CN111898129B - 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 - Google Patents

基于Two-Head异常检测模型的恶意代码样本筛选器及方法 Download PDF

Info

Publication number
CN111898129B
CN111898129B CN202010790742.4A CN202010790742A CN111898129B CN 111898129 B CN111898129 B CN 111898129B CN 202010790742 A CN202010790742 A CN 202010790742A CN 111898129 B CN111898129 B CN 111898129B
Authority
CN
China
Prior art keywords
malicious code
classification
detection model
code detection
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010790742.4A
Other languages
English (en)
Other versions
CN111898129A (zh
Inventor
田东海
蔡静轩
马锐
李家硕
张博
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN202010790742.4A priority Critical patent/CN111898129B/zh
Publication of CN111898129A publication Critical patent/CN111898129A/zh
Application granted granted Critical
Publication of CN111898129B publication Critical patent/CN111898129B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Molecular Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Computer Hardware Design (AREA)
  • Biomedical Technology (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了基于Two‑Head异常检测模型的恶意代码样本筛选器及方法,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。并使用训练好的Two‑Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。

Description

基于Two-Head异常检测模型的恶意代码样本筛选器及方法
技术领域
本发明涉及信息安全技术领域,具体涉及基于Two-Head异常检测模型的恶意代码样本筛选器及方法。
背景技术
在网络安全领域中,基于深度学习的恶意代码检测模型不断被提出,其过程首先是对恶意代码提取其静态特征和动态特征,随后将提取到的训练数据导入到模型中进行训练并使模型收敛,以识别在网络中可能存在的恶意软件或者恶意代码。
恶意代码是指在一定环境下被执行的,用于破坏计算机操作系统或者网络系统机密性、完整性、可用性的代码序列。
按照在检测时被执行与否,分析恶意代码的方式通常为静态分析和动态分析。静态分析不需要执行恶意代码,而是通过逆向工程以及获取恶意程序的文件结构特征和字节流特征来判定是否为恶意程序,比较典型的静态特征包括PE文件结构特征、字节流序列特征以及通过反汇编工具得到的操作码序列特征等等;动态分析需要执行恶意代码,通过监控程序在沙箱等虚拟环境中运行时的执行过程、向操作系统请求各种服务以及内存、进程等来判定是否为恶意程序。主要包括函数API调用、操作系统内存镜像等动态行为特征,
将深度学习模型用于进行恶意代码检测是目前较为流行的一种检测方式,深度学习模型是受人类大脑的神经系统启发得到的计算模型,深度学习模型通过模拟人脑的神经系统中的神经元来完成最基本的运算操作。在深度学习模型中,神经元们接受上一层的多个神经元的输入,对所有的输入加权求和后输入激活函数,最后得到神经元的输出。许多神经元互相链接生成的网络理论上可以拟合任意复杂的函数。在网络安全领域中,基于深度学习的恶意代码检测模型不断被提出,其过程首先是对恶意代码提取其静态特征和动态特征,随后将提取到的训练数据导入到模型中进行训练并使模型收敛,以识别在网络中可能存在的恶意软件或者恶意代码。
大多数基于深度学习的恶意代码检测模型能够以高准确率检测出测试样本中的恶意代码,并能节省安全专家的人工分析成本,实现了端到端的检测,但是在实际应用过程中,仍然发现这些模型存在的不足之处:
随着一系列恶意代码对抗检测技术被用于攻防对抗,家族内的恶意代码会随着时间演化出多种变体,这些变体在攻防对抗中会演化为新的恶意代码变种,并具有与原始代码不尽相同的特征分布。基于深度学习的恶意代码检测模型在对这些变种进行预测的时候往往不能识别出这些变种的特征分布,会使得模型在时间维度上的鲁棒性出现下降,即出现时间衰减问题。所谓时间衰减,是指由数据偏移造成的恶意代码检测模型随着时间的推移,在预测新的恶意样本的时候其预测准确率而出现下降的情况。
恶意代码检测技术的时间鲁棒性是指模型经过预训练后,在测试阶段不会出现严重的时间衰减问题,由于恶意代码检测模型在训练阶段存在时间偏差,因此提升恶意代码检测模型的时间鲁棒性对于提升模型的落地性具有重要意义。
对恶意代码检测模型的样本进行异常检测是一种可以预想的手段,异常检测,主要是指通过设计相关算法,发现数据中存在的与事先规定的正常行为不相符的异常行为,这些异常行为对应的数据则被称为异常样本。异常检测的应用方式包括有监督、半监督以及无监督,异常检测的使用场合也非常广泛,比如银行信用卡管理、网络流量入侵检测以及恶意代码检测等。
目前常见的异常检测技术主要是基于机器学习和深度学习算法去实现的,在机器学习算法中比较典型的是支持向量机模型,该模型也适用于恶意代码检测场景,可以将其作为异常检测模型进行样本选择。但是基于支持向量机模型的异常检测技术,其结构复杂,实现有一定难度,且训练过程周期较长,效果不理想。
因此,目前亟需一种结构简单、实现简便,训练周期短、效果准确率更高的恶意代码异常检测的方案。
发明内容
有鉴于此,本发明提供了基于Two-Head异常检测模型的恶意代码样本筛选器及方法,是一种能够提升恶意代码检测模型的时间鲁棒性的样本异常检测方案,其结构简单、实现简便,训练周期短且检测效果准确率更高。
为达到上述目的,本发明的技术方案为:
本发明的一个实施例提供了基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。
特征提取器包括恶意代码检测模型中的特征提取部分。
第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。
第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。
第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。
进一步地,特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。
本发明另外一个实施例还提供了基于Two-Head异常检测模型的恶意代码样本筛选方法,其特征在于,该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,包括:
步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本,进行数据特征提取,构建异常检测训练样本。
步骤2)恶意代码检测模型基于卷积神经网络模型构建,基于此构建Two-Head异常检测模型,具体为:
取恶意代码检测模型中的特征提取部分作为特征提取器,在特征提取器后并行添加第一分类层C1和第二分类层C2;第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值;第一分类概率值和第二分类概率值输入至一个不确定性度量函数中;不确定性度量函数的输出为分类结果标签。
步骤3)采用恶意代码训练样本对所构建的Two-Head异常检测模型进行训练,使得Two-Head异常检测模型的损失值达到收敛,获得训练好的Two-Head异常检测模型。
步骤4)使用训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
进一步地,特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。
进一步地,步骤4)具体包括如下步骤:
步骤401)取恶意代码检测模型的测试集中的恶意代码检测测试样本;将恶意代码检测测试样本输入至训练好的Two-Head异常检测模型,获得针对恶意代码检测测试样本的分类结果标签;
步骤402)选取分类结果标签为设定值的恶意代码检测测试样本为正常样本,即为恶意代码样本筛选结果。
进一步地,步骤1)包括如下具体步骤:
S101)取恶意代码检测模型的训练集中的恶意代码检测训练样本,提取恶意代码检测训练样本的二进制字节流特征得到二进制字节序列;
S102)将二进制字节序列转换成0-255区间内的10进制整数,得到整数序列。
S103)对每个恶意代码检测训练样本对应的整数序列进行长度归一化处理得到数据特征提取结果,构建为异常检测训练样本。
进一步地,步骤3)中,Two-Head异常检测模型的损失值为
Figure BDA0002623657590000052
Figure BDA0002623657590000051
其中xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合。
进一步地,步骤2)中的不确定性度量函数具体为:
score=|max(p1(y1|x1))-max(p2(y2|x2))|
其中xi∈XN,i=1或2;xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合;score为不确定性度量结果。
设定分类阈值δ,δ依据经验设定。
Two-Head异常检测模型分类结果标签为y:
Figure BDA0002623657590000061
有益效果:
1、本发明所提出的样本筛选器以及筛选方法通过基于Two-Head神经网络的异常检测模型来实现,该模型是在基于深度学习的恶意代码检测模型的基础上进行改进的,也就是借助恶意代码检测模型的特征提取部分,再加上一个两个并行的双输出分类层组成Two-Head模型的网络结构,并有针对性地设计了该模型在训练阶段的loss函数以及在测试阶段的score函数,以实现无监督的异常检测,即只需要恶意代码检测模型的训练数据即可以训练异常检测模型,不需要提供任何测试数据的标签,因此Two-Head模型具有较强的普适性。
本发明提供的恶意代码样本筛选方案,其中Two-Head异常检测模型在训练阶段不需要进行超参数的选择,因为只需要将超参数设置为恶意代码检测模型在训练阶段的超参数即可,节省了寻找最优超参数的时间;
本发明可以适用于二分类或者多分类问题,只需要能够获取恶意代码检测模型的网络结构即可,相比于单类支持向量机实现起来要简单。
本发明实现的模型能够以更高的准确率和召回率实现对恶意代码测试数据的异常样本进行检测,而基于单类支持向量机的异常检测模型在检测效果上没有本发明实现的模型好。
2、本发明主要解决目前基于深度学习的恶意代码检测模型所存在的时间鲁棒性问题,并设计了基于Two-Head神经网络的异常检测模型用以进行样本选择,目的是筛选出在测试数据中会使模型预测错误的异常样本,保证模型在测试集上的预测性能维持在与训练阶段相持平的水准。而筛选出的异常样本,则可以用于后续的主动学习中,以持续、动态的方式更新恶意代码检测模型,使模型能够不断学习到新的恶意代码变种的特征分布。
附图说明
图1为本发明实施例提供的基于Two-Head异常检测模型的恶意代码样本筛选器组成结构图;
图2为本发明实施例提供的基于Two-Head异常检测模型的恶意代码样本筛选方法流程图。
具体实施方式
下面结合附图并举实施例,对本发明进行详细描述。
本发明针对恶意代码检测模型的时间鲁棒性问题,提出了一种基于Two-Head异常检测模型的恶意代码样本选择方法。样本选择方法的基本思想是在恶意代码检测模型开始预测之前,设计一个异常样本检测模型来筛选出测试数据中的异常样本,并让模型对剩余的正常样本进行预测,对于预测出的异常样本则进行人工标注并用于执行主动学习,进而提高模型的预测可靠度,降低人工分析成本,并以持续、增量的方式更新恶意代码检测模型。
本发明的一个实施例提供了基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,其结构如图1所示,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。
特征提取器包括恶意代码检测模型中的特征提取部分。
第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。
第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。
第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。
基于Two-Head神经网络的异常检测模型作为样本筛选器用于执行样本筛选策略,该样本筛选器不是一个具体的已经被定义好的模型,而是在恶意代码检测模型的神经网络结构基础上进行更改,使其能够用于进行异常检测。具体来说,基于Two-Head神经网络的异常检测模型主要是将恶意代码检测模型F(x)最后一层前面的部分拿出来作为特征提取器E(x),然后在其后面添加两个分类层,第一分类层C1和第二分类层C2,这两个分类层是并行的结构,接在特征提取器E(x)的后面。Two-Head模型的结构图如图1所示。
本发明实施例中,特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。即Two-Head异常检测模型在训练阶段不需要进行超参数的选择,因为只需要将超参数设置为恶意代码检测模型在训练阶段的超参数即可,节省了寻找最优超参数的时间;
本发明的另外一个实施例还提供了基于Two-Head异常检测模型的恶意代码样本筛选方法,其原理如图2所示,该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,包括如下步骤:
步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本,进行数据特征提取,构建异常检测训练样本。
步骤1)包括如下具体步骤:
S101)取恶意代码检测模型的训练集中的恶意代码检测训练样本,提取恶意代码检测训练样本的二进制字节流特征得到二进制字节序列:
S102)将二进制字节序列转换成0-255区间内的10进制整数,得到整数序列;
S103)对每个恶意代码检测训练样本对应的整数序列进行长度归一化处理得到数据特征提取结果,构建为异常检测训练样本。
由于整数序列的长度往往不统一,为了便于模型进行矩阵运算,需要对整数序列进行截取和补齐操作,具体方式是统计所有整数序列的长度,并将其下四分位数(或中位数)作为固定长度;对于每一个整数序列,舍弃超出固定长度的部分,当它的长度小于固定长度的时候,则在序列的末尾填补0直至序列满足固定长度。
步骤2)恶意代码检测模型基于卷积神经网络模型构建,基于此构建Two-Head异常检测模型,具体为:
取恶意代码检测模型中的特征提取部分作为特征提取器,在特征提取器后并行添加第一分类层C1和第二分类层C2;第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值;第一分类概率值和第二分类概率值输入至一个不确定性度量函数中;不确定性度量函数的输出为分类结果标签。
本发明中所针对的恶意代码检测模型选用传统的神经网络模型即可,例如可以采用CNN模型的网络结构。使用恶意代码检测模型在训练阶段的超参数,构建Two-Head异常检测模型即可,即特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。
步骤2)中的不确定性度量函数具体为:
score=|max(p1(y1|x1))-max(p2(y2|x2))|
其中xi∈XN,i=1或2;xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合;score为不确定性度量结果。
设定分类阈值δ,δ依据经验设定。
Two-Head异常检测模型分类结果标签为y:
Figure BDA0002623657590000091
步骤3)采用恶意代码训练样本对所构建的Two-Head异常检测模型进行训练,使得Two-Head异常检测模型的损失值达到收敛,获得训练好的Two-Head异常检测模型。
步骤4)使用训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
由于通常情况下神经网络模型在预测异常样本的时候其输出的概率值会比预测正常样本的时候偏低一些,异常样本往往离分类边界很近,因此更容易被模型预测错误,并且在进行多次预测的时候,模型对异常样本的预测往往会变得不稳定。同时,由于恶意代码测试样本的标签是很难获取的,需要耗费大量的人工分析成本,因此针对恶意代码的异常检测需要在无监督的方式下进行。
步骤3)中,Two-Head异常检测模型的损失值为
Figure BDA0002623657590000101
Figure BDA0002623657590000102
