【技术实现步骤摘要】
一种基于卷积神经网络的PE恶意软件检测方法
本专利技术属于网络安全领域,涉及深度学习和恶意软件检测的交叉领域,尤其涉及一种基于卷积神经网络的PE恶意软件检测方法,着重于该领域内模型检测鲁棒性的评估和改进的方法与相应模块设计。
技术介绍
随着深度学习在图像方面大放异彩,越来越多的行业希望借由深度学习技术为本领域赋能,网络安全正是其中之一。深度学习在原先机器学习的基础上,通过多层神经网络自动提取特征,免去了人工设计特征的步骤,同时能够更加充分的利用原始数据,对于大部分恶意软件的简单变种有着较好的检测效果。因此,网络安全界的研究人员做出了不少研究,Rezende,E.Ruppert,G.Carvalho,etal(2017).MaliciousSoftwareClassificationUsingTransferLearningofResNet-50DeepNeuralNetwork.将恶意软件机器码转化为二维灰度图的形式,并使用迁移学习的方法直接将训练好的ResNet-50在恶意软件样本集上进行训练。国内瀚思科技也使用incep...
【技术保护点】
1.一种基于卷积神经网络的PE恶意软件检测方法,其特征在于,该方法包括如下:/n步骤1:对原始样本进行预处理,构建数据集,获得训练集、验证集、测试集;/n步骤2:构建神经网络分类模型:使用类似Resnet的多层残差结构,通过多个Block块的叠加来构造网络,对于每一个块内采用深度可分离卷积的方式,在块的入口和出口通过1*1的卷积核来变换通道层Channel的数目,通过传统卷积核的卷积结果和空洞卷积核的卷积结果在通道层叠加的方式来增加神经网络每一层的感受野;/n步骤3:评估模型鲁棒性:通过半黑盒攻击的快速梯度下降算法产生对抗样本所需的平均迭代次数以及给定迭代次数内生成对抗样本...
【技术特征摘要】
1.一种基于卷积神经网络的PE恶意软件检测方法,其特征在于,该方法包括如下:
步骤1:对原始样本进行预处理,构建数据集,获得训练集、验证集、测试集;
步骤2:构建神经网络分类模型:使用类似Resnet的多层残差结构,通过多个Block块的叠加来构造网络,对于每一个块内采用深度可分离卷积的方式,在块的入口和出口通过1*1的卷积核来变换通道层Channel的数目,通过传统卷积核的卷积结果和空洞卷积核的卷积结果在通道层叠加的方式来增加神经网络每一层的感受野;
步骤3:评估模型鲁棒性:通过半黑盒攻击的快速梯度下降算法产生对抗样本所需的平均迭代次数以及给定迭代次数内生成对抗样本的成功率,来作为模型鲁棒性的评判标准。
2.根据权利要求1所述的基于卷积神经网络的PE恶意软件检测方法,其特征在于,步骤1所述的对原始样本进行预处理,具体如下:
对收集到的PE恶意软件,先进行加壳检查,对于有壳的恶意软件进行脱壳处理,对于无法识别的壳或是无法进行脱壳处理的恶意软件,将其过滤掉,转交人工分析或是动态分析处理;将处理后的PE恶意软件打上恶意标签,如果有具体的恶意软件家族类别,则以家族类别做标签,对于正常的PE软件打上正常标签后与过滤并标签处理后的恶意软件混合,对于数据集中每一个软件,通过PE软件格式解析获得的其节地址、空闲空间地址等重要属性,之后通过末尾填充0字节和截断的方式使所有软件的二进制代码长度统一到一个定值,将得到的数据以0.8:0.1:0.1的比例分为训练集,验证集,测试集。
3.根据权利要求1所述的基于卷积神经网络的PE恶意软件检测方法,其特征在于,步骤2所述的构建神经网络分类模型,具体为:
步骤2.1使用embedding层将二进制PE软件代码的0-255的离散值映射为一个四维的连续向量,该向量作为初始的通道层输入;
步骤2.2通过多个Block块的叠加来构造类似Resnet的多层残差结构网络,对于每一个块内采用深度可分离卷积的方式,在块的入口和出口通过1*1的卷积核来变换通道层Channel的数目,通过传统卷积核的卷积结果和空洞卷积核的卷积结果在通道层叠加的方式来增加神经网络每一层的感受野;
步骤2.3使用softmax层作为最终的概率输出,并用交叉熵函数作为损失函数;使用Xavier作为全连接层的权重初始化,使用He-n...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。