【技术实现步骤摘要】
【国外来华专利技术】通过卷积网络的可执行文件的恶意软件分类相关申请的交叉引用本申请要求2017年11月8日提交的题为“通过卷积网络的可执行文件的恶意软件分类”、申请序列号为62/583,366的当前待决的美国临时专利的优先权,其全部公开通过引用并入本文。
本专利技术通常涉及计算机系统,更具体地,涉及使用卷积网络对可执行文件进行分类。
技术介绍
Malware是“恶意软件(malicioussoftware)”的缩写,是可用于在用户不知情或未经用户同意的情况下破坏计算机操作、毁坏数据、收集敏感信息或访问私人计算机系统的软件。此类恶意软件的示例包括软件病毒、特洛伊木马、根程序病毒包(rootkits)、勒索软件等。正确识别哪些文件包括恶意软件以及哪些文件是良性的可能是一项艰巨的任务,因为恶意软件开发人员经常混淆代码或采取其他措施来隐藏软件的恶意性质。考虑到恶意软件开发人员采取的避免检测的措施,可能很难将可执行文件正确地分类为没有恶意软件或包括恶意软件。通常情况下,对可执行文件进行分类需要大量的人力。然而,考虑到存在于所有类型的计算设...
【技术保护点】
1.一种方法,包括:/n接收可执行文件,其中,所述可执行文件由一个或多个字节组成;/n通过将所述可执行文件中的每个字节转换为向量来嵌入所述可执行文件;/n通过使所述向量通过卷积神经网络(CNN)来确定所述可执行文件是否包括恶意软件,其中,CNN包括多个卷积层和全局平均池化层;以及/n提供指示确定所接收的可执行文件是否包括所述恶意软件的输出。/n
【技术特征摘要】
【国外来华专利技术】20171108 US 62/583,3661.一种方法,包括:
接收可执行文件,其中,所述可执行文件由一个或多个字节组成;
通过将所述可执行文件中的每个字节转换为向量来嵌入所述可执行文件;
通过使所述向量通过卷积神经网络(CNN)来确定所述可执行文件是否包括恶意软件,其中,CNN包括多个卷积层和全局平均池化层;以及
提供指示确定所接收的可执行文件是否包括所述恶意软件的输出。
2.根据权利要求1所述的方法,其中,每个字节是八维向量。
3.根据权利要求1所述的方法,其中,所述CNN还包括最大池化层和多个全连接层,并且其中,所述多个卷积层包括第一组卷积层和第二组卷积层。
4.根据权利要求3所述的方法,其中,所述使所述向量通过所述CNN包括:
将所述向量传递到所述第一组卷积层的输入;
将所述第一组卷积层的输出传递到最大池化层的输入;
将所述最大池化层的输出传递到所述第二组卷积层的输入;
将所述第二组卷积层的输出传递到所述全局平均池化层的输入;以及
将所述全局平均池化层的输出传递给所述全连接层的输入。
5.根据权利要求4所述的方法,还包括:由所述全局平均池化层将所述第二组卷积层的输出投影到固定大小表示。
6.根据权利要求4所述的方法,还包括:
将所述第一组卷积层的相邻卷积层之间的第一卷积核移位所述向量的四个元素;
将所述第二组卷积层的相邻卷积层之间的第二卷积核移位所述向量的八个元素。
7.根据权利要求1所述的方法,还包括:
响应于确定所述可执行文件包括所述恶意软件,拒绝所述可执行文件的执行;以及
响应于确定所述可执行文件不包括所述恶意软件,执行所述可执行文件。
8.一种系统,包括:
至少一个处理器;以及
非暂时性计算机可读存储介质,其上存储有程序,所述程序使所述至少一个处理器执行以下步骤:
接收可执行文件,其中,所述可执行文件由一个或多个字节组成;
通过将所述可执行文件中的每个字节转换为向量来嵌入所述可执行文件;
通过使所述向量通过卷积神经网络(CNN)来确定所述可执行文件是否包括恶意软件,其中,CNN包括多个卷积层和全局平均池化层;以及
提供指示确定所接收的可执行文件是否包括所述恶意软件的输出。
9.根据权利要求8所述的系统,其中,每个字节是八维向量。
10.根据权利要求8所述的系统,其中,所述CNN还包括最大池化层和多个全连接层,并且其中,所述多个卷积层包括第一组卷积层和第二组卷积层。
11.根据权利要求10所述的系统,其中,所述使所述向量通过所述CNN包括:
将所述向量传递到所述第一组卷积层的输入;
将所述第一组卷积层的输出传递到最大池化层的输入;
将所述最大池化层的输出传递到所述第二组卷积层的输入;
将所述第二组卷积层的输出传递到所述全局平均池化层的输入;以及
将所述全局平均池化层的输出传递给所述全连接层的输入。
12.根据权利要求11所述的系统,还包括:由所述全局平均池化层将所述第二组卷积层的输出投影到固定大小表示。
13.根...
【专利技术属性】
技术研发人员:M克尔卡尔,M巴莱克,O斯维克,M维杰梅尔卡,
申请(专利权)人:爱维士软件有限责任公司,尤斯塔夫信息公司,
类型:发明
国别省市:捷克;CZ
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。