一种基于卷积神经网络的恶意软件流量分类方法技术

本发明专利技术提供一种基于卷积神经网络的恶意软件流量分类方法，属于恶意软件流量检测技术领域，该基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：恶意代码映射为单通道的信号；信号处理生成信号的语谱图；语谱图转化为恒定大小的灰度图；卷积神经网络实现恶意代码的分类。本发明专利技术基于卷积神经网络从恶意软件生成的灰度图像中学习特征，用图像分类方法完成恶意软件分类；因为卷积神经网络可以从原始数据学习特征，不需要预先设计流量特性，不需要复杂的特征工程和较深入的相关领域专业知识，所以这种方法更加高效，适用范围更加广泛；有效的识别恶意软件的全局信息，可以基于全局信息对恶意软件的性质进行分析。

A traffic classification method of malware based on convolutional neural network

【技术实现步骤摘要】
一种基于卷积神经网络的恶意软件流量分类方法
本专利技术属于恶意软件流量检测
，尤其涉及一种基于卷积神经网络的恶意软件流量分类方法。
技术介绍
恶意软件指各种形式的恶意或者入侵软件，例如计算机病毒、蠕虫、间谍软件、木马、广告软件等。这些恶意软件通常以可执行程序、脚本等形式存在。在计算机系统安全领域，一个重要问题是进行恶意软件的检测与识别，以便能在恶意软件运行之前将其清除，避免给计算机系统造成破坏或者给用户造成损失。不仅仅黑帽黑客或者其他怀有恶意的软件作者，即使是信用良好的供应商提供的软件也可能包含恶意代码。一个例子是索尼曾经在其出售的唱片中植入了Rootkit。这是一种特洛伊木马，它静默安装并隐藏在购买者的计算机上，目的是防止唱片被非法复制。它还收集用户的聆听习惯，并无意中创建了可以被其他恶意软件所利用的漏洞。恶意软件检测现今面临的主要挑战是需要对大量有潜在恶意目的的数据和文件进行评估。例如，微软的实时检测反恶意软件产品部署在全球超过1.6亿台计算机上，每天会产生数千万个数据点，需要作为潜在的恶意软件进行分析。<br>卷积神经网络(本文档来自技高网...

【技术保护点】
1.一种基于卷积神经网络的恶意软件流量分类方法，其特征在于，该基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：/n步骤一：恶意代码映射为单通道的信号；/n步骤二：信号处理生成信号的语谱图；/n步骤三：语谱图转化为恒定大小的灰度图；/n步骤四：卷积神经网络实现恶意代码的分类。/n

【技术特征摘要】
1.一种基于卷积神经网络的恶意软件流量分类方法，其特征在于，该基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：
步骤一：恶意代码映射为单通道的信号；
步骤二：信号处理生成信号的语谱图；
步骤三：语谱图转化为恒定大小的灰度图；
步骤四：卷积神经网络实现恶意代码的分类。


2.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤一中，所述的恶意代码的映射用到文件属性(fp)对恶意软件分类非常有用，压缩率可以很大程度上描述文件的类型，本文提取了字节文件与反汇编文件大小和压缩率，并且获取了他们的比值。


3.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤二中，所述的语谱图的生成在汇编代码中，软件的行为通常由一些代码关键字符或者字符串(key)决定；程序节、操作码、应用编程接口调用和动态链接库在很大程度上描述了一个软件的行为与目的，这些属性的数量与分布具有一定的规律，统计他们出现的频率，与其占的比例；所述的语谱图的生成中用到熵；所述的熵(ent)是信息不确定性的一个测度，熵越大则表示信息的不确定程度越高。


4.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤三中，所述的使用图像缩放算法将语谱图转化为恒定大小的灰度图。


5.如权利要求4所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤三中，所述的恶意软件可以通过将每个字节解释为图像中的一个像素而把字节文件形象转化为灰度图像，将字节表示为像素，很容易可以得到图像的像素强度，因此提取图像的前300～600像素强度作为特。

【专利技术属性】
技术研发人员：王书州，章丽娟，刘旭，胡漪逸，孟凯强，王亚龙，赵治博，朱晓贝，李维超，
申请(专利权)人：河南戎磐网络科技有限公司，
类型：发明
国别省市：河南;41