【技术实现步骤摘要】
一种基于信息融合的恶意软件同源性检测方法
本专利技术属于计算机安全
,具体涉及一种基于信息融合的恶意软件同源性检测方法。
技术介绍
随着互联网的不断发展,智能终端设备成为人们生活中的主要工具。然而在各类软件为人们提供便利的同时,恶意软件的攻击与传播也有了可乘之机。尽管目前的恶意软件检测系统已经能够对许多的攻击行为采取措施,但是随着各种自动化工具的出现,互联网上恶意软件的衍生速度远远超过检测系统的更新速度。除此之外,随着攻击向高级、持续等方向发展,使得恶意软件的定义越来越宽泛,攻击场景越来越复杂,传播手段也越来越隐蔽,这些改变都将提高检测系统的误报率和漏报率。但是研究发现,大多数恶意软件都是由已知恶意软件变形得到,且某些功能模块反复地被某些恶意软件使用。因此,通过研究样本中的同源关系,对攻击组织溯源、运行环境还原以及攻击防范等方面具有重要的作用。目前基于签名完成恶意软件检测的方法是大多杀毒软件首选的技术,该方法的主要特点就是需要将专家提取的恶意软件特征手动存入本地数据库。因此针对攻击者借助各种生成工具和检测逃避技...
【技术保护点】
1.一种基于信息融合的恶意软件同源性检测方法,其特征在于,包括以下步骤:/n步骤1:输入待分类的恶意软件样本数据集,取部分数据构建训练集;/n步骤2:从训练集中选择一个恶意软件样本,应用反汇编工具将恶意软件样本转化为反汇编文件;/n步骤3:对反汇编文件进行控制流操作码序列提取;统计每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征;/n步骤4:对控制流操作码进行处理并生成RGB图像;/n步骤5:若训练集中所有恶意软件样本均转化成RGB图像,则执行步骤6;否则,返回步骤2;/n步骤6:构造多个卷积神经网络模型,用训练集分别进行...
【技术特征摘要】
1.一种基于信息融合的恶意软件同源性检测方法,其特征在于,包括以下步骤:
步骤1:输入待分类的恶意软件样本数据集,取部分数据构建训练集;
步骤2:从训练集中选择一个恶意软件样本,应用反汇编工具将恶意软件样本转化为反汇编文件;
步骤3:对反汇编文件进行控制流操作码序列提取;统计每个子序列出现的频率,按照子序列出现的频率进行特征筛选,挑选出频率位于所定义区间的子序列作为软件特征;
步骤4:对控制流操作码进行处理并生成RGB图像;
步骤5:若训练集中所有恶意软件样本均转化成RGB图像,则执行步骤6;否则,返回步骤2;
步骤6:构造多个卷积神经网络模型,用训练集分别进行训练,得到多个基分类器;
所述的卷积神经网络模型包含8个卷积层、5个池化层、5个dropout层、3个全连接层和一个输出层;所有的卷积层都使用3×3的卷积核,步长设置为1;卷积层对输入特征图进行1像素的边缘填充,将所有的池化层最大化;使用2×2的滑动窗口,将步长设置为2,dropout正则化层的概率设置为0.5;使用LeakyReLU激活函数、均匀分布权重初始化和批量归一化来增强CNN网络的收敛性能;
步骤7:应用绝对多数投票法集成策略将多个基分类器进...
【专利技术属性】
技术研发人员:李静梅,彭弘,白丹,薛迪,
申请(专利权)人:哈尔滨工程大学,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。