判别时,添加了原始白样本,将原始白样本与待处理特征和真实特征一起通过GAN判别器进行判别,同理,通过循环步骤S402至步骤S406对判别器进行优化,即,优化判别器的loss,以使得判别器得到的判别结果收敛至最小。
实施例3
根据本发明实施例的又一方面,还提供了一种数据训练的方法,图5是根据本发明实施例三的数据训练的方法的流程图,如图5所示,本申请实施例提供的数据训练的方法包括:
步骤S502,提取样本数据中的特征;
步骤S504,在特征中添加随机噪声,得到待处理特征;
步骤S506,通过判别器对待处理特征与真实特征进行判别,得到判别结果。
区别于实施例1和2记载的数据训练的方法,在本申请实施例中先对样本数据进行特征提取,在提取特征之后,对该特征添加随机噪声,进而得到待处理特征,最后通过和真实特征一起通过GAN判别器进行判别,同理,通过循环步骤S502至步骤S506对判别器进行优化,即,优化判别器的loss,以使得判别器得到的判别结果收敛至最小。
实施例4
根据本发明实施例的再一方面,还提供了一种数据训练的方法,图6是根据本发明实施例四的数据训练的方法的流程图,如图6所示,本申请实施例提供的数据训练的方法包括:
步骤S602,提取样本数据中的特征;
步骤S604,在特征中添加随机噪声,得到待处理特征;
步骤S606,通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
区别于实施例1、2和3记载的数据训练的方法,在本申请实施例中先对样本数据进行特征提取,在提取特征之后,对该特征添加随机噪声,进而得到待处理特征,最后将原始白样本与待处理特征和真实特征一起通过GAN判别器进行判别,同理,通过循环步骤S602至步骤S606对判别器进行优化,即,优化判别器的loss,以使得判别器得到的判别结果收敛至最小。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的数据训练的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例5
根据本发明另一实施例的一方面,还提供了一种数据训练的装置,图7是根据本发明实施例五的数据训练的装置的结构图,如图7所示,包括:
添加模块72,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;计算模块74,用于将样本数据与预设特征进行计算,得到待处理特征;判别模块76,用于通过判别器对待处理特征与真实特征进行判别,得到判别结果。
实施例6
根据本发明另一实施例的另一方面,还提供了一种数据训练的装置,包括:添加模块,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;计算模块,用于将样本数据与预设特征进行计算,得到待处理特征;判别模块,用于通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
实施例7
根据本发明另一实施例的又一方面,还提供了一种数据训练的装置,图8是根据本发明实施例七的数据训练的装置的结构图,如图8所示,包括:提取模块82,用于提取样本数据中的特征;添加模块84,用于在特征中添加随机噪声,得到待处理特征;判别模块86,用于通过判别器对待处理特征与真实特征进行判别,得到判别结果。
实施例8
根据本发明另一实施例的再一方面,还提供了一种数据训练的装置,包括:提取模块,用于提取样本数据中的特征;添加模块,用于在特征中添加随机噪声,得到待处理特征;判别模块,用于通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
实施例9
根据本发明另一实施例的再一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述数据训练的方法。
实施例10
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于保存上述实施例一所提供的数据训练的方法所执行的程序代码。
可选地,在本实施例中,上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中,或者位于移动终端群中的任意一个移动终端中。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值之前,将第二类数据进行训练,得到基线分类器;通过基线分类器对第二类数据进行生成式对抗网络训练,得到真实特征。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:判别结果包括:样本数据标记为非恶意数据;真实特征对应的恶意软件标记为恶意数据。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:通过判别器对待处理特征与真实特征进行判别包括:通过判别器对原始白样本、待处理特征和真实特征进行判别,得到判别结果。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:在得到判别结果之后,将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;将样本数据与预设特征进行计算,得到待处理特征;通过判别器对待处理特征与真实特征进行判别,得到判别结果,直至判别器输出的判别结果收敛至最小值。
进一步地,可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:直至判别器输出的判别结果收敛至最小值之后,对所有已知的恶意软件样本添加随机噪声,得到待处理白样本;将待处理白样本替换真实的白样本。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (15)
1.一种数据训练的方法,包括:
将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
将所述样本数据与预设特征进行计算,得到待处理特征;
通过判别器对所述待处理特征与真实特征进行判别,得到判别结果。
2.根据权利要求1所述的数据训练的方法,其中,在将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值之前,所述方法还包括:
将第二类数据进行训练,得到基线分类器;
通过所述基线分类器对所述第二类数据进行生成式对抗网络训练,得到所述真实特征。
3.根据权利要求1所述的数据训练的方法,其中,所述判别结果包括:所述样本数据标记为非恶意数据;所述真实特征对应的恶意软件标记为恶意数据。
4.根据权利要求1或3所述的数据训练的方法,其中,所述通过判别器对所述待处理特征与真实特征进行判别包括:
通过判别器对原始白样本、所述待处理特征和所述真实特征进行判别,得到判别结果。
5.根据权利要求1所述的数据训练的方法,其中,在得到判别结果之后,所述方法还包括:
将随机噪声分别添加至所述第一类数据的序列标识和所述第一类数据的返回值,得到样本数据;将所述样本数据与预设特征进行计算,得到待处理特征;通过判别器对所述待处理特征与真实特征进行判别,得到判别结果,直至所述判别器输出的判别结果收敛至最小值。
6.根据权利要求5所述的数据训练的方法,其中,所述直至所述判别器输出的判别结果收敛至最小值之后,所述方法还包括:
对所有已知的恶意软件样本添加所述随机噪声,得到待处理白样本;
将所述待处理白样本替换真实的白样本。
7.根据权利要求1所述的数据训练的方法,其中,所述判别器包括:图像二分类器,所述图像二分类器,用于在机器学习中,使用二次曲面将特征数据分成至少两个的分类。
8.一种数据训练的方法,包括:
将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
将所述样本数据与预设特征进行计算,得到待处理特征;
通过判别器对原始白样本、所述待处理特征和真实特征进行判别,得到判别结果。
9.一种数据训练的方法,包括:
提取样本数据中的特征;
在所述特征中添加随机噪声,得到待处理特征;
通过判别器对所述待处理特征与真实特征进行判别,得到判别结果。
10.一种数据训练的方法,包括:
提取样本数据中的特征;
在所述特征中添加随机噪声,得到待处理特征;
通过判别器对原始白样本、所述待处理特征和真实特征进行判别,得到判别结果。
11.一种数据训练的装置,包括:
添加模块,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
计算模块,用于将所述样本数据与预设特征进行计算,得到待处理特征;
判别模块,用于通过判别器对所述待处理特征与真实特征进行判别,得到判别结果。
12.一种数据训练的装置,包括:
添加模块,用于将随机噪声分别添加至第一类数据的序列标识和第一类数据的返回值,得到样本数据;
计算模块,用于将所述样本数据与预设特征进行计算,得到待处理特征;
判别模块,用于通过判别器对原始白样本、所述待处理特征和真实特征进行判别,得到判别结果。
13.一种数据训练的装置,包括:
提取模块,用于提取样本数据中的特征;
添加模块,用于在所述特征中添加随机噪声,得到待处理特征;
判别模块,用于通过判别器对所述待处理特征与真实特征进行判别,得到判别结果。
14.一种数据训练的装置,包括:
提取模块,用于提取样本数据中的特征;
添加模块,用于在所述特征中添加随机噪声,得到待处理特征;
判别模块,用于通过判别器对原始白样本、所述待处理特征和真实特征进行判别,得到判别结果。
15.一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行:权利要求1所述的数据训练的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811443927.7A CN111242150A (zh) | 2018-11-29 | 2018-11-29 | 数据训练的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811443927.7A CN111242150A (zh) | 2018-11-29 | 2018-11-29 | 数据训练的方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111242150A true CN111242150A (zh) | 2020-06-05 |
Family
ID=70875913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811443927.7A Pending CN111242150A (zh) | 2018-11-29 | 2018-11-29 | 数据训练的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111242150A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103500308A (zh) * | 2012-09-28 | 2014-01-08 | 卡巴斯基实验室封闭式股份公司 | 用于对抗由恶意软件对仿真的检测的系统和方法 |
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| WO2017129032A1 (zh) * | 2016-01-29 | 2017-08-03 | 阿里巴巴集团控股有限公司 | 磁盘的故障预测方法和装置 |
| CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
| US20180285740A1 (en) * | 2017-04-03 | 2018-10-04 | Royal Bank Of Canada | Systems and methods for malicious code detection |
-
2018
- 2018-11-29 CN CN201811443927.7A patent/CN111242150A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103500308A (zh) * | 2012-09-28 | 2014-01-08 | 卡巴斯基实验室封闭式股份公司 | 用于对抗由恶意软件对仿真的检测的系统和方法 |
| WO2017129032A1 (zh) * | 2016-01-29 | 2017-08-03 | 阿里巴巴集团控股有限公司 | 磁盘的故障预测方法和装置 |
| CN106934281A (zh) * | 2017-03-30 | 2017-07-07 | 兴华永恒(北京)科技有限责任公司 | 一种基于硬件虚拟化技术的虚拟机对抗技术的建立方法 |
| US20180285740A1 (en) * | 2017-04-03 | 2018-10-04 | Royal Bank Of Canada | Systems and methods for malicious code detection |
| CN107742079A (zh) * | 2017-10-18 | 2018-02-27 | 杭州安恒信息技术有限公司 | 恶意软件识别方法及系统 |
Non-Patent Citations (3)
| Title |
|---|
| ACM: "Using Spatio-Temporal Information in API Calls with Machine Learning Algorithms for Malware Detection", pages 3 * |
| KATHRIN GROSSE 等: "Adversarial Perturbations Against Deep Neural Networks for Malware Classification", pages 2 - 4 * |
| 唐川 等: "DroidGAN:基于 DCGAN 的 Android 对抗样本生成框架", pages 2 - 4 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111061874B (zh) | 敏感信息检测方法和装置 | |
| CN104346569A (zh) | 移动终端中恶意广告的识别方法、装置和移动终端 | |
| CN110798703A (zh) | 视频违规内容检测的方法、装置以及存储介质 | |
| CN110826799B (zh) | 业务预测方法、装置、服务器及可读存储介质 | |
| CN111160624B (zh) | 一种用户意向预测方法、用户意向预测装置及终端设备 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| CN113315742A (zh) | 攻击行为检测方法、装置及攻击检测设备 | |
| CN112528284A (zh) | 恶意程序的检测方法及装置、存储介质、电子设备 | |
| CN105681257B (zh) | 一种基于即时通信交互平台的信息举报方法、装置、设备、系统及计算机存储介质 | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| CN111126928A (zh) | 对发布内容审核的方法和装置 | |
| CN110647896A (zh) | 一种基于logo图像的钓鱼页面识别方法及相关设备 | |
| CN111586071A (zh) | 一种基于循环神经网络模型的加密攻击检测方法及装置 | |
| CN114422271B (zh) | 数据处理方法、装置、设备及可读存储介质 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN112070161A (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
| CN111881446A (zh) | 一种工业互联网恶意代码识别方法及装置 | |
| CN111245770B (zh) | 用户账户管理的方法、设备和计算机存储介质 | |
| CN111242150A (zh) | 数据训练的方法和装置 | |
| WO2023072002A1 (zh) | 开源组件包的安全检测方法及装置 | |
| CN107798004A (zh) | 关键词查找方法、装置及终端 | |
| CN108040064A (zh) | 数据传输方法、装置、电子设备及存储介质 | |
| CN115935358A (zh) | 一种恶意软件识别方法、装置、电子设备及存储介质 | |
| CN110913353B (zh) | 短信的分类方法及装置 | |
| CN111881047B (zh) | 混淆脚本的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |