【技术实现步骤摘要】
基于对抗训练的恶意软件开放集家族分类方法和装置
本专利技术涉及一种及网络空间安全
,特别涉及一种基于对抗训练的恶意软件开放集家族分类方法和装置。
技术介绍
近年来,智能手机、计算机等智能设备已经成为了人们日常生活的一部分,计算机信息技术的发展解放了人们的大脑,便利了人们的生活,各式各样的软件被开发出来。然而,就在人们享受着软件带来的便利的同时,恶意软件开发者也看到了背后的利益,开始利用恶意软件窃取个人信息、破坏电脑运行。恶意软件是用来实现恶意功能的代码或程序,以实现获取数据、破坏系统等目的。其广义上可以分为计算机病毒、蠕虫、后门、广告软件等。虽然恶意软件的检测技术在与恶意代码入侵的对抗中迅速发展,但恶意软件易于生成、形态多样、传播迅速等特性使其仍威胁着网络空间安全。一方面,近年来每年新增恶意软件的数量都居高不下,呈现指数级增长。卡巴斯基实验室通过卡巴斯基安全网络获得了来自全球数百万卡巴斯基产品用户的恶意统计信息,发布了《卡巴斯基安全报告2019》。该报告指出:2019年卡巴斯基解决方案共拦截了9.75亿次网络攻...
【技术保护点】
1.一种基于对抗训练的恶意软件开放集家族分类方法,其特征在于,步骤包括:/n获取已知旧家族的恶意软件,作为训练样本;/n提取训练样本的家族特征,并将其转化为特征图像,得到训练样本的特征图像;/n通过生成对抗网络、第一分类器网络和第二分类器网络组成联合训练网络,其中生成对抗网络生成器网络的输出分别作为生成对抗网络判别器网络、第一分类器网络和第二分类器网络的输入;/n通过训练样本针对生成对抗网络、第一分类器网络和第二分类器网络进行联合训练,将最后训练完成的第二分类器,作为恶意软件开放集分类器;/n针对待分类的恶意软件,作为测试样本;/n提取测试样本的家族特征,并将其转换为特征图...
【技术特征摘要】
1.一种基于对抗训练的恶意软件开放集家族分类方法,其特征在于,步骤包括:
获取已知旧家族的恶意软件,作为训练样本;
提取训练样本的家族特征,并将其转化为特征图像,得到训练样本的特征图像;
通过生成对抗网络、第一分类器网络和第二分类器网络组成联合训练网络,其中生成对抗网络生成器网络的输出分别作为生成对抗网络判别器网络、第一分类器网络和第二分类器网络的输入;
通过训练样本针对生成对抗网络、第一分类器网络和第二分类器网络进行联合训练,将最后训练完成的第二分类器,作为恶意软件开放集分类器;
针对待分类的恶意软件,作为测试样本;
提取测试样本的家族特征,并将其转换为特征图像,得到测试样本的特征图像;
将测试样本的特征图像输入到恶意软件开放集分类器中,由恶意软件开放集分类器得到测试样本的家族分类结果,确定测试样本属于新家族还是旧家族,当属于旧家族时,确定测试样本所属旧家族。
2.根据权利要求1所述的基于对抗训练的恶意软件开放集家族分类方法,其特征在于,生成对抗网络为DCGAN网络结构;
第一分类器网络和第二分类器网络分别由VGG网络结构得到;其中第二分类器网络中,VGG网络结构的后三层全连接层中,将倒数第三层全连接层替换成卷积层加最大池化层。
3.根据权利要求1所述的基于对抗训练的恶意软件开放集家族分类方法,其特征在于,通过训练样本针对生成对抗网络、第一分类器网络和第二分类器网络进行联合训练的具体过程:
步骤1)、训练生成对抗网络中的判别器网络:从先验分布中获取样本,将样本送入生成对抗网络中生成器网络生成假样本,将假样本和旧家族训练样本送入生成对抗网络中判别器网络进行判断,训练判别器网络;
步骤2)、训练生成对抗网络中的生成器网络:从先验分布中获取样本,将样本送入生成对抗网络中生成器网络生成假样本,假样本分别经过判别器网络和第一分类器,误差用于训练生成器网络;
步骤3)、训练第一分类器网络:从先验分布中获取样本,将样本送入生成对抗网络中生成器网络生成假样本,将生成器网络生成的假样本和旧家族训练样本分别送入第一分类器网络,计算分类误差和均匀分布误差,根据分类误差和均匀分布误差对第一分类器网络进行训练;
步骤4)、训练第二分类器网络:从先验分布中获取样本,将样本送入生成对抗网络中生成器网络生成假样本,将假样本作为模拟新家族样本;
将模拟新家族样本和旧家族训练样本送入第二分类器网络,对第二分类器网络进行训练;其中,第二分类器网络在对旧家族训练样本进行分类时,计算中心损失、交叉熵损失以及限制特征量大小;第二分类器网络在对模拟新家族样本进行分类时,计算相对熵和压缩特征量大小;并且在训练过程中,将相对熵、中心损失、交叉熵损失、特征量损失以一定权重组合后进行反向传播;
迭代执行上述步骤1)至步骤4),直到完成训练。
4.根据权利要求3所述的基于对抗训练的恶意软件开放集家族分类方法,其特征在于,第二分类器网络在训练过程中,通过最...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。