CN114611102A - 可视化恶意软件检测与分类方法、系统、存储介质及终端 - Google Patents
可视化恶意软件检测与分类方法、系统、存储介质及终端 Download PDFInfo
- Publication number
- CN114611102A CN114611102A CN202210170883.5A CN202210170883A CN114611102A CN 114611102 A CN114611102 A CN 114611102A CN 202210170883 A CN202210170883 A CN 202210170883A CN 114611102 A CN114611102 A CN 114611102A
- Authority
- CN
- China
- Prior art keywords
- software
- detected
- detection
- visual
- malicious software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000000007 visual effect Effects 0.000 title claims abstract description 30
- 230000006399 behavior Effects 0.000 claims abstract description 72
- 238000001514 detection method Methods 0.000 claims abstract description 58
- 238000013145 classification model Methods 0.000 claims abstract description 23
- 238000004458 analytical method Methods 0.000 claims abstract description 13
- 238000000605 extraction Methods 0.000 claims abstract description 7
- 238000013135 deep learning Methods 0.000 claims abstract description 6
- 238000011176 pooling Methods 0.000 claims description 42
- 238000012549 training Methods 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 13
- 230000009467 reduction Effects 0.000 claims description 10
- 239000011159 matrix material Substances 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 238000004804 winding Methods 0.000 claims description 3
- 238000004590 computer program Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 6
- 238000002474 experimental method Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000003068 static effect Effects 0.000 description 5
- 244000035744 Hura crepitans Species 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 241000544061 Cuculus canorus Species 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000008092 positive effect Effects 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- 238000007906 compression Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Biophysics (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Virology (AREA)
- Image Analysis (AREA)
Abstract
本发明属于信息安全技术领域,公开了一种可视化恶意软件检测与分类方法、系统、存储介质及终端,将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;根据提取的待检测软件动态执行行为信息,生成基于待检测软件动态执行行为的图像;利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为的图像进行分析,判断对应的待检测软件是否属于恶意软件。相比现有直接将恶意软件本身或其反汇编代码转为图像的方法,本发明使用了更能代表恶意软件行为特征的动态分析报告,采用可视化的方法,将其转为图像,同时采用深度学习的方法构建模型,避免了人工提取特征,提高了模型的检测性能。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及一种可视化恶意软件检测与分类方法、系统、存储介质及终端。
背景技术
目前,随着经济技术的发展,人们生活信息化水平在不断提高,但由此引发的安全问题也越来越多,比如个人信息的泄露,个别企业网站被别有目的的黑客攻陷从而造成经济损失。在这些信息安全事件中,恶意软件扮演了很重要的角色,已经成为威胁信息安全的其中一个关键因素。
目前,针对恶意软件的主流检测方法主要有静态检测方法和动态检测方法,静态检测在不执行代码的情况下,对恶意软件进行全面的分析和检测,但这种方法对反汇编技术具有依赖性,容易收到代码混淆的影响,并且研究人员可能会花费大量的精力分析一些无用的代码,以上因素导致了静态检测的准确率不高,并且难以检测未知的新型恶意软件。动态检测是对恶意软件执行的过程进行监控,记录并分析其动态行为,根据行为特征进行检测,这种方法克服了静态检测的局限性,但动态检测时间复杂度高并且难以检测未知的新型恶意软件。最近,研究人员提出了将可视化技术应用于恶意软件检测的方法,同类恶意软件在其二进制代码上具有相似性,通过将恶意软件的可执行文件转化为图像形式,恶意软件的分类检测问题就转化为了图像的分类检测问题,但是目前的恶意软件转图像的方法通常都是基于恶意软件本身或者从恶意软件静态二进制文件中提取的部分特征,这样生成的图像信息比较单一并且难以检测未知的恶意软件。
综上所述,无论是静态检测,动态检测,还是基于图像的可视化恶意软件检测,目前都存在检测准确率不高,获取特征信息单一,难以检测未知的新型恶意软件等缺陷,还需进一步研究一种新的将程序动态行为转换为图像的恶意软件检测与分类方法。
通过上述分析,现有技术存在的问题及缺陷为:现有技术存在检测准确率不高,获取特征信息单一,难以检测未知的新型恶意软件。
发明内容
针对现有技术存在的问题,本发明提供了一种可视化恶意软件检测与分类方法、系统、存储介质及终端。
本发明是这样实现的,一种可视化恶意软件检测与分类方法,所述可视化恶意软件检测与分类方法包括:
将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;根据提取的行为信息,生成基于待检测软件动态执行行为图像;利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为的图像进行分析,判断对应的待检测软件是否属于恶意软件。
具体包括以下步骤:
1.信息提取,将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;
2.行为图像生成,根据提取的待检测软件动态执行行为信息,生成基于待检测软件动态执行行为图像;
3.恶意软件检测,利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为图像进行分析,判断对应的待检测软件是否属于恶意软件。
进一步,将待检测软件的可执行文件放入虚拟执行环境中运行,跟踪记录软件所有的动态执行行为信息,收集原始的动态分析报告,提取原始报告中的关键行为信息。
进一步,根据提取的待检测软件动态执行行为信息,生成基于待检测软件动态执行行为图像具体包括:
(1)对报告以二进制形式读取,得到每个报告的二进制字符串,将字符串转为矩阵形式,生成二进制矩阵,利用二进制矩阵生成彩色图像或者灰度图像;
(2)图像尺寸的统一,将生成的每张图像的尺寸调整为固定值。
进一步,利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为图像进行分析,判断对应的待检测软件是否属于恶意软件具体包括:
(1)构建基于深度学习的恶意软件检测分类模型,利用生成的图像对模型进行训练;
(2)利用训练好的模型进行恶意软件的检测与分类。
进一步,所述步骤(1):构建基于深度学习的恶意软件检测分类模型,利用生成的图像对恶意软件检测分类模型进行训练,恶意软件检测分类模型的构建包括:
用于接收图像输入的输入层,对数据进行二维卷积的卷积层,对数据进行池化操作的池化层,用于特征降维的Flatten层,用于特征拟合的全连接层和输出检测结果的softmax函数层。
进一步,所述卷积层包括:
第一卷积层:用于对输入的数据进行二维卷积,将卷积后的数据输入到第一池化层;
第二卷积层:用于对第一池化层的数据进行二维卷积,将卷积后的数据输入到第二池化层;
所述池化层包括:
第一池化层:用于对第一卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量;
第二池化层:用于对第二卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量。
进一步,所述恶意软件检测分类模型的训练包括:将已知的恶意软件和正常软件分好类,将其动态执行信息的灰度图放入模型中进行训练。
本发明的另一目的在于提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行所述可视化恶意软件检测与分类方法的步骤。
本发明的另一目的在于提供一种信息数据处理终端,所述信息数据处理终端用于实现所述的可视化恶意软件检测与分类方法。
本发明的另一目的在于提供一种实施所述的可视化恶意软件检测与分类方法的可视化恶意软件检测与分类系统,所述可视化恶意软件检测与分类系统包括:
信息提取模块,用于将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;
行为图像生成模块,用于根据提取的行为信息,生成基于待检测软件动态执行行为的图像;
恶意软件检测模块,用于利用恶意软件检测与分类模型,对生成基于待检测软件动态执行行为的图像进行分析,判断其对应的待检测软件是否属于恶意软件。
结合上述的技术方案和解决的技术问题,请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为:
第一、针对上述现有技术存在的技术问题以及解决该问题的难度,紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等,详细、深刻地分析本发明技术方案如何解决的技术问题,解决问题之后带来的一些具备创造性的技术效果。具体描述如下:
本发明技术方案不同于前人的方案,利用了更能代表恶意软件行为特征的动态执行行为信息,结合图像处理技术,将动态行为信息转为图像形式,相比于恶意软件的静态检测技术,动态检测技术和将恶意软件本身或者其反汇编代码转为图像进行检测的技术,本技术方案可以有效识别未知恶意软件。
第二,把技术方案看做一个整体或者从产品的角度,本发明所要保护的技术方案具备的技术效果和优点,具体描述如下:
本发明将恶意软件可执行文件放到虚拟执行环境中,记录其执行结果,获得动态分析报告,提取报告中的关键信息,将提取出的信息转化为图像,训练一个卷积神经网络模型,进行恶意软件的二分类和多分类检测。相比现有直接将恶意软件本身或其反汇编代码转为图像的方法,本发明使用了更能代表恶意软件行为特征的动态分析报告,采用可视化的方法,将其转为图像,同时采用深度学习的方法构建模型,避免了人工提取特征,提高了模型的检测性能。
第三,作为本发明的权利要求的创造性辅助证据,还体现在以下几个重要方面:
(1)本发明的技术方案填补了国内外业内技术空白:采用将恶意软件动态执行的行为信息转化为图像形式,利用基于动态行为的图像进行恶意软件的检测,这在以前是没有人实现过的技术。
(2)本发明的技术方案解决了人们一直渴望解决、但始终未能获得成功的技术难题:有效提高了未知恶意软件检测的准确率
附图说明
图1是本发明实施例提供的可视化恶意软件检测与分类方法流程图。
图2是本发明实施例提供的可视化恶意软件检测与分类系统的结构示意图。
图3是本发明实施例提供的可视化恶意软件检测与分类方法的整体流程图。
图4是本发明实施例提供的恶意软件动态行为关键信息可视化流程图。
图5是本发明实施例提供的恶意软件动态行为关键信息灰度图示例。
图6是本发明实施例提供的恶意软件检测分类模型示意图。
图中:1、信息提取模块;2、行为图像生成模块;3、恶意软件检测模块。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现,该部分是对权利要求技术方案进行展开说明的解释说明实施例。
如图1所示,本发明提供的可视化恶意软件检测与分类方法将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;根据提取的行为信息,生成基于待检测软件动态执行行为图像;利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为的图像进行分析,判断对应的待检测软件是否属于恶意软件。
具体包括以下步骤:
S101:将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;
S102:根据提取的行为信息,生成基于待检测软件动态执行行为的图像;
S103:利用恶意软件检测与分类模型,对生成基于待检测软件动态执行行为的图像进行分析,判断其对应的待检测软件是否属于恶意软件。
如图2所示,本发明提供的可视化恶意软件检测与分类系统包括:
信息提取模块1,用于将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;
行为图像生成模块2,用于根据提取的行为信息,生成基于待检测软件动态执行行为的图像;
恶意软件检测模块3,用于利用恶意软件检测与分类模型,对生成基于待检测软件动态执行行为的图像进行分析,判断其对应的待检测软件是否属于恶意软件。
下面结合附图对本发明的技术方案作进一步的描述。
如图3所示,本发明提供的可视化恶意软件检测与分类方法将恶意软件可执行文件放到cuckoo沙箱中,记录其执行结果,获得动态分析报告,人工提取报告中的关键信息,将提取出的信息转化为灰度图,训练一个卷积神经网络模型,利用训练好的模型,进行未知恶意软件的分类检测。具体包括以下步骤:
第一步:恶意软件和正常软件的收集,获取其二进制可执行文件,本示例所用为.exe文件。
第二步:将以上收集的恶意软件和正常软件放入cuckoo沙箱中执行。
第三步:收集样本原始的动态分析报告,由cuckoo沙箱自动生成。
第四步:提取分析报告中的关键信息,为了提高检测的准确率,避免分析重复信息,将报告中样本共有的信息剔除,只保留样本真正执行时的行为信息,包括进程行为,网络行为,文件行为等。
第五步:可视化处理,如图4所示,将处理后的动态分析报告转为灰度图像,对报告以二进制形式读取,得到每个报告的二进制字符串,而后每8bit作为一个单位,这样每个单位的范围控制在0-255之间,也就是灰度图像的每一个像素的实际范围,0代表黑色,255代表白色。每个单位作为灰度图像的一个像素值。根据文件的大小,将生成的像素值转化为宽度和高度相等的二维数组,以此二维数组生成恶意软件动态分析报告的图像,图像为正方形灰度图像,像素范围为0-255。
第六步:采用双线性插值算法调整图像尺寸统一为300*300,方便后续模型的训练。
第七步:如图6所示,建立恶意软件检测二分类与多分类模型,包括输入层,第一卷积层,第一池化层,第二卷积层,第二池化层,Flatten层,全连接层,softmax函数层。
具体如下:
输入层:用于接收300*300的恶意软件动态分析报告灰度图像。
第一卷积层:用于对输入的数据进行二维卷积,卷积核大小为25,卷积核尺寸为3*3,将卷积后的数据输入到第一池化层。
第一池化层:用于对第一卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量,减小过拟合,同时提高模型的容错性。这里采用最大池化。
第二卷积层:用于对第一池化层的数据进行二维卷积,卷积核大小为50,卷积核尺寸为3*3,将卷积后的数据输入到第二池化层。
第二池化层:用于对第二卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量,减小过拟合,这里采用最大池化。
Flatten层:将第二池化层输出的高维特征转化为一维特征向量。
全连接层:对上述生成的特征进行拟合。
softmax函数层:用于完成对恶意软件的分类检测,输出分类检测结果。
第八步:模型的训练,将已知的恶意软件和正常软件分好类,将其动态执行信息的灰度图放入模型中进行训练。
第九步:未知恶意软件的检测,将未知恶意软件放入沙箱中运行,收集其动态行为信息报告并进行信息提取,将提取后的信息转为灰度图形式,将图像输入到训练好的模型,最后输出待检测软件是否属于恶意软件,如果是则输出其类别。
二、应用实施例。为了证明本发明的技术方案的创造性和技术价值,该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
在恶意软件检测领域,很多软件可采用本发明的技术方案,从而实现对未知恶意软件的检测,提高恶意软件检测效率
三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果,和现有技术相比的确具备很大的优势,下面内容结合试验过程的数据、图表等进行描述。
1、实验数据集介绍,为检验本实施例所提出的恶意软件检测方法的性能,选取了BODMAS数据集中的部分样本对本发明所提出的方法进行测试,BODMAS数据集包含从2019年8月至2020年9月收集的57293个恶意软件样本,以及精心策划的家族信息(581个家族)。数据集可以公开下载。本实验选取的恶意样本分布如表1所示:
表1恶意样本分布
除上表中8种1310个恶意样本外,还收集了266个良性样本,利用以上样本做二分类和多分类实验。训练集和测试集的比例为8:2。
2.实验结果
二分类实验只需判断样本是否是恶意样本,经过模型的训练,二分类准确率可达99.12%,多分类实验除了判断样本是否是恶意样本之外,还要检测出恶意样本所属类别,经过模型的训练,多分类准确率可达91.21%。这表明,本发明方法可以有效的检测分类恶意软件,具有较高的检测准确率。
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种可视化恶意软件检测与分类方法,其特征在于,所述可视化恶意软件检测与分类方法将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;根据提取的行为信息,生成基于待检测软件动态执行行为图像;利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为的图像进行分析,判断对应的待检测软件是否属于恶意软件。
2.如权利要求1所述的可视化恶意软件检测与分类方法,其特征在于,所述可视化恶意软件检测与分类方法具体包括:
将待检测软件的可执行文件放入虚拟执行环境中运行,跟踪记录软件所有的动态执行行为信息,收集原始的动态分析报告,提取原始报告中的关键行为信息;
根据提取的待检测软件动态执行行为信息,生成基于待检测软件动态执行行为图像;
利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为图像进行分析,判断对应的待检测软件是否属于恶意软件。
3.如权利要求1所述的可视化恶意软件检测与分类方法,其特征在于,根据提取的待检测软件动态执行行为信息,生成基于待检测软件动态执行行为图像具体包括:
(1)对报告以二进制形式读取,得到每个报告的二进制字符串,将字符串转为矩阵形式,生成二进制矩阵,利用二进制矩阵生成彩色图像或者灰度图像;
(2)图像尺寸的统一,将生成的每张图像的尺寸调整为固定值。
4.如权利要求1所述的可视化恶意软件检测与分类方法,其特征在于,利用恶意软件检测与分类模型,对生成的基于待检测软件动态执行行为图像进行分析,判断对应的待检测软件是否属于恶意软件具体包括:
(1)构建基于深度学习的恶意软件检测分类模型,利用生成的图像对模型进行训练;
(2)利用训练好的模型进行恶意软件的检测与分类。
5.如权利要求4所述的可视化恶意软件检测与分类方法,其特征在于,所述步骤(1):构建基于深度学习的恶意软件检测分类模型,利用生成的图像对恶意软件检测分类模型进行训练,恶意软件检测分类模型的构建包括:
用于接收图像输入的输入层,对数据进行二维卷积的卷积层,对数据进行池化操作的池化层,用于特征降维的Flatten层,用于特征拟合的全连接层和输出检测结果的softmax函数层。
6.如权利要求5所述的可视化恶意软件检测与分类方法,其特征在于,所述卷积层包括:
第一卷积层:用于对输入的数据进行二维卷积,将卷积后的数据输入到第一池化层;
第二卷积层:用于对第一池化层的数据进行二维卷积,将卷积后的数据输入到第二池化层;
所述池化层包括:
第一池化层:用于对第一卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量;
第二池化层:用于对第二卷积层输出的数据进行池化处理,包括特征降维,压缩数据和参数的数量。
7.如权利要求5所述的可视化恶意软件检测与分类方法,其特征在于,所述恶意软件检测分类模型的训练包括:将已知的恶意软件和正常软件分好类,将其动态执行信息的灰度图放入模型中进行训练。
8.一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时,使得所述处理器执行权利要求1~7任意一项所述可视化恶意软件检测与分类方法的步骤。
9.一种信息数据处理终端,其特征在于,所述信息数据处理终端用于实现权利要求1~7任意一项所述的可视化恶意软件检测与分类方法。
10.一种实施权利要求1~7任意一项所述的可视化恶意软件检测与分类方法的可视化恶意软件检测与分类系统,其特征在于,所述可视化恶意软件检测与分类系统包括:
信息提取模块,用于将待检测软件放入虚拟执行环境运行,收集待检测软件动态执行行为信息并进行信息提取;
行为图像生成模块,用于根据提取的行为信息,生成基于待检测软件动态执行行为的图像;
恶意软件检测模块,用于利用恶意软件检测与分类模型,对生成基于待检测软件动态执行行为的图像进行分析,判断其对应的待检测软件是否属于恶意软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210170883.5A CN114611102A (zh) | 2022-02-23 | 2022-02-23 | 可视化恶意软件检测与分类方法、系统、存储介质及终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210170883.5A CN114611102A (zh) | 2022-02-23 | 2022-02-23 | 可视化恶意软件检测与分类方法、系统、存储介质及终端 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114611102A true CN114611102A (zh) | 2022-06-10 |
Family
ID=81858303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210170883.5A Pending CN114611102A (zh) | 2022-02-23 | 2022-02-23 | 可视化恶意软件检测与分类方法、系统、存储介质及终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114611102A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115859290A (zh) * | 2023-02-01 | 2023-03-28 | 中国人民解放军61660部队 | 一种基于静态特征的恶意代码检测方法和存储介质 |
CN116226854A (zh) * | 2023-05-06 | 2023-06-06 | 江西萤火虫微电子科技有限公司 | 恶意软件检测方法、系统、可读存储介质及计算机 |
CN116910758A (zh) * | 2023-09-13 | 2023-10-20 | 中移(苏州)软件技术有限公司 | 恶意软件检测方法、装置、电子设备、芯片及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109871681A (zh) * | 2019-02-28 | 2019-06-11 | 天津大学 | 基于混合分析面向动态代码加载安卓恶意软件检测方法 |
CN111027069A (zh) * | 2019-11-29 | 2020-04-17 | 暨南大学 | 恶意软件家族检测方法、存储介质和计算设备 |
CN111552964A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于静态分析的恶意软件分类方法 |
CN113221115A (zh) * | 2021-07-09 | 2021-08-06 | 四川大学 | 基于协同学习的可视化恶意软件检测方法 |
-
2022
- 2022-02-23 CN CN202210170883.5A patent/CN114611102A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109871681A (zh) * | 2019-02-28 | 2019-06-11 | 天津大学 | 基于混合分析面向动态代码加载安卓恶意软件检测方法 |
CN111027069A (zh) * | 2019-11-29 | 2020-04-17 | 暨南大学 | 恶意软件家族检测方法、存储介质和计算设备 |
CN111552964A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于静态分析的恶意软件分类方法 |
CN113221115A (zh) * | 2021-07-09 | 2021-08-06 | 四川大学 | 基于协同学习的可视化恶意软件检测方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115859290A (zh) * | 2023-02-01 | 2023-03-28 | 中国人民解放军61660部队 | 一种基于静态特征的恶意代码检测方法和存储介质 |
CN116226854A (zh) * | 2023-05-06 | 2023-06-06 | 江西萤火虫微电子科技有限公司 | 恶意软件检测方法、系统、可读存储介质及计算机 |
CN116910758A (zh) * | 2023-09-13 | 2023-10-20 | 中移(苏州)软件技术有限公司 | 恶意软件检测方法、装置、电子设备、芯片及存储介质 |
CN116910758B (zh) * | 2023-09-13 | 2023-12-08 | 中移(苏州)软件技术有限公司 | 恶意软件检测方法、装置、电子设备、芯片及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112580439B (zh) | 小样本条件下的大幅面遥感图像舰船目标检测方法及系统 | |
CN114611102A (zh) | 可视化恶意软件检测与分类方法、系统、存储介质及终端 | |
CN111832019A (zh) | 基于生成对抗网络的恶意代码检测方法 | |
CN113360912A (zh) | 恶意软件检测方法、装置、设备及存储介质 | |
WO2024060684A1 (zh) | 模型训练方法、图像处理方法、设备及存储介质 | |
US20220058431A1 (en) | Semantic input sampling for explanation (sise) of convolutional neural networks | |
CN114429577B (zh) | 一种基于高置信标注策略的旗帜检测方法及系统及设备 | |
AlGarni et al. | An efficient convolutional neural network with transfer learning for malware classification | |
CN116910752A (zh) | 一种基于大数据的恶意代码检测方法 | |
CN113468905B (zh) | 图形码识别方法、装置、计算机设备和存储介质 | |
Zhao et al. | Double attention for multi-label image classification | |
CN113420295A (zh) | 恶意软件的检测方法及装置 | |
CN116258917B (zh) | 一种基于tf-idf转移熵的恶意软件分类方法及装置 | |
CN114861178B (zh) | 一种基于改进b2m算法的恶意代码检测引擎设计方法 | |
CN116977624A (zh) | 一种基于YOLOv7模型的目标识别方法、系统、电子设备及介质 | |
CN116363037A (zh) | 一种多模态图像融合方法、装置及设备 | |
Nassar et al. | Throttling malware families in 2d | |
CN116663008A (zh) | 漏洞检测方法、装置、电子设备、存储介质及程序产品 | |
CN115567224A (zh) | 一种用于检测区块链交易异常的方法及相关产品 | |
CN111191238A (zh) | 一种webshell检测方法、终端设备及存储介质 | |
CN116797533A (zh) | 电源适配器的外观缺陷检测方法及其系统 | |
CN116955138A (zh) | 一种验收方法、装置、设备及存储介质 | |
CN112801960A (zh) | 图像处理方法及装置、存储介质、电子设备 | |
Abhesa et al. | Classification of malware using machine learning based on image processing | |
Kuo et al. | Malware Detection Based on Image Conversion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |