一种基于生成对抗网络的恶意软件检测器抗概念漂移方法技术

本发明专利技术属于网络安全技术领域，公开一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，包括：从沙箱提取恶意代码的API调用序列，并通过word2vec将API调用序列转换为特征向量；基于所述特征向量训练辅助分类生成对抗网络；利用训练好的辅助分类生成对抗网络生成恶意代码API调用序列，同时加入实际的恶意代码API调用序列，通过GRU网络进行训练得出恶意软件检测器；将恶意软件检测器的检测结果作为训练集，重新训练辅助分类生成对抗网络，重新训练恶意软件检测器，以提高恶意软件检测器的抗概念漂移性能。本发明专利技术可有效抵抗检测器的老化。

An anti concept drift method of malware detector based on generative anti network

【技术实现步骤摘要】
一种基于生成对抗网络的恶意软件检测器抗概念漂移方法
本专利技术属于网络安全
，尤其涉及一种基于生成对抗网络的恶意软件检测器抗概念漂移方法。
技术介绍
网络环境日趋复杂，各种攻击手段层出不穷，恶意软件作为网络攻击的重要载体，具有破坏、窃取、勒索等多种功能。据卡巴斯基2019年度报告称(https://securelist.com/ksb-2019/“KasperskySecurityBulletin2019”)，2019年度检测到新的恶意软件数量达到约两千四百万，为全世界网络安全带来了严重威胁。因此，能够有效检测恶意软件具有重要意义。现阶段常规的防御恶意软件的手段，通常是使用商业反病毒软件。商业反病毒软件使用基于签名的方法或者基于启发式的方法，其优点是精度高，速度快。但是遇到新的恶意软件则无法有效检测，并且签名库需要线上实时更新，在一些应用场景下无法及时且有效防御恶意软件。检测恶意软件有动态检测与静态检测两大类方法，这些方法都能够在检测性能上获得良好的检测率，同时也有研究者考虑到了一些变种恶意软件和一些难以检测类型的恶意软件。但是，大多数的研究没有关注随时间产生的样本概念漂移的问题，当检测器使用新收集到的恶意软件时，由于样本概念漂移造成模型检测结果产生偏差。近来，有越来越多的研究者开始关注由于新出现的恶意软件造成样本集产生偏差的问题。样本的偏差造成检测器模型老化，这在机器学习中是一个不可避免的问题，大多数恶意软件研究目的是提升检测恶意软件的精度，和恶意软件本身出现的逃逸问题检测。尽管恶意软件技术不断改进，同一类型或同一家族中新的恶意软件层出不穷(样本概念漂移)，这本身是一种逃逸问题，大多数的研究对此应对不足。一种基于API调用、使用马尔科夫链的检测方法(OnwuzurikeL,MaricontiE,AndriotisP,etal.MaMaDroid:Detectingandroidmalwarebybuildingmarkovchainsofbehavioralmodels(extendedversion)[J].ACMTransactionsonPrivacyandSecurity(TOPS),2019,22(2):14.)能够长期有效的对抗样本的漂移问题，但是该方法基于静态检测，遇到加密的恶意样本则会导致该类型检测性能的下降。而众多恶意软件对抗样本问题的研究，绝大多数的关注点在防御对抗检测器攻击，而目前Grosse等人(GrosseK,PapernotN,ManoharanP,etal.Adversarialexamplesformalwaredetection[C]//EuropeanSymposiumonResearchinComputerSecurity.Springer,Cham,2017:62-79.)提出使用蒸馏法缓解对抗样本的问题，在一定程度上能缓解概念漂移造成的检测率下降。以上方法在对抗样本漂移上已经提出了较为有效的解决方法，但是这些研究更偏重于样本空间的偏差带来的影响，而未考虑时间偏差所造成的影响。
技术实现思路
本专利技术针对现有的对抗样本漂移方法中存在的未考虑时间偏差所造成的影响，从而不能较好解决恶意样本随时间变化产生的概念漂移的问题，提出一种基于生成对抗网络的恶意软件检测器抗概念漂移方法。为了实现上述目的，本专利技术采用以下技术方案：一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，包括：步骤1：从沙箱提取恶意代码的API调用序列，并通过word2vec将API调用序列转换为特征向量；步骤2：基于所述特征向量训练辅助分类生成对抗网络；步骤3：利用训练好的辅助分类生成对抗网络生成恶意代码API调用序列，同时加入实际的恶意代码API调用序列，通过GRU网络进行训练得出恶意软件检测器；步骤4：将恶意软件检测器的检测结果作为训练集，重新训练辅助分类生成对抗网络，按照步骤3方式重新训练恶意软件检测器，以提高恶意软件检测器的抗概念漂移性能。进一步地，所述步骤1包括：步骤1.1：将提取到的API调用序列排列为一组；步骤1.2：针对API调用序列中每个函数，对每个函数周围2a个函数取平均值，a为上下文常量；步骤1.3：设置训练迭代次数，对每个函数对应的平均值进行更新，将各函数对应的平均值与当前API调用序列的标签合并，作为API调用序列对应的特征向量。进一步地，所述步骤2包括：步骤2.1：在生成器的输入端，为每个特征向量增加一个符合高斯分布的随机数；步骤2.2：生成器最后一层全连接层将数据送入两个激活函数sigmoid和softmax，将生成的数据映射为向量，并得到真假输出和类别输出；步骤2.3：在生成器和判别器的网络全连接层之间均连接一层批量规范化层，以保证每一层神经网络的输入保持相同分布；步骤2.4：通过Adam优化器优化损失函数，完成辅助分类生成对抗网络训练。进一步地，所述步骤3包括：步骤3.1：利用训练好的辅助分类生成对抗网络生成恶意代码API调用序列，同时加入实际的恶意代码API调用序列，生成恶意代码数据集，将恶意代码数据集中各恶意代码API调用序列转换为特征向量；步骤3.2：采用1层以上GRU网络，将步骤3.1中的特征向量嵌入embedding层作为输入；步骤3.3：将embedding层输出的特征作为GRU层的输入；步骤3.4：将GRU层的输出作为全连接层的输入，使用ReLU作为全连接层的激活函数；步骤3.5：使用softmax函数回归得到分类结果，完成恶意软件检测器的训练。与现有技术相比，本专利技术具有的有益效果：本专利技术采用API调用序列作为特征，训练生成对抗网络，使用训练好的生成对抗网络生成模拟概念漂移的样本，用于训练恶意软件检测器。同时依照恶意软件检测器检测结果再次作为训练集，重新训练生成器并产生生成样本，以重复训练检测模型，提高监测模型的抗概念漂移性能。本专利技术使用真实的恶意软件样本与生成的样本训练检测器模型，并按照线性的时间顺序分割恶意样本集作为测试集，验证本专利技术方法的有效性。结果表明，本专利技术在较长的时间维度下，能够较好解决恶意样本随时间变化产生的概念漂移的问题，且能够获得良好的检测精度，有效的抵抗检测器的老化。附图说明图1为本专利技术实施例一种基于生成对抗网络的恶意软件检测器抗概念漂移方法的基本流程图；图2为本专利技术实施例一种基于生成对抗网络的恶意软件检测器抗概念漂移方法的辅助分类生成对抗网络结构示意图；图3为本专利技术实施例一种基于生成对抗网络的恶意软件检测器抗概念漂移方法的双层GRU神经网络模型结构示意图；图4为本专利技术实施例一种基于生成对抗网络的恶意软件检测器抗概念漂移方法的辅助分类生成对抗网络的生成器和判别器损失值曲线图；图5为本专利技术实施例一种基于生成对抗网络的恶意软件检测器抗概念漂移方法的训练分类结果图；其中(a)为未使用ACGAN生成样本，直接使用GR本文档来自技高网...

【技术保护点】
1.一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，其特征在于，包括：/n步骤1：从沙箱提取恶意代码的API调用序列，并通过word2vec将API调用序列转换为特征向量；/n步骤2：基于所述特征向量训练辅助分类生成对抗网络；/n步骤3：利用训练好的辅助分类生成对抗网络生成恶意代码API调用序列，同时加入实际的恶意代码API调用序列，通过GRU网络进行训练得出恶意软件检测器；/n步骤4：将恶意软件检测器的检测结果作为训练集，重新训练辅助分类生成对抗网络，按照步骤3方式重新训练恶意软件检测器，以提高恶意软件检测器的抗概念漂移性能。/n

【技术特征摘要】
1.一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，其特征在于，包括：
步骤1：从沙箱提取恶意代码的API调用序列，并通过word2vec将API调用序列转换为特征向量；
步骤2：基于所述特征向量训练辅助分类生成对抗网络；
步骤3：利用训练好的辅助分类生成对抗网络生成恶意代码API调用序列，同时加入实际的恶意代码API调用序列，通过GRU网络进行训练得出恶意软件检测器；
步骤4：将恶意软件检测器的检测结果作为训练集，重新训练辅助分类生成对抗网络，按照步骤3方式重新训练恶意软件检测器，以提高恶意软件检测器的抗概念漂移性能。


2.根据权利要求1所述的一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，其特征在于，所述步骤1包括：
步骤1.1：将提取到的API调用序列排列为一组；
步骤1.2：针对API调用序列中每个函数，对每个函数周围2a个函数取平均值，a为上下文常量；
步骤1.3：设置训练迭代次数，对每个函数对应的平均值进行更新，将各函数对应的平均值与当前API调用序列的标签合并，作为API调用序列对应的特征向量。


3.根据权利要求1所述的一种基于生成对抗网络的恶意软件检测器抗概念漂移方法，其特征在于，所述步...

【专利技术属性】
技术研发人员：戴裕昇，黄长江，戴青，
申请(专利权)人：河南信息安全研究院有限公司，
类型：发明
国别省市：河南;41