其中xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合。
步骤4)具体包括如下步骤:
步骤401)取恶意代码检测模型的测试集中的恶意代码检测测试样本,所述恶意代码检测测试样本输入至训练好的Two-Head异常检测模型进行样本选择,获得针对恶意代码检测测试样本的分类结果标签;
步骤402)选取分类结果标签为设定值的恶意代码检测测试样本为正常样本,即为恶意代码样本筛选结果。
使用训练好的Two-Head异常检测模型对测试数据进行样本选择,将模型对测试样本输出的score值超过阈值的样本识别为异常样本,将其筛选出去,并用预训练好的恶意代码检测模型对剩余的测试数据进行预测,从而达到提高恶意代码检测模型时间鲁棒性的目的。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,其特征在于,所述筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块;
所述特征提取器包括所述恶意代码检测模型中的特征提取部分;
所述第一分类层和所述第二分类层采用所述恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在所述特征提取器输出端;
所述第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值;
所述第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;所述不确定性度量模块的输出为分类结果标签。
2.如权利要求1所述的样本筛选器,其特征在于,所述特征提取器、第一分类层、第二分类层的超参数设置为与所述恶意代码检测模型相同的超参数。
3.基于Two-Head异常检测模型的恶意代码样本筛选方法,其特征在于,该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,包括:
步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本,进行数据特征提取,构建异常检测训练样本;
步骤2)所述恶意代码检测模型基于卷积神经网络模型构建,基于此构建Two-Head异常检测模型,具体为:
取所述恶意代码检测模型中的特征提取部分作为特征提取器,在所述特征提取器后并行添加第一分类层C1和第二分类层C2;所述第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值;第一分类概率值和第二分类概率值输入至一个不确定性度量函数中;所述不确定性度量函数的输出为分类结果标签;
步骤3)采用所述恶意代码训练样本对所构建的Two-Head异常检测模型进行训练,使得Two-Head异常检测模型的损失值达到收敛,获得训练好的Two-Head异常检测模型;
步骤4)使用所述训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
4.如权利要求3所述的样本筛选器,其特征在于,所述特征提取器、第一分类层、第二分类层的超参数设置为与所述恶意代码检测模型相同的超参数。
5.如权利要求3所述的方法,其特征在于,所述步骤4)具体包括如下步骤:
步骤401)取恶意代码检测模型的测试集中的恶意代码检测测试样本;将所述恶意代码检测测试样本输入至所述训练好的Two-Head异常检测模型,获得针对恶意代码检测测试样本的分类结果标签;
步骤402)选取分类结果标签为设定值的恶意代码检测测试样本为正常样本,即为恶意代码样本筛选结果。
6.如权利要求3或5所述的方法,其特征在于,所述步骤1)包括如下具体步骤:
S101)取恶意代码检测模型的训练集中的恶意代码检测训练样本,提取恶意代码检测训练样本的二进制字节流特征得到二进制字节序列;
S102)将所述二进制字节序列转换成0-255区间内的10进制整数,得到整数序列;
S103)对每个恶意代码检测训练样本对应的整数序列进行长度归一化处理得到数据特征提取结果,构建为异常检测训练样本。
7.如权利要求3或5所述的方法,其特征在于,所述步骤3)中,Two-Head异常检测模型的损失值为
Figure FDA0003815962720000031
Figure FDA0003815962720000032
其中xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合。
8.如权利要求3或5所述的方法,其特征在于,所述步骤2)中的不确定性度量函数具体为:
score=|max(p1(y1|x1))-max(p2(y2|x2))|
其中xi∈XN,i=1或2;xi为第i分类层的输入,yi为第i分类层的输出;i取值为1和2;pi(yi|xi)为第i分类层的输入为xi时,输出为yi的概率,即p1(y1|x1)为第一分类概率值;p2(y2|x2)为第二分类概率值;XN为异常检测训练样本的集合;score为不确定性度量结果;
设定分类阈值δ,δ依据经验设定;
所述Two-Head异常检测模型分类结果标签为y:
Figure FDA0003815962720000033
CN202010790742.4A 2020-08-07 2020-08-07 基于Two-Head异常检测模型的恶意代码样本筛选器及方法 Active CN111898129B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010790742.4A CN111898129B (zh) 2020-08-07 2020-08-07 基于Two-Head异常检测模型的恶意代码样本筛选器及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010790742.4A CN111898129B (zh) 2020-08-07 2020-08-07 基于Two-Head异常检测模型的恶意代码样本筛选器及方法

