基于DNN的多态蠕虫特征码自动提取方法技术

一种基于DNN的多态蠕虫特征码自动提取方法，其步骤为：对于DNN的多态蠕虫特征码自动提取，整个过程分为训练DNN模型和提取多态蠕虫特征码两部分。在训练模型阶段，将多态蠕虫有效载荷和其对应的特征码作为输入数据，输入到DNN网络中进行训练，得到DNN网络模型。在提取多态蠕虫特征码阶段，将多态蠕虫有效载荷输入到DNN网络模型，通过Signature Beam Search算法来提取特征码，最终输出多态蠕虫有效载荷对应的特征码。通过上述方法，本发明专利技术提供了一种能够快速且准确提取蠕虫特征码的基于DNN的多态蠕虫特征码自动提取方法。

Automatic Extraction of Polymorphic Worm Signature Based on DNN

A method for automatic extraction of polymorphic worm signatures based on DNN is presented. The steps are as follows: for automatic extraction of polymorphic worm signatures based on DNN, the whole process is divided into two parts: training DNN model and extracting polymorphic worm signatures. In the training model stage, the payload of polymorphic worms and their corresponding signatures are input into the DNN network for training, and the DNN network model is obtained. In the stage of extracting polymorphic worms'signatures, the payload of polymorphic worms is input into DNN network model, and the signature Beam Search algorithm is used to extract the signatures. Finally, the corresponding signatures of polymorphic worms' payloads are output. By the above method, the present invention provides an automatic extraction method of polymorphic Worm Signature Based on DNN, which can quickly and accurately extract worm signature.

【技术实现步骤摘要】
基于DNN的多态蠕虫特征码自动提取方法
本专利技术涉及一种特征码自动提取方法，尤其是一种基于DNN的多态蠕虫特征码自动提取方法。
技术介绍
蠕虫特征码自动提取是指不需要人工帮助，自动从已知的攻击载荷数据中提取特征码的过程。随着DNN在自然语言处理领域的深入研究，DNN在机器翻译中表现出很好的效果。蠕虫有效载荷作为一种特殊的文本数据，由于蠕虫特征码的提取和机器翻译同样是一种多对多的序列任务，因此，我们选择使用DNN进行多态蠕虫特征码自动提取。
技术实现思路
本专利技术提出了一种基于DNN的多态蠕虫特征码自动提取方法，对于DNN的多态蠕虫特征码自动提取，整个过程分为训练DNN模型和提取多态蠕虫特征码两部分。在训练模型阶段，将多态蠕虫有效载荷和其对应的特征码作为输入数据，输入到DNN网络中进行训练，得到DNN网络模型。在提取多态蠕虫特征码阶段，将多态蠕虫有效载荷输入到DNN网络模型，通过SignatureBeamSearch算法来提取特征码，最终输出多态蠕虫有效载荷对应的特征码。为了实现上述目的，本专利技术创造采用的技术方案为：基于DNN的多态蠕虫特征码自动提取方法，其特征在于，步骤如下：1)本文档来自技高网...

【技术保护点】
1.基于DNN的多态蠕虫特征码自动提取方法，其特征在于，步骤如下：1)模型结构：1.1)定义：输入为a1,a2,…,aM组成M个ASCII码的序列，这些ASCII码组成大小为|V|＝V的词典V；序列b1,b2,…,bN表示特征码；集合X表示所有的有效载荷数据，集合Y为所有可能出现的特征码；1.2)将多态蠕虫有效载荷a作为输入，并输出长度为N<M的特征码b，已知评分函数

【技术特征摘要】
1.基于DNN的多态蠕虫特征码自动提取方法，其特征在于，步骤如下：1)模型结构：1.1)定义：输入为a1,a2,…,aM组成M个ASCII码的序列，这些ASCII码组成大小为|V|＝V的词典V；序列b1,b2,…,bN表示特征码；集合X表示所有的有效载荷数据，集合Y为所有可能出现的特征码；1.2)将多态蠕虫有效载荷a作为输入，并输出长度为N&lt;M的特征码b，已知评分函数找到最佳的特征码b'∈Y使得：根据蠕虫有效载荷的特征码的条件对数概率，评分函数s(a,b)可表示为：s(a,b)＝logp(b|a；θ)≈∑p(b|a,bc；θ)；其中，表示窗口大小为C的特征码上下文，在bc上做Markov假设，当i&lt;1时，bi为特定的开始符号&lt;s&gt;；通过评分函数可知，对局部条件概率分布建模：p(bi+1|a,bc；θ)；采用神经网络机器翻译的做法，将条件概率分布参数化为一个神经网络，其包括一个神经网络语言模型和一个作为条件特征码生成模型的编码器；2)建立深度神经网络模型：基于标准的前馈神经网络语言模型，构建包含4个隐藏层的深度神经网络模型，对于隐藏层的激活函数，选择使用ReLU；完整的DNN网络模型为：p(bi+1|bc,a；θ)∝exp(Vh””+W*enc(a,bc))(2)h”＝relu(U'h')(5)h”'＝relu(U”h”)(6)h””＝relu(U”'h”')(7)在上述公式中：enc表示基于Attention编码器，返回一个大小为H的向量，表示多态蠕虫有效载荷和对应特征码的上下文；参数θ＝(E,U,U',U”,U”',V,W)，是特征码的ASCII码嵌入矩阵；表示权重矩阵；D表示ASCII码嵌入的大小；V表示蠕虫有效载荷组成的字典的大小；H表示隐藏层中隐藏单元的数量；C表示特征码中上下文大小；3)Attention的编码器：使用Att...

【专利技术属性】
技术研发人员：周翰逊，杨阳，郭薇，
申请(专利权)人：辽宁大学，
类型：发明
国别省市：辽宁,21