CN112417451A - 适配智能芯片分级架构的基于深度学习的恶意软件检测方法 - Google Patents

适配智能芯片分级架构的基于深度学习的恶意软件检测方法 Download PDF

Info

Publication number
CN112417451A
CN112417451A CN202011315224.3A CN202011315224A CN112417451A CN 112417451 A CN112417451 A CN 112417451A CN 202011315224 A CN202011315224 A CN 202011315224A CN 112417451 A CN112417451 A CN 112417451A
Authority
CN
China
Prior art keywords
model
shallow
deep
intelligent chip
weight
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011315224.3A
Other languages
English (en)
Other versions
CN112417451B (zh
Inventor
杨珉
张源
张晓寒
张谧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fudan University
Original Assignee
Fudan University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fudan University filed Critical Fudan University
Priority to CN202011315224.3A priority Critical patent/CN112417451B/zh
Publication of CN112417451A publication Critical patent/CN112417451A/zh
Application granted granted Critical
Publication of CN112417451B publication Critical patent/CN112417451B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明属于移动安全技术领域,具体为一种适配智能芯片分级架构的基于深度学习的恶意软件检测方法。本发明包括:针对智能芯片小核,设计浅层模型结构,并根据小核特性进行模型优化;该浅层模型用于实时完成恶意软件检测中的简单任务,检测应用中发生的敏感行为;针对智能芯片大核,设计深层模型结构,并根据大核特性进行优化;深层模型用于精准完成恶意软件检测中的复杂任务,检测软件恶意行为;两层模型采用瀑布融合型方法协同工作;并且两层模型采用的线性加权融合的方式进行判别,实现对恶意软件的高效检测;本发明实现了移动设备端即时可靠、高效低耗的恶意软件检测。

Description

适配智能芯片分级架构的基于深度学习的恶意软件检测方法
技术领域
本发明属于移动安全技术领域,具体涉及移动端恶意软件实时检测方法。
背景技术
当前移动设备面临严峻的恶意软件威胁。当前恶意软件类别丰富、行为多种多样,部分恶意软件还可能对用户造成巨大的经济损失,威胁移动系统生态。在与传统反病毒方法不断对抗的同时,恶意软件也在快速进化,目前恶意软件的发展呈现出高级化、组织化、规模化的趋势,这给传统的检测方法带来了巨大的挑战。
移动端侧防御亟需一种高效低耗的实时检测方案。由于移动端资源有限,移动端侧对于恶意软件的深度检测受到极大的限制。端侧传统的基于特征签名匹配的恶意软件检测方法存在响应周期长,分析成本高、易被逃逸等问题,无法有效的解决移动应用安全问题。随着移动软件技术和硬件设备的发展,移动端提供一种基于机器学习技术检测恶意软件的智能场景服务。这种方案响应更及时,并能有效的防止恶意应用的对抗逃逸。但这个方案存在着检测效果与资源消耗上的矛盾,对于复杂的检测任务,模型结构简单,则很难达到任务期望指标;模型结构复杂,则需要大量的算力和资源。同时,移动端智能服务场景下,传统的机器学习模型受硬件架构、芯片能力和功耗的限制,无法长时间持续的使用机器学习模型,实时响应移动端的智慧服务请求。可见,目前移动端侧缺少一种既能保证低能耗,又能提供高质量服务的深度恶意软件检测方案。并且想要实现这样的方案,需要同时兼顾软件架构与硬件能力。
AI智能芯片分级架构设计为移动端防御高效方案提供支持。目前,移动设备端支持AI运算的芯片往往采用分级架构设计,为低能耗、高质量的深度恶意软件检测方案提供了硬件资源。移动端侧AI智能芯片分级架构一般包含一个高算力大核和一个低功耗小核,如对于一个包含GPU(Graphics Processing Unit)和NPU(Neural network ProcessingUnit)的芯片架构,可以将GPU作为大核,NPU作为小核;华为推出的移动端智能芯片则提供了NPU lite作为大核,NPU tiny作为小核。智能芯片大核实现卓越的计算性能,提供全面智慧场景的支持,小核实现超低功耗,提供持续的、实时的智慧场景支持。本发明充分利用AI智能芯片能力,基于智能芯片分级架构设计合理的机器学习模型架构,将能有效解决移动端侧恶意软件检测面临的问题。
发明内容
本发明的目的在于针对适配智能芯片分级架构设计,充分挖掘智能芯片大小核能耗优化能力,为移动端提供一种高能效比的基于深度学习的恶意软件检测方法。
本发明针对端侧AI智能芯片分级架构,设计适配智能芯片的深度学习分层模型。本发明深度学习模型架构如图1所示,其中智能芯片分级架构包含智能芯片小核和大核,相应的,深度学习分层模型结构包含浅层模型与深层模型分别进行适配。同时两层模型协同工作,共同完成深度恶意软件检测,挖掘智能芯片能力,实现移动端高能效检测。
本发明根据小核低功耗、持续工作的特点,设计轻量的浅层模型,用于实时完成恶意软件检测中的简单子任务,检测应用中发生的敏感行为。根据大核高算力、多兼容的特点,设计深度模型,精准完成恶意软件检测中的复杂任务,检测软件恶意行为。浅层模型用于实时地、持续地检测应用行为中的敏感行为,当检出敏感行为时才唤醒深层模型进行判别。两层模型的结构持续运行低功耗的浅层模型,只在必要时候唤醒高能耗高精度的深层模型工作。相较于同场景下传统的频繁唤醒复杂单模型的方案,具有响应速度更快,平均功耗更低的优势。
本发明提出的适配智能芯片分级架构的基于深度学习的恶意软件检测方法,基本步骤为:
(一)针对智能芯片小核,设计第一层模型结构,并根据小核特性进行优化;
(二)针对智能芯片大核,设计第二层模型结构,并根据大核特性进行优化;
(三)深度学习模型的协同,实现对恶意软件的高效检测。
(一)针对小核的模型设计与优化
设计目标:
本发明针对小核低能耗、常驻内存的特点,定义浅层模型目标如下:持续运行在智能芯片小核上;轻量;低算力要求;实时检测应用敏感行为。这要求浅层模型的结构相对简单,计算量相对较小,保证移动设备持续运行在低能耗状态,并能够及时响应请求,准确地检测出软件行为序列中包含的敏感行为不遗漏,以触发深层模型实现对恶意软件行为的深度检测与评估。
本发明浅层模型进行如下对的设计和优化,以保证模型能够适配智能芯片小核,发挥芯片能力,完成浅层模型目标。
模型方案:
本发明选择深度神经网络中的卷积神经网络结构(以下称为CNN)(CNN,LeCun Y,Bottou L,Bengio Y,et al.Gradient-based learning applied to documentrecognition[J].Proceedings of the IEEE,1998,86(11):2278-2324.)作为浅层模型结构,卷积神经网络具有良好的局部视野和平移不变性,倾向于根据序列的局部特点进行判别,能有效地避免其他的噪声影响,高效的检出敏感行为。
经典的多层卷积模型结构通常带来巨大的运算量和参数个数。为适配智能芯片小核,保证浅层模型在低功耗下持续运行,在浅层模型设计中将控制模型复杂度,减少经典模型层数和参数,降低模型的计算量,使得模型计算量低于10M。
模型优化:
(1)损失函数优化
由于模型复杂度的降低,模型学习能力受到限制,导致浅层模型效果变差。为解决这一问题,本发明利用检出率和精确率之间的平衡性,适当牺牲精确率来保证高的检出率,避免出现浅层模型漏报敏感行为的情况。
采用调整优化损失函数的方法,在模型训练中过程中赋予敏感行为被漏判时更高的惩罚,保证敏感行为尽可能地被浅层模型检出。
(2)量化优化
量化优化可使模型的尺寸更小,推断更快,耗电更低,适配智能芯片小核,以满足在较低的计算能力、受限内存和电量消耗的周边设备中应用机器学习的需求。量化示意图如图2所示,使用训练后量化对浅层模型进行优化第一步需要对模型每一层的输入使用映射函数进行定制量化,同时对模型层内使用8位的整型参数模拟32位的浮点型模型参数权重,然后使用整数加速运算该层模型结果,最后在得到输出后对输出进行反量化,完成量化过程。
(二)针对大核的模型设计与优化
设计目标:
本发明根据大核高算力、高能耗的特点,定义深层模型目标为:运行在智能芯片大核上;必要时唤醒;深度准确;检测应用行为是否恶意。这要求深层模型的结构相对复杂,能充分利用输入信息,全面准确地评估浅层模型上报的敏感序列,判别应用行为是否为恶意,能处理解决来自浅层模型误报问题。
本发明深层模型进行如下的设计和优化,以保证模型能够适配智能芯片大核,发挥芯片能力,完成深层模型目标。
模型方案:
本发明选择深度神经网络中的门控循环神经网络结构(以下称为GRU)(GRU,ChoK,Van
Figure BDA0002791142780000031
B,Gulcehre C,et al.Learning phrase representations usingRNN encoder-decoder for statistical machine translation[J].arXiv preprintarXiv:1406.1078,2014.)作为深层模型结构,GRU循环结构能捕捉尽可能多的上下文联系信息,注重全局特征,能够全面准确的评估应用行为是否恶意。
根据GRU模型结构的特点,与大核高算力的特性,保证深层模型的全面精确推断,在深层模型设计中赋予模型更丰富的输入上下文信息,使其充分考察应用行为信息做出准确推断,弥补浅层模型在小算力、低功耗限制下能力的不足。
模型优化:
使用Boosting训练方法
对于浅层模型,根据模型结果调整数据,设置浅层模型中未被检测出的敏感行为数据更高的权重,然后将数据提供给深层模型进行训练。使用Boosting训练方法,深层模型对于浅层模型遗漏的敏感行为序列判别能力更强,针对性地弥补浅层模型能力上的不足,提升两层模型的协同工作能力。
(三)两层模型的协同,实现对恶意软件的高效检测
本发明中,两层模型采用瀑布融合型方法协同工作,以完成高能效高精度的深度恶意软件判别和检测。瀑布融合型方法通常会将运算速度快、区分度低的算法排在前列,逐步过渡为重量级的算法,让宝贵的运算资源集中在少量较高候选结果的运算上。在面对要求精度较高、且运算时间有限的场景,往往非常适用。模型协同判别示意图如图3(a)所示,首先两层模型协同工作为由浅层模型进行实时监测,当浅层模型检测到敏感情况时上报唤醒深层模型,否则直接返回判别结果;深层模型被唤醒后,将对行为数据进行判别,最终主导线性加权融合判别完成应用行为的综合评估。
本发明中,采用线性加权融合的方法,对两层模型的预测结果进行综合考量。本发明设计两层模型的协同判别方法,关注每一层模型对于应用行为的判别细节,结合两层模型的特点综合考察。线性加权融合判别方法如图3(b)所示,该方法首先为两层模型分配适当的权重,然后协同判别过程将对两层模型判别结果进行加权求和得出最终的结果。该方法还引入动态参数,对模型权重加入反馈机制,通过训练用户反馈、远程调配等方式调整模型权值,使两层模型的协同更合理准确,从而对应用行为进行全面准确的评估。
本发明的有益效果是:
(1)本发明提供的适配智能芯片分级架构的深度学习方法,可实现低耗高效地对移动端恶意软件进行检测。
(2)本发明能够充分利用智能芯片能力,同时满足移动端机器学习场景下高能效比和高准确率的要求。
(3)本发明能够推广至其他移动端机器学习智能服务场景,使移动终端能在其他智能场景下的提供高能效比的优质服务。
附图说明
图1为本发明系统框架图。
图2为量化示意图。
图3为协同方法示意图。
具体实施方式
本发明设计并实现了上述的适配智能芯片分级架构设计的恶意软件检测深度学习方法。本节对本发明的实现细节和具体实施例进行介绍。
(一)针对小核的模型设计和优化
本发明为适配智能芯片小核对模型进行设计优化,部分算法具体实现细节如下:
1、量化优化
使用8bit量化对浅层模型进行进一步优化,降低模型功耗,具体步骤如下:
(1)统计模型参数范围,根据参数范围设置映射函数;
(2)使用映射函数,将模型参数映射至0~256,完成模型网络量化。
(3)对给定的浮点数值输入,使用映射函数将输入进行量化映射。
(4)将输入带入量化后的网络,按照网络结构进行输出运算。
(5)将得到的量化输出进行逆映射,完成反量化得到最终输出。
2、损失函数优化
对损失函数调整,提升浅层模型检出率,具体设置如下:
浅层模型是一个二分类模型,使用logistic loss(binary cross-entropy)作为损失函数。记预测样本数为N,其中对于第i个样本,其预测结果为
Figure BDA0002791142780000051
真实标签为yi;恶意样本记为0,正常样本记为1,则损失函数如下:
Figure BDA0002791142780000052
针对该损失函数,为了达到我们的目标,可以增加恶意样本预测错误的误差权重以保证模型对恶意样本预测的准确性。记该权重值为α,则改进后的损失函数如下:
Figure BDA0002791142780000053
设置α>1,赋予恶意样本预测错误时更高的惩罚。
(二)针对大核的模型设计和优化
本发明适配智能芯片大核对模型进行设计优化,部分算法具体实现细节如下:
1、boosting训练算法
使用boosting方法提升深层模型对于浅层模型遗漏的敏感行为序列判别能力,具体算法步骤如下:
(1)设有N个数据点,初始化每个数据点的权重ωn=1/N;
(2)对于每个模型m=1,2,…,M:
用当前数据和权重训练当前模型,设置损失函数loss为:
Figure BDA0002791142780000061
其中ωn是数据点n的权重,lossm是模型m上的损失函数,
Figure BDA0002791142780000062
是数据点n的真实标签,ym(xn)是模型m对数据点n的预测结果。
用当前模型的预测结果计算模型权重,记为αm
Figure BDA0002791142780000063
其中,如果
Figure BDA0002791142780000064
Figure BDA0002791142780000065
否则
Figure BDA0002791142780000066
Figure BDA0002791142780000067
是训练模型m时,数据点n的权重,
Figure BDA0002791142780000068
(3)用当前模型的预测结果,更新每个数据的权:
Figure BDA0002791142780000069
(4)综合所有模型做出预测,对所有模型结果加权求和最终的预测结果,记为YM
Figure BDA00027911427800000610
(三)两层模型的协同方法
本发明中两层模型采用的线性加权融合判别方法实现过程如下:
(1)为两层模型结构中的每一个模型设置一个初始权值,其中所有模型权值之和为1;
(2)为浅层模型设置一个阈值(Threshold),当浅层模型预测结果小于阈值时认为应用行为敏感,唤醒深层模型;
(3)深层模型唤醒并预测后,取所有模型预测结果加权求和的值作为最终结果;
(4)为最终结果设置一个阈值,当最终结果小于阈值时认为应用行为恶意;
(5)通过用户反馈状态或远程调控,更新步骤(1)中设置的模型权值。
本发明具体实施例
运行环境
本发明工作在华为Mate30手机上部署实现,基于麒麟990处理器的NPU智能芯片进行适配,使用华为提供的智能HiAI平台将本发明的两层模型离线部署至移动端。本发明还搭配移动端预先配置好的应用行为收集模块和数据处理模块,协同完成移动端深度恶意软件的检测。
模型设计
浅层模型适配芯片小核,降低模型复杂度,设置模型结构为CNN结构,使用Python编写的开源人工神经网络库Keras库实现,仅包含一个卷积层、一个池化层和两个全连接层;模型选择长度为256的软件行为序列作为模型输入;浅层模型中对输入数据进行词向量嵌入(下称为Embedding)所用向量维度设置为20维;优化损失函数中设置损失权重α为10。
深层模型适配芯片大核,设置模型结构为GRU结构,使用Keras库实现,包含一个GRU层和一个全连接层;模型选择长度为512的软件行为序列作为模型输入;深度层模型中对输入数据进行Embedding所用向量维度设置为50维。
模型协作
移动端将应用实时行为信息按照每5s交给浅层模型,浅层模型收到数据后对应用行为进行判别;若未检测到敏感行为则认为应用当前行为正常,若检测到敏感行为则上报深层模型;深层模型从数据处理模块获取当前时间之前10s的数据进行分析,最终两层模型通过线性加权融合判别将联合判别结果反馈给用户。实施例中设置浅层模型权重为0.3,深层模型权重为0.7。设置浅层模型、深层模型以及协同工作的判别阈值均为0.5。
数据集
对于本发明设计的两层模型,使用由第三方提供的4000款恶意应用产生的数据作为正样本,使用华为应用商城中随机选择40000款正常应用产生的数据作为负样本进行模型的训练,使用与训练集同来源且无重复的1000款恶意应用和10000款正常应用进行模型的测试。
测试结果与总结
本发明实施例的验证方法为将测试集的应用在部署了本发明实施系统的手机上逐个运行1分钟,实施系统对采集到的应用实时数据进行分析和判别。最终本实施例在预先给定的测试集上达到了误报率0.04%,检出率98.3%的效果,模型效果比只使用单个模型效果更佳。相比于浅层模型,在保证检出率基本相同的情况,将误报率降低约4倍,而功耗仅少许提升;相比于深层模型,本发明在同时提升了检出率和误报率的同时,平均功耗约只有深层模型功耗的六分之一。
本发明实施例通过适配智能芯片分级架构,充分利用芯片能力,并利用模型协同,实现了出色的恶意软件检测效果,并且同时兼顾了模型功耗,使得实施例在检测任务中保持低功耗运行状态。相较于传统的基于深度学习的恶意软件检测方案,检测效果更好,平均检测功耗更低。实现了移动设备端即时可靠、高效低耗的恶意软件检测。

Claims (6)

1.一种适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,基本步骤如下:
(一)针对智能芯片小核,设计第一层浅层模型结构,并根据小核特性进行模型优化;该浅层模型用于实时完成恶意软件检测中的简单任务,检测应用中发生的敏感行为;
(二)针对智能芯片大核,设计第二层深层模型结构,并根据大核特性进行优化;深层模型用于精准完成恶意软件检测中的复杂任务,检测软件恶意行为;
(三)深度学习模型的协同,实现对恶意软件的高效检测;
步骤(一)中,所述浅层模型采用卷积神经网络结构(CNN),为适配智能芯片小核,保证浅层模型在低功耗下持续运行,在浅层模型中,设置较小的模型层数与参数,降低模型的计算量;
所述模型优化包括损失函数优化和量化优化;
(1)损失函数优化
利用检出率和精确率之间的平衡性,适当牺牲精确率来保证高的检出率,避免出现浅层模型漏报敏感行为的情况;
通过优化损失函数,在模型训练中过程中赋予敏感行为被漏判时更高的惩罚,保证敏感行为尽可能地被浅层模型检出;
(2)量化优化
量化优化可使模型的尺寸更小,推断更快,耗电更低,适配智能芯片小核,以满足在较低的计算能力、受限内存和电量消耗的周边设备中应用机器学习的需求;具体地,对于模型每一层的参数,用8位的整数模拟32位的浮点数,并对每一层的输入进行定制量化,层内使用整数加速运算,对输出进行反量化,保证输出值符合规范;
步骤(二)中,所述深层模型采用门控循环神经网络结构(GRU);在深层模型中赋予更丰富的输入上下文信息,使其充分考察应用行为信息做出准确推断,弥补浅层模型在小算力、低功耗限制下能力的不足;
所述模型优化,使采用Boosting训练方法;具体地,对于浅层模型,根据模型结果调整数据,设置浅层模型中未被检测出的敏感行为数据更高的权重,然后将数据提供给深层模型进行训练;
步骤(三)中,两层模型采用瀑布融合型方法协同工作;并且,两层模型采用的线性加权融合的方式进行判别,具体地,为两层模型分配适当的权重,协同判别过程将对两层模型判别结果进行加权求和得出最终的结果;同时引入动态参数,对模型权重加入反馈机制,通过训练用户反馈、远程调配等方式调整模型权值,使两层模型的协同更合理准确,从而对应用行为进行全面准确的评估。
2.根据权利要求1所述适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,步骤(一)中所述损失函数优化,是使用logisticloss作为损失函数;记预测样本数为N,预测结果为
Figure FDA0002791142770000021
真实标签为y,恶意样本记为0,正常样本记为1,则损失函数如下:
Figure FDA0002791142770000022
针对该损失函数,增加恶意样本预测错误的误差权重,以保证模型对恶意样本预测的准确性;记该权重值为α,则损失函数如下:
Figure FDA0002791142770000023
设置α>1,赋予恶意样本预测错误时更高的惩罚。
3.根据权利要求1所述适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,步骤(一)中所述量化优化。是使用8bit量化对浅层模型进行进一步优化,以降低模型功耗,具体步骤如下:
(1)统计模型参数范围,根据参数范围设置映射函数;
(2)使用映射函数,将模型参数映射至0~256,完成模型网络量化;
(3)对给定的float输入,使用映射函数将输入进行量化映射;
(4)将输入带入量化后的网络,进行计算;
(5)将得到的量化输出进行逆映射,完成反量化得到最终输出。
4.根据权利要求1所述适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,步骤(二)中所述使用boosting方法训练,具体算法步骤如下:
(1)设有N个数据点,初始化每个数据点的权重ωn=1/N;
(2)对于每个模型m=1,2,…,M:
用当前数据和权重训练当前模型,设置损失函数loss为:
Figure FDA0002791142770000024
其中ωn是数据点n的权重,lossm是模型m上的损失函数,
Figure FDA0002791142770000025
是数据点n的真实标签,ym(xn)是模型m对数据点n的预测结果;
用当前模型的预测结果计算模型权重,记为αm
Figure FDA0002791142770000026
其中,如果
Figure FDA0002791142770000031
Figure FDA0002791142770000032
否则
Figure FDA0002791142770000033
Figure FDA0002791142770000034
是训练模型m时,数据点n的权重,
Figure FDA0002791142770000035
(3)用当前模型的预测结果,更新每个数据的权:
Figure FDA0002791142770000036
(4)综合所有模型做出预测,对所有模型结果加权求和最终的预测结果,记为YM
Figure FDA0002791142770000037
5.根据权利要求1所述适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,步骤(三)中所述两层模型采用的瀑布型融合工作方法,具体为:
移动端将应用实时行为信息按指定周期交给浅层模型,浅层模型收到数据后对应用行为进行判别;若未检测到敏感行为则认为应用当前行为正常,若检测到敏感行为则上报深层模型;深层模型从数据处理模块获取更丰富的数据进行分析,并使用两层模型联合判别方法对应用行为进行全面判别、检测,然后将联合判别结果反馈给用户。
6.根据权利要求5所述适配智能芯片分级架构的基于深度学习的恶意软件检测方法,其特征在于,步骤(三)中所述两层模型采用的线性加权融合判别方法,具体过程如下:
(1)为两层模型结构中的每一个模型设置一个初始权值,其中所有模型权值之和为1;
(2)为浅层模型设置一个阈值,当浅层模型预测结果小于阈值时认为应用行为敏感,唤醒深层模型;
(3)深层模型唤醒并预测后,取所有模型预测结果加权求和的值作为最终结果;
(4)为最终结果设置一个阈值,当最终结果小于阈值时认为应用行为恶意;
(5)通过用户反馈状态或远程调控,更新步骤(1)中设置的模型权值。
CN202011315224.3A 2020-11-20 2020-11-20 适配智能芯片分级架构的基于深度学习的恶意软件检测方法 Active CN112417451B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011315224.3A CN112417451B (zh) 2020-11-20 2020-11-20 适配智能芯片分级架构的基于深度学习的恶意软件检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011315224.3A CN112417451B (zh) 2020-11-20 2020-11-20 适配智能芯片分级架构的基于深度学习的恶意软件检测方法

Publications (2)

Publication Number Publication Date
CN112417451A true CN112417451A (zh) 2021-02-26
CN112417451B CN112417451B (zh) 2022-04-12

Family

ID=74778702

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011315224.3A Active CN112417451B (zh) 2020-11-20 2020-11-20 适配智能芯片分级架构的基于深度学习的恶意软件检测方法

Country Status (1)

Country Link
CN (1) CN112417451B (zh)

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105022958A (zh) * 2015-07-11 2015-11-04 复旦大学 一种安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法
US20170034207A1 (en) * 2014-04-15 2017-02-02 Trend Micro Incorporated Configurable network security
CN108780508A (zh) * 2016-03-11 2018-11-09 高通股份有限公司 用于归一化图像的系统和方法
CN109213723A (zh) * 2017-07-01 2019-01-15 英特尔公司 用于具有安全、功率降低和性能特征的可配置空间加速器的处理器、方法和系统
CN109981559A (zh) * 2017-12-19 2019-07-05 波音公司 交通工具网络攻击检测系统及其方法
CN110647745A (zh) * 2019-07-24 2020-01-03 浙江工业大学 基于深度学习的恶意软件汇编格式的检测方法
US20200106788A1 (en) * 2018-01-23 2020-04-02 Hangzhou Dianzi University Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN111158790A (zh) * 2019-12-31 2020-05-15 清华大学 面向云端深度学习推理的fpga虚拟化方法
CN111275688A (zh) * 2020-01-19 2020-06-12 合肥工业大学 基于注意力机制的上下文特征融合筛选的小目标检测方法
CN111382439A (zh) * 2020-03-28 2020-07-07 玉溪师范学院 基于多模态深度学习的恶意软件检测方法
CN111417121A (zh) * 2020-02-17 2020-07-14 西安电子科技大学 具有隐私保护的多恶意软件混合检测方法、系统、装置
CN111742361A (zh) * 2018-07-24 2020-10-02 华为技术有限公司 一种终端更新语音助手的唤醒语音的方法及终端
CN111797992A (zh) * 2020-05-25 2020-10-20 华为技术有限公司 一种机器学习优化方法以及装置