Publications (2)

Publication Number Publication Date
CN111898129A CN111898129A (zh) 2020-11-06
CN111898129B true CN111898129B (zh) 2022-10-14

Family

ID=73247102

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010790742.4A Active CN111898129B (zh) 2020-08-07 2020-08-07 基于Two-Head异常检测模型的恶意代码样本筛选器及方法

Country Status (1)

Country Link
CN (1) CN111898129B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112668657B (zh) * 2020-12-30 2023-08-29 中山大学 基于分类器预测不确定性的注意力增强分布外图像检测法
CN112990389B (zh) * 2021-05-18 2021-08-06 上海冰鉴信息科技有限公司 一种风控场景下的流量分层方法及装置
CN113591915B (zh) * 2021-06-29 2023-05-19 中国电子科技集团公司第三十研究所 基于半监督学习和单分类支持向量机的异常流量识别方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106096415A (zh) * 2016-06-24 2016-11-09 康佳集团股份有限公司 一种基于深度学习的恶意代码检测方法及系统
CN108629183A (zh) * 2018-05-14 2018-10-09 南开大学 基于可信度概率区间的多模型恶意代码检测方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109710636B (zh) * 2018-11-13 2022-10-21 广东工业大学 一种基于深度迁移学习的无监督工业系统异常检测方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106096415A (zh) * 2016-06-24 2016-11-09 康佳集团股份有限公司 一种基于深度学习的恶意代码检测方法及系统
CN108629183A (zh) * 2018-05-14 2018-10-09 南开大学 基于可信度概率区间的多模型恶意代码检测方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于长短期记忆网络和滑动窗口的流数据异常检测方法;仇媛等;《计算机应用》(第05期);全文 *
面向异常数据流的多分类器选择集成方法;杨融泽等;《计算机工程与应用》(第02期);全文 *

Also Published As

Publication number Publication date
CN111898129A (zh) 2020-11-06

Similar Documents

Publication Publication Date Title
CN111898129B (zh) 基于Two-Head异常检测模型的恶意代码样本筛选器及方法
CN107294993B (zh) 一种基于集成学习的web异常流量监测方法
CN109302410B (zh) 一种内部用户异常行为检测方法、系统及计算机存储介质
WO2021139279A1 (zh) 基于分类模型的数据处理方法、装置、电子设备及介质
CN111783442A (zh) 入侵检测方法、设备和服务器、存储介质
CN116647411B (zh) 游戏平台网络安全的监测预警方法
CN111600919A (zh) 基于人工智能的web检测方法和装置
CN112202726B (zh) 一种基于上下文感知的系统异常检测方法
CN111062036A (zh) 恶意软件识别模型构建、识别方法及介质和设备
CN113935033A (zh) 特征融合的恶意代码家族分类方法、装置和存储介质
CN117155706B (zh) 网络异常行为检测方法及其系统
CN116451139B (zh) 一种基于人工智能的直播数据快速分析方法
CN113438114A (zh) 互联网系统的运行状态监控方法、装置、设备及存储介质
CN114692156A (zh) 内存片段恶意代码入侵检测方法、系统、存储介质及设备
CN116361788A (zh) 一种基于机器学习的二进制软件漏洞预测方法
CN112613032B (zh) 基于系统调用序列的主机入侵检测方法及装置
CN113179276A (zh) 基于显式和隐含特征学习的智能入侵检测方法和系统
CN115204322B (zh) 行为链路异常识别方法和装置
Jere et al. Principal component properties of adversarial samples
CN115277065B (zh) 一种物联网异常流量检测中的对抗攻击方法及装置
CN112163217B (zh) 恶意软件变种识别方法、装置、设备及计算机存储介质
CN113722230A (zh) 针对模糊测试工具漏洞挖掘能力的集成化评估方法及装置
CN113971282A (zh) 一种基于ai模型的恶意应用程序检测方法及设备
CN112598118B (zh) 有监督学习的标注异常处理方法、装置、存储介质及设备
CN113221110B (zh) 一种基于元学习的远程访问木马智能分析方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant