CN113806747B - 一种木马图片检测方法、系统及计算机可读存储介质 - Google Patents

一种木马图片检测方法、系统及计算机可读存储介质 Download PDF

Info

Publication number
CN113806747B
CN113806747B CN202111365886.6A CN202111365886A CN113806747B CN 113806747 B CN113806747 B CN 113806747B CN 202111365886 A CN202111365886 A CN 202111365886A CN 113806747 B CN113806747 B CN 113806747B
Authority
CN
China
Prior art keywords
text
picture
character string
features
trojan horse
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111365886.6A
Other languages
English (en)
Other versions
CN113806747A (zh
Inventor
林建洪
陈晓莉
赵祥廷
郝辰亮
朱崇
章亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhejiang Ponshine Information Technology Co ltd
Original Assignee
Zhejiang Ponshine Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Ponshine Information Technology Co ltd filed Critical Zhejiang Ponshine Information Technology Co ltd
Priority to CN202111365886.6A priority Critical patent/CN113806747B/zh
Publication of CN113806747A publication Critical patent/CN113806747A/zh
Application granted granted Critical
Publication of CN113806747B publication Critical patent/CN113806747B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • G06F16/353Clustering; Classification into predefined classes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/241Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
    • G06F18/2415Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches based on parametric or probabilistic models, e.g. based on likelihood ratio or false acceptance rate versus a false rejection rate
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/253Fusion techniques of extracted features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/048Activation functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Hardware Design (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Image Analysis (AREA)

Abstract

本发明涉及一种木马图片检测方法、系统及计算机可读存储介质;木马图片检测方法包括:S1、对图像数据集中的图片进行解码、切分;其中,图像数据集包括正常图片和木马图片;S2、根据切分得到的文本样本构建文本总体特征;S3、对文本向量分别通过加入注意力的双向LSTM和三个不同kernel_size的并行CNN进行特征提取,得到LSTM特征和CNN特征;S4、将三种特征组合,之后依次通过全连接层和softmax激活函数,建立混合神经网络模型并进行权重训练;S5、将待检测图片进行解码、切分,然后经过处理得到三种特征并输入权重训练之后的混合神经网络模型,输出待检测图片的分类结果。本发明提升了木马检测的精度。

Description

一种木马图片检测方法、系统及计算机可读存储介质
技术领域
本发明属于木马检测技术领域,具体涉及一种木马图片检测方法、系统及计算机可读存储介质。
背景技术
互联网每年新增大量图像,但有的图像看似正常,实则暗藏木马代码,利用神经网络可以对木马图像进行解码检测分类,以净化网络环境,保障互联网的健康发展。
现有技术中,公开号为CN111723368A的专利文献公开了一种基于Bi-LSTM和自注意力的恶意代码检测方法,将恶意代码转换为长度统一的字节流序列,每个字节元素利用多维独热编码表示;采用双向长短时记忆Bi-LSTM模型自动学习字节流序列特征,并输出各时间步的隐状态;利用自注意力机制对各时间步隐状态分配权重,将各隐状态的线性加权和作为样本序列的深层特征表示;对该深层特征表示进行全连接神经网络学习和分类,输出样本预测概率。另外,公开号为CN112995150A的专利文献公开了一种基于CNN-LSTM融合的僵尸网络检测方法,获取网络数据集,对数据集进行预处理操作;构建检测模型,检测模型包括卷积神经网络模型CNN、长短时记忆网络模型LSTM、特征融合模块、全连接层,卷积神经网络模型CNN用于空间特征提取,长短时记忆网络模型LSTM用于时序特征提取,将提取得到的空间特征和时序特征在特征融合模块中进行特征融合,得到融合特征,融合特征经过全连接层输出检测结果;对检测模型进行训练,得到训练好的检测模型。
然而,木马图片隐藏很深,图片的尺寸大小不定,从图像视觉层面上看和正常图片没有差异。图片正常解码后的文本杂乱无章,木马程序的代码又多种多样,识别起来难度很大,现有技术中仅针对时序特征进行特征识别,易造成图像分类的精度有限。因此,为了提高木马图片分类的准确率,需要结合图片文本的总体特征和带有时序信息的局部特征进行识别。
发明内容
基于现有技术中存在的上述缺点和不足,本发明的目的是提供一种木马图片检测方法、系统及计算机可读存储介质。
为了达到上述发明目的,本发明采用以下技术方案:
一种木马图片检测方法,包括以下步骤:
S1、对图像数据集中的图片进行解码、切分;
其中,图像数据集包括正常图片和木马图片;
S2、根据切分得到的文本样本计算字符串熵及字符串可读性;
还对切分得到的文本样本进行文本向量化,计算字符串方差、字符串峰度及字符串偏度;
其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;
S3、对文本向量化得到的文本向量分别通过加入注意力的双向LSTM和三个不同kernel_size的并行CNN进行特征提取,得到LSTM特征和CNN特征;
S4、将文本总体特征、LSTM特征和CNN特征组合,之后依次通过全连接层和softmax激活函数,建立混合神经网络模型并进行权重训练;
S5、将待检测图片进行解码、切分,然后经过步骤S2、S3得到待检测图片对应的文本总体特征、LSTM特征和CNN特征,并输入权重训练之后的混合神经网络模型,输出待检测图片标记为正常图片或木马图片。
作为优先方案,所述步骤S1及S5中的切分,包括:
图片解码后,从前往后每K个字符切分作为一个文本样本,不足K个字符部分取最后K个字符作为文本样本,K取值为正整数。
作为优先方案,所述步骤S2中,字符串熵f en 为:
Figure 444417DEST_PATH_IMAGE001
其中,n i 为文本样本中第i个字符的数量,L为文本样本的字符串长度,p i 为第i个字符的数量占比,q为文本样本中去重之后的字符数量。
作为优先方案,所述步骤S2中,字符串可读性f re 为:
Figure 541424DEST_PATH_IMAGE002
其中,n yuan 为文本样本的字符串中元音字母的个数,L为文本样本的字符串长度。
作为优先方案,所述K取值为100。
作为优先方案,所述步骤S3中,对文本向量化得到的文本向量通过加入注意力的双向LSTM进行特征提取,包括:
对文本向量进行Embedding编码,之后通过双向LSTM得到(none,n,m)格式的原始特征,接着依次通过全连接层、flatten层转换为(none,n)格式的特征,之后将(none,n)格式的特征进行多步复制以进行维度扩展得到为(none,m,n)格式的特征,接着进行后两维转置得到(none,n,m)格式的注意力特征,将原始特征与注意力特征相乘,之后按照倒数第二维度求和,得到加入注意力机制的LSTM特征;
其中,none代表batch size不作限制,n为文本长度,m为双向LSTM的输出维度。
作为优先方案,所述步骤S3中,对文本向量化得到的文本向量通过三个不同kernel_size的并行CNN进行特征提取,包括:
对文本向量进行Embedding编码,之后分别通过(2,emb)、(3,emb)、(4,emb)三种不同的kernel_size的CNN进行特征提取并进行合并,最后通过全连接层得到CNN特征;
其中,2、3及4分别代表卷积核的宽度,卷积核的高度对应文本向量维度emb。
作为优先方案,所述木马图片包括Windows木马图片、linux木马图片和网页木马图片。
本发明还提供一种木马图片检测系统,应用如上任一项方案所述的木马图片检测方法,所述木马图片检测系统包括:
解码切分单元,用于对图片进行解码、切分,得到文本样本;
文本向量化单元,用于对切分得到文本样本进行文本向量化,得到文本向量;
计算单元,用于根据文本样本计算字符串熵及字符串可读性,还用于根据文本向量计算字符串方差、字符串峰度及字符串偏度;其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;
加入注意力的双向LSTM单元,用于根据文本向量提取LSTM特征;
三个不同kernel_size的并行CNN单元,用于根据文本向量提取CNN特征;
图片识别单元,用于将待检测图片对应的文本总体特征、LSTM特征和CNN特征输入权重训练之后的混合神经网络模型,以输出待检测图片标记为正常图片或木马图片。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行如上任一项方案所述的木马图片检测方法。
本发明与现有技术相比,有益效果是:
本发明的木马图片检测方法、系统及计算机可读存储介质,结合图片的文本总体特征以及带有时序信息的局部特征(包括LSTM特征和CNN特征)进行木马图片检测,特征维度更全面,从而提升了检测精度。
附图说明
图1是本发明实施例的木马图片检测方法的简要流程图;
图2是本发明实施例的木马图片检测方法的详细流程图;
图3是本发明实施例的文本总体特征的构建流程图;
图4是本发明实施例的混合神经网络模型的框架图;
图5是现有技术中的LSTM的网络结构图;
图6是现有技术中的双向LSTM的网络结构图;
图7是本发明实施例的双向LSTM的注意力机制的网络结构图;
图8是本发明实施例的卷积示意图;
图9是本发明实施例的待检测图片对应的文本总体特征、LSTM特征和CNN特征输入模型检测的流程图。
具体实施方式
为了更清楚地说明本发明实施例,下面将对照附图说明本发明的具体实施方式。显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图,并获得其他的实施方式。
如图1和图2所示,本发明实施例的木马图片检测方法,包括以下步骤:
S1、数据收集,创建图像数据集,对图像数据集中的图片进行解码、切分;
其中,图像数据集包括正常图片、Windows木马图片、linux木马图片和网页木马图片。
具体地,每一张图片解码后,从前往后每K个字符切分作为一个文本样本,不足K个字符部分取最后K个字符作为文本样本,并进行数据标注;其中,K取值为正整数。为了示例说明,K取值为100,但不限于100,具体取值可根据实际应用需求进行设置。
S2、根据切分得到的文本样本计算字符串熵及字符串可读性;
还对切分得到的文本样本进行文本向量化,计算字符串方差、字符串峰度及字符串偏度;
其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征,如图3所示。
具体地,通常木马文本为编程语言,可以在某种环境下运行,因此一般为较为有序的文本,本发明实施例的字符串熵f en 为:
Figure 886955DEST_PATH_IMAGE001
其中,n i 为文本样本中第i个字符的数量,L为文本样本的字符串长度,p i 为第i个字符的数量占比,q为文本样本中去重之后的字符数量。
经验证,通过字符串的字符出现次数计算的字符串熵,可有效判断有序和无序文本序列。
由于代码文本一般具有可读性,而英文单词的可读性往往体现在元音字母上,故本发明实施例的字符串可读性f re 为:
Figure 850363DEST_PATH_IMAGE002
其中,n yuan 为文本样本的字符串中元音字母的个数,L为文本样本的字符串长度。
另外,代码文本一般采用常用的方法及语句,因此其代码的字符是成规律性的,通过计算编码后的字符串向量的方差、峰度和偏度可以体现这部分特征。
本发明实施例构建的文本总体特征,包括字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度,有利于进一步提升木马图片的识别精度。
随后进行混合神经网络模型的构建,将注意力机制、双向LSTM和CNN组合,具体如下:
S3、对文本向量化得到的文本向量分别通过加入注意力的双向LSTM和三个不同kernel_size的并行CNN进行特征提取,得到LSTM特征和CNN特征;
具体地,如图4所示,对文本向量化得到的文本向量通过加入注意力的双向LSTM进行特征提取,具体包括:
对文本向量进行Embedding(none,n,emb)编码,之后通过双向LSTM(即Bidirectional LSTM)得到(none,n,m)格式的原始特征,接着依次通过全连接层(简称FC)、flatten层(简称Flatten)转换为(none,n)格式的特征,然后通过将前段输出的部分进行多步复制(即Repeat),将其维度扩展,即将(none,n)格式的特征进行多步复制以进行维度扩展得到为(none,m,n)格式的特征,接着进行后两维转置(即Transpose)得到(none,n,m)格式的注意力特征,让其与双向LSTM的输出同维度,将原始特征与注意力特征相乘(即Multiply),之后将注意力的部分加起来,即按照倒数第二维度求和,得到加入注意力机制的LSTM特征;
其中,none代表batch size不作限制,n为文本长度,m为双向LSTM的输出维度,emb为文本向量维度。
如图5所示,以下对LSTM的结构进行详细说明,为了解决梯度消失和爆炸的问题,引入门结构,包括遗忘门、输入门及输出门,来对有顺序信息的数据进行记忆,其通过σ(即sigmoid函数)和tanh来引入更多的非线性的激活。
sigmoid函数的公式为:
Figure 648554DEST_PATH_IMAGE003
tanh函数的公式为:
Figure 50717DEST_PATH_IMAGE004
S(t-1),f的公式可得:
Figure 126120DEST_PATH_IMAGE005
S(t-1),i的公式可得:
Figure 385063DEST_PATH_IMAGE006
由此可得:
Figure 841190DEST_PATH_IMAGE007
上述LSTM的结构同现有技术,各参数的定义可参考现有技术,在此不赘述。
如图6所示,本发明实施例的双向LSTM通过其双向结构的改进,使得模型对特征数据信息的提取与理解更加全面,其中,双向LSTM的结构可参考现有技术,在此不赘述。
如图7所示,引入的注意力机制(Attention)在双向LSTM的输出之后进行构建与应用。
另外,对文本向量化得到的文本向量通过三个不同kernel_size的并行CNN进行特征提取,具体包括:
对文本向量进行Embedding(none,n,emb)编码,之后分别通过(2,emb)、(3,emb)、(4,emb)三种不同的kernel_size的CNN进行特征提取并进行合并(即Concat),最后通过全连接层得到CNN特征;
其中,2、3及4分别代表卷积核的宽度,卷积核的高度对应文本向量维度emb,emb取值示例为32。
具体地,卷积计算的输入从二维的矩阵到四维张量,以及卷积核从二维矩阵到四维矩阵都对应不同大小的输出,x为图片的图像特征,也是输入,k是卷积核,a是卷积的结果,即特征图(feature map);假设输入和卷积核都是矩阵,步长为1,本发明实施例通过以下数据进行示例说明:
Figure 984727DEST_PATH_IMAGE008
Figure 39270DEST_PATH_IMAGE009
Figure 610060DEST_PATH_IMAGE010
卷积的过程就是,将输入划分成若干个与卷积核相同大小的不同子集,再分别与卷积核点乘,得到输入的四个子集,表示为:
Figure 54948DEST_PATH_IMAGE011
将经过点乘后得到的不同子集与卷积核相乘,得到图像的特征图信息;
即将得到的四个子集展开,变成一个行向量,表示为:
Figure 861230DEST_PATH_IMAGE012
然后变成行向量的四个子集并在一起得到一个矩阵,表示为:
Figure 409761DEST_PATH_IMAGE013
同理,将卷积核展开成列向量,表示为:
Figure 276085DEST_PATH_IMAGE014
接着将XK相乘,得到:
Figure 145953DEST_PATH_IMAGE015
最后将A变形,就得到了卷积的结果:
Figure 428029DEST_PATH_IMAGE016
以上所述就是输入和卷积核都是矩阵时的情况,用公式总结为:
Figure 191586DEST_PATH_IMAGE017
其中,KHKW分别表示卷积核的高和宽;
从而完成卷积操作。
如图8所示,为卷积示意图,采用上述卷积过程的原理,具体不赘述;本发明实施例的卷积核的高是固定的,并对应于文本向量维度,而卷积核的宽却是变化的,目的在于更好的提取文本上的时序特征。
S4、将文本总体特征、LSTM特征和CNN特征组合,之后依次通过全连接层和softmax激活函数,建立混合神经网络模型并进行权重训练,即将图片数据集的所有图片数据进行如上步骤的处理,以便输入混合神经网络模型进行权重训练,如图2所示;
S5、将待检测图片(即新样本)进行解码、切分,然后经过步骤S2、S3得到待检测图片对应的文本总体特征、LSTM特征和CNN特征,并输入权重训练之后的混合神经网络模型,依次通过全连接层和softmax激活函数输出待检测图片标记为正常图片或木马图片(即输出类别),如图9所示。
具体地,待检测图片会被分割为数组文本编码,输入到权重训练之后的混合神经网络模型中,通过判断最大softmax值是否大于阈值,来决定图片的标签:如果最大softmax值大于阈值,取对应标签作为图像标签;如果最大softmax值小于阈值,以未知图像类型作为图像标签;最终如果全为正常,则为正常图片;如果有异常,输出异常标签。
本发明实施例还提供一种木马图片检测系统,应用本发明实施例上述的木马图片检测方法。具体地,木马图片检测系统包括:
解码切分单元,用于对图片进行解码、切分,得到文本样本;具体地,图片为图像数据集中的图片或者待检测的图片;其中,图像数据集包括正常图片、Windows木马图片、linux木马图片和网页木马图片;
另外,切分的过程为:每一张图片解码后,从前往后每K个字符切分作为一个文本样本,不足K个字符部分取最后K个字符作为文本样本,并进行数据标注;其中,K取值为正整数。为了示例说明,K取值为100,但不限于100,具体取值可根据实际应用需求进行设置
文本向量化单元,用于对切分得到文本样本进行文本向量化,得到文本向量;
计算单元,用于根据文本样本计算字符串熵及字符串可读性,还用于根据文本向量计算字符串方差、字符串峰度及字符串偏度;其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;
具体地,具体地,通常木马文本为编程语言,可以在某种环境下运行,因此一般为较为有序的文本,本发明实施例的字符串熵f en 为:
Figure 166495DEST_PATH_IMAGE001
其中,n i 为文本样本中第i个字符的数量,L为文本样本的字符串长度,p i 为第i个字符的数量占比,q为文本样本中去重之后的字符数量。
经验证,通过字符串的字符出现次数计算的字符串熵,可有效判断有序和无序文本序列。
由于代码文本一般具有可读性,而英文单词的可读性往往体现在元音字母上,故本发明实施例的字符串可读性f re 为:
Figure 576789DEST_PATH_IMAGE002
其中,n yuan 为文本样本的字符串中元音字母的个数,L为文本样本的字符串长度。
另外,代码文本一般采用常用的方法及语句,因此其代码的字符是成规律性的,通过计算编码后的字符串向量的方差、峰度和偏度可以体现这部分特征。
本发明实施例构建的文本总体特征,包括字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度,有利于进一步提升木马图片的识别精度。
加入注意力的双向LSTM单元,用于根据文本向量提取LSTM特征;
具体地,根据文本向量提取LSTM特征,包括:
对文本向量进行Embedding(none,n,emb)编码,之后通过双向LSTM得到(none,n,m)格式的原始特征,接着依次通过全连接层、flatten层转换为(none,n)格式的特征,此时加入注意力机制,具体通过将前段输出的部分进行多步复制,将其维度扩展,即将(none,n)格式的特征进行多步复制以进行维度扩展得到为(none,m,n)格式的特征,接着进行后两维转置得到(none,n,m)格式的注意力特征,让其与双向LSTM的输出同维度,将原始特征与注意力特征相乘,之后将注意力的部分加起来,即按照倒数第二维度求和,得到加入注意力机制的LSTM特征;
其中,none代表batch size不作限制,n为文本长度,m为双向LSTM的输出维度,emb为文本向量维度。
双向LSTM单元的网络结构如图6所示,也可参考现有技术中双向LSTM单元的网络结构。
三个不同kernel_size的并行CNN单元,用于根据文本向量提取CNN特征;
具体地,根据文本向量提取CNN特征,包括:
对文本向量进行Embedding(none,n,emb)编码,之后分别通过(2,emb)、(3,emb)、(4,emb)三种不同的kernel_size的CNN进行特征提取并进行合并,最后通过全连接层得到CNN特征;
其中,2、3及4分别代表卷积核的宽度,卷积核的高度对应文本向量维度emb。
图片识别单元,用于将待检测图片对应的文本总体特征、LSTM特征和CNN特征输入权重训练之后的混合神经网络模型,以输出待检测图片标记为正常图片或木马图片。
其中,混合神经网络模型的训练过程,具体可参考上述方法步骤的详细描述以及如图2所示。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有指令,当指令在计算机上运行时,使得计算机执行如上实施例所述的木马图片检测方法,具体步骤参考上述的方法步骤,在此不赘述。
通过以上实施例的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行上述实施例或者上述实施例的某些部分所述的方法。
以上所述仅是对本发明的优选实施例及原理进行了详细说明,对本领域的普通技术人员而言,依据本发明提供的思想,在具体实施方式上会有改变之处,而这些改变也应视为本发明的保护范围。

Claims (7)

1.一种木马图片检测方法,其特征在于,包括以下步骤:
S1、对图像数据集中的图片进行解码、切分;
其中,图像数据集包括正常图片和木马图片;
S2、根据切分得到的文本样本计算字符串熵及字符串可读性;
还对切分得到的文本样本进行文本向量化,计算字符串方差、字符串峰度及字符串偏度;
其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;
S3、对文本向量化得到的文本向量分别通过加入注意力的双向LSTM和三个不同kernel_size的并行CNN进行特征提取,得到LSTM特征和CNN特征;
S4、将文本总体特征、LSTM特征和CNN特征组合,之后依次通过全连接层和softmax激活函数,建立混合神经网络模型并进行权重训练;
S5、将待检测图片进行解码、切分,然后经过步骤S2、S3得到待检测图片对应的文本总体特征、LSTM特征和CNN特征,并输入权重训练之后的混合神经网络模型,输出待检测图片标记为正常图片或木马图片;
所述步骤S1及S5中的切分,包括:
图片解码后,从前往后每K个字符切分作为一个文本样本,不足K个字符部分取最后K个字符作为文本样本,K取值为正整数;
所述步骤S2中,字符串熵f en 为:
Figure 314336DEST_PATH_IMAGE001
其中,n i 为文本样本中第i个字符的数量,L为文本样本的字符串长度,p i 为第i个字符的数量占比,q为文本样本中去重之后的字符数量;
所述步骤S2中,字符串可读性f re 为:
Figure 506283DEST_PATH_IMAGE002
其中,n yuan 为文本样本的字符串中元音字母的个数,L为文本样本的字符串长度。
2.根据权利要求1所述的木马图片检测方法,其特征在于,所述K取值为100。
3.根据权利要求1所述的木马图片检测方法,其特征在于,所述步骤S3中,对文本向量化得到的文本向量通过加入注意力的双向LSTM进行特征提取,包括:
对文本向量进行Embedding编码,之后通过双向LSTM得到(none,n,m)格式的原始特征,接着依次通过全连接层、flatten层转换为(none,n)格式的特征,之后将(none,n)格式的特征进行多步复制以进行维度扩展得到为(none,m,n)格式的特征,接着进行后两维转置得到(none,n,m)格式的注意力特征,将原始特征与注意力特征相乘,之后按照倒数第二维度求和,得到加入注意力机制的LSTM特征;
其中,none代表batch size不作限制,n为文本长度,m为双向LSTM的输出维度。
4.根据权利要求1或3所述的木马图片检测方法,其特征在于,所述步骤S3中,对文本向量化得到的文本向量通过三个不同kernel_size的并行CNN进行特征提取,包括:
对文本向量进行Embedding编码,之后分别通过(2,emb)、(3,emb)、(4,emb)三种不同的kernel_size的CNN进行特征提取并进行合并,最后通过全连接层得到CNN特征;
其中,2、3及4分别代表卷积核的宽度,卷积核的高度对应文本向量维度emb。
5.根据权利要求1所述的木马图片检测方法,其特征在于,所述木马图片包括Windows木马图片、linux木马图片和网页木马图片。
6.一种木马图片检测系统,应用如权利要求1-5任一项所述的木马图片检测方法,其特征在于,所述木马图片检测系统包括:
解码切分单元,用于对图片进行解码、切分,得到文本样本;
文本向量化单元,用于对切分得到文本样本进行文本向量化,得到文本向量;
计算单元,用于根据文本样本计算字符串熵及字符串可读性,还用于根据文本向量计算字符串方差、字符串峰度及字符串偏度;其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;
加入注意力的双向LSTM单元,用于根据文本向量提取LSTM特征;
三个不同kernel_size的并行CNN单元,用于根据文本向量提取CNN特征;
图片识别单元,用于将待检测图片对应的文本总体特征、LSTM特征和CNN特征输入权重训练之后的混合神经网络模型,以输出待检测图片标记为正常图片或木马图片。
7.一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,其特征在于,当指令在计算机上运行时,使得计算机执行如权利要求1-5任一项所述的木马图片检测方法。
CN202111365886.6A 2021-11-18 2021-11-18 一种木马图片检测方法、系统及计算机可读存储介质 Active CN113806747B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111365886.6A CN113806747B (zh) 2021-11-18 2021-11-18 一种木马图片检测方法、系统及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111365886.6A CN113806747B (zh) 2021-11-18 2021-11-18 一种木马图片检测方法、系统及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN113806747A CN113806747A (zh) 2021-12-17
CN113806747B true CN113806747B (zh) 2022-02-25

Family

ID=78938343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111365886.6A Active CN113806747B (zh) 2021-11-18 2021-11-18 一种木马图片检测方法、系统及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN113806747B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115114625B (zh) * 2022-07-27 2024-09-13 北京国瑞数智技术有限公司 一种基于深度学习的木马家族分类方法和系统
CN114996707B (zh) * 2022-08-01 2022-12-16 北京微步在线科技有限公司 图片木马的静态检测方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108509775A (zh) * 2018-02-08 2018-09-07 暨南大学 一种基于机器学习的恶意png图像识别方法
CN109005145A (zh) * 2018-06-04 2018-12-14 上海交通大学 一种基于自动特征抽取的恶意url检测系统及其方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108509775A (zh) * 2018-02-08 2018-09-07 暨南大学 一种基于机器学习的恶意png图像识别方法
CN109005145A (zh) * 2018-06-04 2018-12-14 上海交通大学 一种基于自动特征抽取的恶意url检测系统及其方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于CNN与LSTM相结合的恶意域名检测模型;张斌等;《电子与信息学报》;20211031;第43卷(第10期);第2944-2951页 *

Also Published As

Publication number Publication date
CN113806747A (zh) 2021-12-17

Similar Documents

Publication Publication Date Title
US11507800B2 (en) Semantic class localization digital environment
CN108959482B (zh) 基于深度学习的单轮对话数据分类方法、装置和电子设备
WO2023134084A1 (zh) 多标签识别方法、装置、电子设备及存储介质
CN112100346B (zh) 基于细粒度图像特征和外部知识相融合的视觉问答方法
CN113806747B (zh) 一种木马图片检测方法、系统及计算机可读存储介质
CN110929665B (zh) 一种自然场景曲线文本检测方法
CN114973222B (zh) 基于显式监督注意力机制的场景文本识别方法
CN114495129B (zh) 文字检测模型预训练方法以及装置
CN110968299A (zh) 一种基于手绘网页图像的前端工程化代码生成方法
CN110532381A (zh) 一种文本向量获取方法、装置、计算机设备及存储介质
CN115221846A (zh) 一种数据处理方法及相关设备
CN114358203A (zh) 图像描述语句生成模块的训练方法及装置、电子设备
CN113159023A (zh) 基于显式监督注意力机制的场景文本识别方法
CN109766553A (zh) 一种基于多正则化结合的胶囊模型的中文分词方法
Cheng et al. A semi-supervised deep learning image caption model based on Pseudo Label and N-gram
CN116304307A (zh) 一种图文跨模态检索网络训练方法、应用方法及电子设备
JP2023017759A (ja) セマンティック増強に基づく画像識別モデルのトレーニング方法およびトレーニング装置
CN115512096A (zh) 基于CNN与Transformer的低分辨率图像分类方法及系统
Inunganbi et al. Handwritten Meitei Mayek recognition using three‐channel convolution neural network of gradients and gray
Naseer et al. Meta‐feature based few‐shot Siamese learning for Urdu optical character recognition
CN113240033B (zh) 一种基于场景图高阶语义结构的视觉关系检测方法及装置
CN114692624A (zh) 一种基于多任务迁移的信息抽取方法、装置及电子设备
CN113836929A (zh) 命名实体识别方法、装置、设备及存储介质
CN117520815A (zh) 基于多模态的信息抽取方法、装置、设备及存储介质
CN116629211B (zh) 基于人工智能的写作方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant