【技术实现步骤摘要】
一种木马图片检测方法、系统及计算机可读存储介质
[0001]本专利技术属于木马检测
,具体涉及一种木马图片检测方法、系统及计算机可读存储介质。
技术介绍
[0002]互联网每年新增大量图像,但有的图像看似正常,实则暗藏木马代码,利用神经网络可以对木马图像进行解码检测分类,以净化网络环境,保障互联网的健康发展。
[0003]现有技术中,公开号为CN111723368A的专利文献公开了一种基于Bi
‑
LSTM和自注意力的恶意代码检测方法,将恶意代码转换为长度统一的字节流序列,每个字节元素利用多维独热编码表示;采用双向长短时记忆Bi
‑
LSTM模型自动学习字节流序列特征,并输出各时间步的隐状态;利用自注意力机制对各时间步隐状态分配权重,将各隐状态的线性加权和作为样本序列的深层特征表示;对该深层特征表示进行全连接神经网络学习和分类,输出样本预测概率。另外,公开号为CN112995150A的专利文献公开了一种基于CNN
‑
LSTM融合的僵尸网络检测方法,获取网络数据集...
【技术保护点】
【技术特征摘要】
1.一种木马图片检测方法,其特征在于,包括以下步骤:S1、对图像数据集中的图片进行解码、切分;其中,图像数据集包括正常图片和木马图片;S2、根据切分得到的文本样本计算字符串熵及字符串可读性;还对切分得到的文本样本进行文本向量化,计算字符串方差、字符串峰度及字符串偏度;其中,字符串熵、字符串可读性、字符串方差、字符串峰度及字符串偏度构成文本总体特征;S3、对文本向量化得到的文本向量分别通过加入注意力的双向LSTM和三个不同kernel_size的并行CNN进行特征提取,得到LSTM特征和CNN特征;S4、将文本总体特征、LSTM特征和CNN特征组合,之后依次通过全连接层和softmax激活函数,建立混合神经网络模型并进行权重训练;S5、将待检测图片进行解码、切分,然后经过步骤S2、S3得到待检测图片对应的文本总体特征、LSTM特征和CNN特征,并输入权重训练之后的混合神经网络模型,输出待检测图片标记为正常图片或木马图片。2.根据权利要求1所述的木马图片检测方法,其特征在于,所述步骤S1及S5中的切分,包括:图片解码后,从前往后每K个字符切分作为一个文本样本,不足K个字符部分取最后K个字符作为文本样本,K取值为正整数。3.根据权利要求2所述的木马图片检测方法,其特征在于,所述步骤S2中,字符串熵f
en
为:其中,n
i
为文本样本中第i个字符的数量,L为文本样本的字符串长度,p
i
为第i个字符的数量占比,q为文本样本中去重之后的字符数量。4.根据权利要求2所述的木马图片检测方法,其特征在于,所述步骤S2中,字符串可读性f
re
为:其中,n
yuan
为文本样本的字符串中元音字母的个数,L为文本样本的字符串长度。5.根据权利要求2所述的木马图片检测方法,其特征在于,所述K取值为100。6.根据权利要求1所述的木马图片检测方法,其特征在于,所述步骤S3中,对文本向量化得到的文本向量通过加入注意力的双向LSTM进行特征提取,包括:对文本向量进行Embedding编码,之后通过双向LSTM得到(none,n,m)格式的原始特征,接着依次通过全连接层、flatt...
【专利技术属性】
技术研发人员:林建洪,陈晓莉,赵祥廷,郝辰亮,朱崇,章亮,
申请(专利权)人:浙江鹏信信息科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。