【技术实现步骤摘要】
一种基于深度学习的恶意软件行为检测与分类系统
[0001]本专利技术涉及信息安全
,具体涉及一种基于深度学习的恶意软件行为检测与分类系统。
技术介绍
[0002]恶意软件是黑灰产、境内外敌对势力实施网络攻击,进而实现非法牟利乃至颠覆政权等犯罪目的的主要攻击手段,给国家网络空间安全、经济安全和政治安全带来严重威胁。随着攻防对抗不断演化,越来越多的恶意软件通过复杂的加壳、混淆等技术手段,使得基于脱壳和反编译的静态分析、基于正则表达匹配的动态分析等传统方法束手无策,因而恶意软件相关检测与分类技术一直以来既是重点也是难点。
[0003]恶意软件检测方法主要分为静态分析和动态分析。然而,随着攻防对抗不断演化,越来越多的恶意软件通过复杂的加壳手段使得研究人员无法直接进行脱壳或反编译研究,需要基于沙箱捕获的恶意软件动态行为展开研究。与此同时,随着机器学习算法的快速发展,学术界、工业界开始探索将机器学习算法应用于恶意软件检测和分类之中,以实现恶意软件检测的自动化和智能化。
[0004]基于机器学习的恶意软件检测流程通常...
【技术保护点】
【技术特征摘要】
Neural Network)模型采用图分类的思路训练有监督的恶意软件分类与检测子模型,所述图分类包含图的结构信息和各个节点的属性信息,该模型采用图坍塌(Graph Coarsening)池化,将图划分为不同的子图,再将子图视为超级节点,从而形成一个坍塌的图,实现对图全局信息的层次化学习。9.根据权利要求1所述的一种基于深度学习的恶意软件行为检测与分类系统,其特征在于:所述的步骤S4中,利用TensorFlow库编写模型代码,基于深度强化学习DRL(Deep Reinforcement Learning)模型训练恶意软件分类与检测模型,将原始数据类型为字符串数组的API调用序列进行编码,采用One
‑
hot编码或聚类算法进行转换,该特征提取结果将作为后期深度强化学习子模型的输入;从离线学习的角度出发,将所有API调用序列的特征向量作为一种状态,对软件的持续分类作为一个动作,把原来的分类问题转换成一个决策问题,并通过强化学习中的Q学习方法进行求解,采用深度学习的方式作为函数近似的方法来学习Q值;由环境产生的奖励如下:1)如果状态是恶意软件种类i的,动作输出为a
i
,则奖励为2;2)如果状...
【专利技术属性】
技术研发人员:刘晶,唐梓文,吴铤,齐永兴,王淳,谢作樟,
申请(专利权)人:北京航空航天大学杭州创新研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。