基于深度学习的云端恶意程序检测系统及方法技术方案

本发明专利技术公开了基于深度学习的云端恶意程序检测系统及方法，属于软件安全技术领域，该方案效率更高、准确率更高。该系统包括信息获取模块、数据预处理模块以及训练模型模块。信息获取模块具体为：程序样本集中包含恶意程序检测时所使用的程序样本；程序自动执行样本用于在虚拟机中自动执行程序样本；虚拟机中每次运行一个程序样本，并在运行过程中提取系统实时参数信息和动态链接库信息，程序样本执行完成后，保存虚拟机快照，分析虚拟机快照得到内存取证信息；各信息送入数据预处理模块。数据预处理模块进行数据预处理得到动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵送入到训练模型模块。训练模型模块预先构建并训练神经网络模型。

Cloud malware detection system and method based on deep learning

【技术实现步骤摘要】
基于深度学习的云端恶意程序检测系统及方法
本专利技术涉及软件安全
，具体涉及基于深度学习的云端恶意程序检测系统及方法。
技术介绍
恶意程序检测是指一种能够识别出恶意程序的方法。云计算是目前最流行且最重要的IT趋势之一，云计算是一种通过互联网向计算机或其它设备提供共享计算资源(软件或数据)的服务的过程。如何在云端进行恶意程序检测，目前恶意程序检测的重要发展方向。因此云端恶意程序检测工作十分重要。深度学习是恶意程序检测领域的重要方法，目前较为流行的恶意程序检测方法大多都使用了深度学习技术，因此深度学习在实践和研究方面都收到了广泛的关注。目前深度学习在恶意程序检测领域被广泛应用，由于深度学习，特别是卷积神经网络在图像处理领域取得了十分优异的成果，因此在恶意程序检测时通常会借助到深度学习在这方面的成果。通常都会把恶意程序转化为图像或是一个类似于图像的数字矩阵，然后再按照深度学习的步骤进行训练，获得到最终的结果。将恶意程序转化为图像的方法有很多，常用的是把恶意程序转化为灰度图，这种方法是利用了将二进制文件转化为灰度图的方法，本文档来自技高网...

【技术保护点】
1.基于深度学习的云端恶意程序检测系统，其特征在于，所述系统包括信息获取模块、数据预处理模块以及训练模型模块；/n所述信息获取模块包含虚拟机、程序自动执行脚本和程序样本集；所述程序样本集中包含恶意程序检测时所使用的程序样本；所述程序自动执行样本用于在虚拟机中自动执行所述程序样本；虚拟机中每次运行一个程序样本，并在运行过程中提取系统实时状态参数信息和动态链接库信息，程序样本执行完成后，保存虚拟机内存快照，分析虚拟机快照得到内存取证信息；每个程序样本执行时得到的系统实时状态参数信息、动态链接库信息以及内存取证信息送入所述数据预处理模块；/n所述数据预处理模块进行如下数据预处理：将所述动态链接库信息...

【技术特征摘要】
1.基于深度学习的云端恶意程序检测系统，其特征在于，所述系统包括信息获取模块、数据预处理模块以及训练模型模块；
所述信息获取模块包含虚拟机、程序自动执行脚本和程序样本集；所述程序样本集中包含恶意程序检测时所使用的程序样本；所述程序自动执行样本用于在虚拟机中自动执行所述程序样本；虚拟机中每次运行一个程序样本，并在运行过程中提取系统实时状态参数信息和动态链接库信息，程序样本执行完成后，保存虚拟机内存快照，分析虚拟机快照得到内存取证信息；每个程序样本执行时得到的系统实时状态参数信息、动态链接库信息以及内存取证信息送入所述数据预处理模块；
所述数据预处理模块进行如下数据预处理：将所述动态链接库信息转化为动态链接库特征向量，将所述系统实时状态参数信息转化为系统实时参数矩阵，提取所述内存取证信息中的数字特征信息转化为内存取证矩阵；动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵送入到所述训练模型模块；
所述训练模型模块预先构建并训练神经网络模型；所述神经网络模型由第一特征提取部，第二特征提取部、特征融合部以及全连接层组成；第一和第二特征提取部均由卷积层和池化层组成；所述第一特征提取部的输入为系统实时参数矩阵，输出为系统实时参数矩阵的特征信息；所述第二特征提取部的输入为内存取证矩阵，输出为内存取证矩阵的特征信息；所述特征融合模块用于对第一和第二特征提取部的输出、以及动态链接库特征向量进行特征融合，得到融合特征；所述融合特征经所述全连接层后得到所述神经网络模型的分类输出，即为目标虚拟机中是否存在恶意程序的判别结果。


2.如权利要求1所述的系统，其特征在于，所述恶意程序检测系统包括模型训练模式以及实测模式；
所述模型训练模式下，所述程序样本集中为收集获得的程序训练样本；
所述程序训练样本包括已知类别程序及其类别标签，所述类别标签包括正常程序和恶意程序；
所述已知类别程序经所述信息获取模块和所述数据预处理模块得到的动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵，结合所述类别标签，对所述训练模型模块中的神经网络模型进行训练，获得训练好的神经网络模型；
所述实测模式下，所述程序样本集中为程序测试样本，所述程序测试样本为未知类别的程序；所述未知类别的程序经所述信息获取模块和所述数据预处理模块得到的动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵，利用所述训练好的神经网络模型获得目标虚拟机中是否存在恶意程序的判别结果。


3.如权利要求1或2所述的系统，其特征在于，所述信息获取模块，采用Python相关模块提取系统实时状态参数信息；
所述信息获取模块，利用Volatility工具分析虚拟机快照得到内存取证信息。


4.如权利要求1或2所述的系统，其特征在于，所述数据处理模块中，系统实时参数矩阵以及内存取证矩阵的每一行对应程序样本执行时的一个进程，行内数据为对应进程中产生的系统实时参数或者内存取证信息中的数字特征；
所述将所述动态链接库信息转化为动态链接库特征向量，具体为：
所述动态链接库信息包括：程序样本执行时的每个进程中不同动态链接库的出现次数；利用TF-IDF算法计算每个动态链接库对当前进程判别的贡献程度，筛选得到贡献程度大于设定阈值的动态链接库；取筛选的动态链接库在当前进程中的出现次数构成初始向量，进一步利用k-means算法对不同进程的初始向量进行聚类，得到不同进程的初步类别标签；所有进程的初步类别标签组成一个一维向量即为动态链接库特征向量。


5.如权利要求1或2所述的系统，其特征在于，所述特征融合部首先采用连接concat方式或者添加add方式将系统实时参数矩阵的特征信息和内存取证矩阵的特征信息进行融合，得到中间融合结果，然后将所述中间融合结果以连接c...

【专利技术属性】
技术研发人员：田东海，马锐，赵润泽，郁裕磊，魏行，胡昌振，
申请(专利权)人：北京理工大学，
类型：发明
国别省市：北京;11