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170034207A1 (en) * 2014-04-15 2017-02-02 Trend Micro Incorporated Configurable network security
CN105022958A (zh) * 2015-07-11 2015-11-04 复旦大学 一种安卓应用中基于代码库安全规约的应用程序漏洞检测分析方法
CN108780508A (zh) * 2016-03-11 2018-11-09 高通股份有限公司 用于归一化图像的系统和方法
CN109213723A (zh) * 2017-07-01 2019-01-15 英特尔公司 用于具有安全、功率降低和性能特征的可配置空间加速器的处理器、方法和系统
CN109981559A (zh) * 2017-12-19 2019-07-05 波音公司 交通工具网络攻击检测系统及其方法
US20200106788A1 (en) * 2018-01-23 2020-04-02 Hangzhou Dianzi University Method for detecting malicious attacks based on deep learning in traffic cyber physical system
CN111742361A (zh) * 2018-07-24 2020-10-02 华为技术有限公司 一种终端更新语音助手的唤醒语音的方法及终端
CN110647745A (zh) * 2019-07-24 2020-01-03 浙江工业大学 基于深度学习的恶意软件汇编格式的检测方法
CN111158790A (zh) * 2019-12-31 2020-05-15 清华大学 面向云端深度学习推理的fpga虚拟化方法
CN111275688A (zh) * 2020-01-19 2020-06-12 合肥工业大学 基于注意力机制的上下文特征融合筛选的小目标检测方法
CN111417121A (zh) * 2020-02-17 2020-07-14 西安电子科技大学 具有隐私保护的多恶意软件混合检测方法、系统、装置
CN111382439A (zh) * 2020-03-28 2020-07-07 玉溪师范学院 基于多模态深度学习的恶意软件检测方法
CN111797992A (zh) * 2020-05-25 2020-10-20 华为技术有限公司 一种机器学习优化方法以及装置

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
XIAOHAN ZHANG .ETAL: ""Enhancing State-of-the-art Classifiers with API Semantics to Detect Evolved Android Malware"", 《CCS"20,VIRTUAL EVENT,USA》 *
ZHEMIN YANG .ETAL: ""LeakMiner: Detect information leakage on Android with static taint analysis"", 《2012 THIRD WORLD CONGRESS ON SOFTWARE ENGINEERING》 *
刘剑 等: ""软件与网络安全研究综述"", 《软件学报》 *
张磊 等: ""TipTracer:基于安全提示的安卓应用通用漏洞检测框架"", 《计算机研究与发展》 *
肖卫 等: ""安卓应用软件中Intent数据验证漏洞的检测方法"", 《小型微型计算机系统》 *

Also Published As

Publication number Publication date
CN112417451B (zh) 2022-04-12

Similar Documents

Publication Publication Date Title
CN113806746B (zh) 基于改进cnn网络的恶意代码检测方法
Ortet Lopes et al. Towards effective detection of recent DDoS attacks: A deep learning approach
CN113592825A (zh) 一种基于yolo算法的煤矸实时检测方法
Yang et al. Research on subway pedestrian detection algorithms based on SSD model
CN110633689B (zh) 基于半监督注意力网络的人脸识别模型
CN115294550A (zh) 一种基于多任务学习的自动驾驶汽车道路场景理解方法
Tian et al. Stealthy backdoors as compression artifacts
CN111160526B (zh) 基于mape-d环形结构的深度学习系统在线测试方法与装置
CN111522736A (zh) 一种软件缺陷预测方法、装置、电子设备及计算机存储介质
CN114358249A (zh) 目标识别模型训练、目标识别方法及装置
Xu et al. Resilient binary neural network
Fonseca et al. Model-agnostic approaches to handling noisy labels when training sound event classifiers
CN112417451B (zh) 适配智能芯片分级架构的基于深度学习的恶意软件检测方法
Ma et al. Temporal pyramid recurrent neural network
Zhao et al. LCANet: Lightweight context-aware attention networks for earthquake detection and phase-picking on IoT edge devices
CN115424335B (zh) 活体识别模型训练方法、活体识别方法及相关设备
CN113343924B (zh) 一种基于循环谱特征和生成对抗网络的调制信号识别方法
CN114818501A (zh) 一种基于数据增强的太阳能电池片缺陷检测的轻量化方法
CN115019371A (zh) 异常状态确定方法、装置、设备、介质及产品
CN108052987B (zh) 图像分类输出结果的检测方法
Liu et al. An improved YOLOv3 algorithm and intruder detection on transmission line
Xu et al. Verification Code Recognition Based on Active and Deep Learning
CN113326509B (zh) 基于互信息的深度学习模型中毒攻击检测方法及其装置
CN117522718B (zh) 基于深度学习的水下图像增强方法
US20230116880A1 (en) Multi-task deep learning network and generation method thereof

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant