CN115828239A - 一种多维数据决策融合的恶意代码检测方法 - Google Patents

Abstract

本发明公开了一种多维数据决策融合的恶意代码检测方法，包括模型训练、联合训练、及检测三个阶段，构建并训练与恶意代码特征相匹配的若干单一特征分类模型，使用的恶意代码特征即包括通过文件静态特征，动态运行时的API调用序列特征和网络通信流量特征；引入恶意代码样本集进行训练，以期在单一特征分类的基础上训练得到表现良好的分类器进行决策融合；使用静态与动态分析的方法提取多个维度的特征，并使用训练得到的分类器将各单一特征分类模型独立输出的初步分类做融合，输出恶意代码种类的最终判断。通过上述方式，本发明能根据多个维度的信息特征综合评判样本，使样本的静态和动态特征得到充分的利用，准确率高，误报率低的恶意代码检测。

Description

一种多维数据决策融合的恶意代码检测方法

技术领域

本发明涉及网络空间安全技术领域，特别是涉及一种多维数据决策融合的恶意代码检测方法。

背景技术

信息技术高速发展的同时，安全风险和挑战层出不穷，在利益的驱使下，恶意代码产业链已悄然滋生，这会带来诸多风险：隐私数据泄露、服务或重要数据停止访问、计算资源窃用等，此外还可能因设备的设定值和程序的篡改而产生大规模的物理损害，甚至危害国家安全。

传统的恶意代码静态分析方法主要使用从已知样本中提取的静态信息进行比对来识别未知样本，尽管这可以提供针对已知恶意代码足够等级的防护，但针对作案手法千变万化、使用技术不断更新的未知恶意代码，检测效果比较有限，此外，很多恶意代码使用了代码混淆、动态加载等方法来规避静态信息的提取，这更加大了恶意代码检测的难度，为了减小对静态信息的依赖，可以使用动态分析的方法，分析代码在虚拟环境中的动态运行信息来进行检测，动态分析能够克服代码的静态规避，并且得到恶意行为模式以用于后续的检测，但动态分析需要分析人员具有专业的知识和较长的时间。

出于增强防护的目的，很多学者和研究机构都对恶意代码的检测进行了研究分析，并将应用逐渐广泛的机器学习和深度学习引入恶意代码检测，使检测效率获得了提升，机器学习和深度学习在恶意代码检测领域的应用，是在传统的静态分析和动态分析的基础上训练模型，根据提取到的特征对恶意代码进行分类，但目前大部分的检测模型都只使用单一的特征进行检测，如样本的字节码特征、API调用序列特征等，恶意代码的多种静态和动态的特征没有得到充分的利用，这可能会导致准确率偏低，误报率偏高。

决策融合算法是多模态融合领域的一种与模型无关的晚期融合策略，一般深度学习模型先对不同的模态进行训练，决策融合算法再用于融合多个模型输出的结果，决策融合算法能够处理不同形式的数据，提高决策总体结果的准确率，因此，本发明设计的新型的恶意代码检测方法将使用决策融合算法，充分利用可疑样本的静态和动态的特征，根据多个维度的信息特征综合评判样本，这对于恶意代码检测具有重要的意义。

发明内容

本发明主要解决的技术问题是提供一种准确率高、误报率低的恶意代码检测方法，缓解传统静态分析无法处理规避攻击和动态分析效率低下的问题，打破传统基于单一特征的恶意代码检测方法的缺陷。

为解决上述技术问题，本发明采用的一个技术方案是：提供一种多维数据决策融合的恶意代码检测方法，该种多维数据决策融合的恶意代码检测方法包括模型训练阶段、联合训练阶段、以及检测阶段，在模型训练阶段构建并训练与恶意代码特征相匹配的若干单一特征分类模型，使用的恶意代码特征不仅包括通过文件静态特征，也包括动态运行时的API调用序列特征和网络通信流量特征；在联合训练阶段，引入恶意代码样本集进行训练，以期在单一特征分类的基础上训练得到表现良好的分类器进行决策融合；在检测阶段，使用静态与动态分析的方法提取多个维度的特征，并使用训练得到的分类器将各单一特征分类模型独立输出的初步分类做融合，输出恶意代码种类的最终判断。

所述模型训练阶段包括以下步骤：

步骤1.1：基于静态多特征融合的恶意代码分类模型训练：选择已标注好的恶意代码文件和正常应用程序文件数据集，从中反编译提取样本文件静态特征，静态特征包括字节视图特征、汇编视图特征、及PE视图特征，然后对静态特征进行采样与融合，并将其序列化表示输入分类模型进行训练，模型输出结果表示为A＝[a₁,a₂,a₃],(0≤a_i≤1,∑a_i＝1)，其中a₁到a₃分别代表类别为“恶意”、“不确定”、“正常”的概率；

步骤1.2：基于API调用序列的恶意代码分类模型训练：选择已标注好的恶意代码和正常应用程序数据集，在虚拟环境沙箱中运行并记录程序的API调用序列和网络通信流量，然后对API调用序列进行预处理，将每一个API调用使用数值索引，并将其输入时序模型进行训练，模型输出结果表示为B＝[b₁,b₂,b₃,b₄,b₅,b₆,b₇],(0≤b_i≤1,∑b_i＝1)，其中b₁到b₇分别代表类别为“敏感文件行为”、“敏感网络行为”、“敏感注册表行为”、“敏感进程行为”、“主机资源占用或破坏行为”、“不确定”、“正常”的概率；

步骤1.3：基于网络流量的恶意代码分类模型训练：使用步骤1.2中获得的网络通信流量数据集和互联网上公开的高质量流量数据集，进行数据处理，按照会话进行划分，删除重复与空会话，流量分组，以字节流或处理为灰度图的形式，输入深度学习模型进行训练，模型输出结果表示为C＝[c₁,c₂,c₃,c₄,c₅,c₆],(0≤c_i≤1,∑c_i＝1)，其中c₁到c₆分别代表类别为“信息窃取”、“命令与控制”、“拒绝服务”、“漏洞利用”、“不确定”、“正常”的概率。

优选的是，所述联合训练阶段包括以下步骤：

步骤2.1：样本下载：一方面利用当前公开、常见的数据爬取技术从公开知名的软件分析服务网站爬取大量带有具体类型标签的恶意软件样本，另一方面编写自动化爬虫从公开的软件下载仓库获取良性软件，从中抽取等比例的恶意软件与良性软件作为训练样本，形成训练数据集；

步骤2.2：特征提取和初步分类：按照步骤1.1、步骤1.2、步骤1.3中训练过程中训练得到的模型的输入格式，从样本中提取样本文件静态特征，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征，并得到用于训练的初步分类结果向量A，B，C；

步骤2.3：向量拼接与分类器训练：步骤2.2中单一特征分类模型得到的三个结果向量大小不同，将其经过运算

进行拼接，把用于训练的拼接后的向量P输入多层感知机训练分类器MLP。

优选的是，所述检测阶段包括以下步骤：

步骤3.1：单特征模型检测：为了得到初步检测结果向量A^′，B^′，C′，按照步骤1.1、步骤1.2、步骤1.3中训练得到的单一特征分类模型的输入格式，从样本中提取样本文件静态特征，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征；

步骤3.2：决策融合：为了得到对检测样本的最终判断，步骤3.1中单一特征分类模型得到的三个结果向量大小不同，经过运算

进行拼接，把用于检测的向量P′输入已经步骤2.3训练得到的多层感知机训练分类器MLP进行决策融合，最后softmax输出层输出多分类的结果。

与现有技术相比，本发明的有益效果是：

本发明采用开放式架构，实现多个基于单一维度特征的恶意代码检测模型的集成和融合，提高了检测能力，具有良好的可扩展性；

本发明提出的基于多维数据决策融合的恶意代码检测，在联合训练阶段采用利用数据集训练的方式，迭代分类器参数，相较于加权投票或取最大值的决策融合算法，能取得更好的分类效果；

本发明将多模态融合领域的决策融合算法引入恶意代码检测领域，能够充分利用可疑样本的静态和动态的特征，根据多个维度的信息特征综合评判样本，提高了恶意代码检测的准确率，降低了检测误报率。

附图说明

图1为一种多维数据决策融合的恶意代码检测方法的总体架构图。

具体实施方式

下面结合附图对本发明较佳实施例进行详细阐述，以使发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

请参阅图1，本发明实施例包括：

一种多维数据决策融合的恶意代码检测方法，将多模态融合领域的决策融合算法引入恶意代码检测，在机器学习与深度学习模型产生结果的基础上进一步做出对样本的类别判断，具体地，本实施例通过静态和动态分析的方法提取可疑样本中的多个维度的信息特征，包括静态文件特征(字节视图特征、汇编视图特征、PE视图特征)、API序列特征和流量分组特征；分别输入训练好的单一特征分类模型，得到结果向量；结果向量拼接后，输入分类器进行决策融合，得到可疑样本的最终判断结果，本实施例该种多维数据决策融合的恶意代码检测方法包括如图1所示的模型训练阶段、联合训练阶段和检测阶段。

所述模型训练阶段包括以下步骤：

步骤1.1：基于静态多特征融合的恶意代码分类模型训练：选择已标注好的恶意代码文件和正常应用程序文件数据集，从中提取样本静态特征(字节视图特征、汇编视图特征、PE视图特征)，然后对特征进行采样与融合，并将其序列化表示输入分类模型进行训练，模型输出结果表示为A＝[a₁,a₂,a₃],(0≤a_i≤1,∑a_i＝1)，其中a₁到a₃分别代表类别为“恶意”、“不确定”、“正常”的概率。

步骤1.2：基于API调用序列的恶意代码分类模型训练：选择已标注好的恶意代码和正常应用程序数据集，在虚拟环境沙箱中运行并记录程序的API调用序列和网络通信流量，然后对API调用序列进行预处理，将每一个API调用使用数值索引，并将其输入时序模型进行训练，模型输出结果表示为B＝[b₁,b₂,b₃,b₄,b₅,b₆,b₇],(0≤b_i≤1,∑b_i＝1)，其中b₁到b₇分别代表类别为“敏感文件行为”、“敏感网络行为”、“敏感注册表行为”、“敏感进程行为”、“主机资源占用或破坏行为”、“不确定”、“正常”的概率。

步骤1.3：基于网络流量的恶意代码分类模型训练：使用步骤1.2中获得的网络通信流量数据集和互联网上公开的高质量流量数据集，进行数据处理，按照会话进行划分，删除重复与空会话，流量分组，以字节流或处理为灰度图的形式，输入深度学习模型进行训练，模型输出结果表示为C＝[c₁,c₂,c₃,c₄,c₅,c₆],(0≤c_i≤1,∑c_i＝1)，其中c₁到c₆分别代表类别为“信息窃取”、“命令与控制”、“拒绝服务”、“漏洞利用”、“不确定”、“正常”的概率。

步骤2.1：样本下载：一方面利用当前公开、常见的数据爬取技术从公开知名的软件分析服务网站爬取大量带有具体类型标签的恶意软件样本，另一方面编写自动化爬虫从公开的软件下载仓库获取良性软件，从中抽取等比例的恶意软件与良性软件作为训练样本，形成训练数据集；

步骤2.2：特征提取和初步分类：按照步骤1.1、步骤1.2、步骤1.3中训练过程中训练得到的模型的输入格式，从样本中提取样本文件静态特征(字节视图特征、汇编视图特征、PE视图特征)，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征，并得到用于训练的初步分类结果向量A，B，C；

步骤2.3：向量拼接与分类器训练：步骤2.2中单一特征分类模型得到的三个结果向量大小不同，将其经过运算

进行拼接，把用于训练的拼接后的向量P输入多层感知机训练分类器MLP。

优选的是，所述检测阶段包括以下步骤：

步骤3.1：单特征模型检测：为了得到初步检测结果向量A^′，B^′，C′，按照步骤1.1、步骤1.2、步骤1.3中训练得到的单一特征分类模型的输入格式，从样本中提取样本文件静态特征(字节视图特征、汇编视图特征、PE视图特征)，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征；

步骤3.2：决策融合：为了得到对检测样本的最终判断，步骤3.1中单一特征分类模型得到的三个结果向量大小不同，经过运算

进行拼接，把用于检测的向量P′输入已经步骤2.3训练得到的多层感知机训练分类器MLP进行决策融合，最后softmax输出层输出多分类的结果。

本发明一种多维数据决策融合的恶意代码检测方法，将多模态融合领域的决策融合算法引入恶意代码检测领域，能够充分利用可疑样本的静态和动态的特征，根据多个维度的信息特征综合评判样本，提高了恶意代码检测的准确率，降低了检测误报率。

本发明提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行该计算机程序时实现实施例的基于多维数据决策融合的恶意代码检测方法的步骤，其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。

本发明提供了一种计算机可读存储介质，存储有计算机程序，该计算机程序被处理器执行时实现实施例的基于多维数据决策融合的恶意代码检测方法的步骤，其中，计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等，存储介质包括：能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM)、随机存取存储器(RAM)、电载波信号、电信信号以及软件分发介质等，需要说明的是，存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减，例如在某些司法管辖区，根据立法和专利实践，存储介质不包括电载波信号和电信信号。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例、电子设备实施例、计算机可读存储介质实施例和计算机程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特殊进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围，都应涵盖在本申请的保护范围之内，因此，本申请的保护范围应所述以权利要求的保护范围为准。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (4)

1.一种多维数据决策融合的恶意代码检测方法，其特征在于：该种多维数据决策融合的恶意代码检测方法包括模型训练阶段、联合训练阶段、以及检测阶段，在模型训练阶段构建并训练与恶意代码特征相匹配的若干单一特征分类模型，使用的恶意代码特征不仅包括通过文件静态特征，也包括动态运行时的API调用序列特征和网络通信流量特征；在联合训练阶段，引入恶意代码样本集进行训练，以期在单一特征分类的基础上训练得到表现良好的分类器进行决策融合；在检测阶段，使用静态与动态分析的方法提取多个维度的特征，并使用训练得到的分类器将各单一特征分类模型独立输出的初步分类做融合，输出恶意代码种类的最终判断。

2.根据权利要求1所述的一种多维数据决策融合的恶意代码检测方法，其特征在于：所述模型训练阶段包括以下步骤：

步骤1.1：基于静态多特征融合的恶意代码分类模型训练：选择已标注好的恶意代码文件和正常应用程序文件数据集，从中反编译提取样本文件静态特征，静态特征包括字节视图特征、汇编视图特征、及PE视图特征，然后对静态特征进行采样与融合，并将其序列化表示输入分类模型进行训练，模型输出结果表示为A＝[a₁,a₂,a₃],(0≤a_i≤1,∑a_i＝1)，其中a₁到a₃分别代表类别为“恶意”、“不确定”、“正常”的概率；

步骤1.2：基于API调用序列的恶意代码分类模型训练：选择已标注好的恶意代码和正常应用程序数据集，在虚拟环境沙箱中运行并记录程序的API调用序列和网络通信流量，然后对API调用序列进行预处理，将每一个API调用使用数值索引，并将其输入时序模型进行训练，模型输出结果表示为B＝[b₁,b₂,b₃,b₄,b₅,b₆,b₇],(0≤b_i≤1,∑b_i＝1)，其中b₁到b₇分别代表类别为“敏感文件行为”、“敏感网络行为”、“敏感注册表行为”、“敏感进程行为”、“主机资源占用或破坏行为”、“不确定”、“正常”的概率；

步骤1.3：基于网络流量的恶意代码分类模型训练：使用步骤1.2中获得的网络通信流量数据集和互联网上公开的高质量流量数据集，进行数据处理，按照会话进行划分，删除重复与空会话，流量分组，以字节流或处理为灰度图的形式，输入深度学习模型进行训练，模型输出结果表示为C＝[c₁,c₂,c₃,c₄,c₅,c₆],(0≤c_i≤1,∑c_i＝1)，其中c₁到c₆分别代表类别为“信息窃取”、“命令与控制”、“拒绝服务”、“漏洞利用”、“不确定”、“正常”的概率。

3.根据权利要求2所述的一种多维数据决策融合的恶意代码检测方法，其特征在于：所述联合训练阶段包括以下步骤：

步骤2.1：样本下载：一方面利用当前公开、常见的数据爬取技术从公开知名的软件分析服务网站爬取大量带有具体类型标签的恶意软件样本，另一方面编写自动化爬虫从公开的软件下载仓库获取良性软件，从中抽取等比例的恶意软件与良性软件作为训练样本，形成训练数据集；

步骤2.2：特征提取和初步分类：按照步骤1.1、步骤1.2、步骤1.3中训练过程中训练得到的模型的输入格式，从样本中提取样本文件静态特征，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征，并得到用于训练的初步分类结果向量A，B，C；

步骤2.3：向量拼接与分类器训练：步骤2.2中单一特征分类模型得到的三个结果向量大小不同，将其经过运算

进行拼接，把用于训练的拼接后的向量P输入多层感知机训练分类器MLP。

4.根据权利要求3所述的一种多维数据决策融合的恶意代码检测方法，其特征在于：所述检测阶段包括以下步骤：

步骤3.1：单特征模型检测：为了得到初步检测结果向量A^′，B^′，C′，按照步骤1.1、步骤1.2、步骤1.3中训练得到的单一特征分类模型的输入格式，从样本中提取样本文件静态特征，同时在虚拟环境中运行样本得到API调用序列和网络通信流量，输入深度学习模型提取样本特征；

步骤3.2：决策融合：为了得到对检测样本的最终判断，步骤3.1中单一特征分类模型得到的三个结果向量大小不同，经过运算

进行拼接，把用于检测的向量P′输入已经步骤2.3训练得到的多层感知机训练分类器MLP进行决策融合，最后softmax输出层输出多分类的结果。

Images