【技术实现步骤摘要】
基于深度学习的恶意程序可视化检测方法
本专利技术属于网络安全领域,具体涉及一种基于深度学习的恶意程序可视化检测方法。
技术介绍
随着经济技术的发展和人们生活水平的提高,以及智能数据时代的来临,数据已经成为了未来最重要的资源之一。恶意程序仍是信息安全的最大威胁之一,每年政府和企业因恶意攻击都遭受了巨大的损失。甚至可以说恶意程序已成为一种可以盈利的商业模式,高额的利润聚集着大量的非法人员,使得恶意程序愈发复杂。目前恶意程序分析方法可以分为静态特征分析方法和动态行为分析。静态特征分析方法主要是利用恶意程序二进制文件进行分析和检测,通过反编译恶意程序提取操作码或系统调用等信息,并以此为特征建立恶意程序分析模型。然而恶意程序可以通过外壳加密,混淆和数据加密来避免反编译操作或者增加样本脱壳难度,这会影响到静态分析特征属性提取,从而造成静态分析方法检测精度的下降。动态行为分析方法弥补了静态特征分析方法的不足,同时也被认为为最具有前景的方法之一。动态行为分析方法通过捕获恶意程序运行时的行为特征,主流方式是使用系统调用或资源依...
【技术保护点】
1.一种基于深度学习的恶意程序可视化检测方法,包括如下步骤:/nS1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;/nS2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;/nS3.将步骤S2构建的子图语料库中的子图映射成字符串;/nS4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;/nS5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;/nS6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;/nS7.针对待检测的程序,构建待检测的程序可视化的图片矩阵...
【技术特征摘要】
1.一种基于深度学习的恶意程序可视化检测方法,包括如下步骤:
S1.运行恶意程序,并从恶意程序运行时的行为轨迹构建恶意程序的数据流图;
S2.从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库;
S3.将步骤S2构建的子图语料库中的子图映射成字符串;
S4.采用深度学习算法对子图语料库中的子图进行相似性学习,从而将子图向量化;
S5.采用minHash算法对恶意程序包含的子图向量进行hash计算,从而构建恶意程序可视化的图片矩阵;
S6.根据步骤S5得到的恶意程序可视化的图片矩阵,构建分类模型;
S7.针对待检测的程序,构建待检测的程序可视化的图片矩阵,并采用步骤S6得到的分类模型对待检测的程序可视化的图片矩阵进行分类,从而得到最终的待检测的程序的分类结果。
2.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S1所述的从恶意程序运行时的行为轨迹构建恶意程序的数据流图,具体为在虚拟机中运行恶意程序,并通过Cuckoo来捕获运行时行为轨迹;数据流图的实体包括进程PROCESS,注册表REGISTRY,文件File和网络地址URL。
3.根据权利要求1所述的基于深度学习的恶意程序可视化检测方法,其特征在于步骤S2所述的从步骤S1构建的数据流图中提取特征子图,从而构成子图语料库,具体为采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库。
4.根据权利要求3所述的基于深度学习的恶意程序可视化检测方法,其特征在于所述的采用TreeWalk(G,v,d)算法提取特征子图并构建子图语料库,具体为采用如下步骤提取子图:
A.初始化子图内仅包含数据流图G的根节点v,并初始化提取深度d为正数;
B.将数据流图G中节点v的后继节点Nv中未处理的节点作为树根节点的孩子节点,同时d的值减1;
C.若d>0,则将树中叶子节点在数据流图G中的未处理的邻接节点作为该叶子节点的孩子节点,同时d的值减1;
D.重复步骤C,直至d=0;此时得到的子图为最终的子图。
5.根据权利要求1所述的基于深度...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。