【技术实现步骤摘要】
一种基于时序网络的交互增强型恶意变种检测方法
[0001]本专利技术涉及网络安全
,尤其涉及一种基于时序网络的交互增强型恶意变种检测方法。
技术介绍
[0002]近年来,越来越多的黑客寻求诸如打包,混淆和反沙箱延迟等变种转换技术来生成新的恶意变种,这极大地损害了受害者的主机,甚至窃取了主机用户敏感的数据源,造成重大财务损失。据统计,每个恶意软件家族的变异率已从2001年的5:1上升到2019年的1,000:1。新的恶意变种与原始恶意软件的差异不到2%,他们可以重复使用核心模块。
[0003]现有的恶意软件变种的检测方法分为传统静态检测方法、传统动态检测方法以及基于图的检测方法。
[0004]静态的检测的方法就是不需要执行恶意软件,直接通过反编译工具从恶意软件的二进制文件中提取特征,现有的研究[1
‑
3]大都提取操作码、字节码和API调用等单一或混合特征来表示恶意软件变种的二进制文件,再采用机器学习或深度学习方法检测恶意软件变种。
[0005]2017年,Raff等人提取恶意软件
【技术保护点】
【技术特征摘要】 【专利技术属性】
1.一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:首先,将从VirusTotal网站收集的各个恶意家族的PE文件样本投入到Cuckoo沙箱运行得到它们json格式的行为报告,基于所有恶意变种样本的行为报告,通过恶意家族生态系统网构造阶段构建一个大规模的贴近实际的恶意家族生态系统网,之后有区分地为每个恶意变种所表示的进程实体通过时序嵌入阶段学习一个时序嵌入;并通过结构嵌入阶段学习一个结构嵌入,最终通过变种检测阶段集成两个嵌入输入到多层感知器进行多分类,输出待测变种真正的恶意类型。2.如权利要求1所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述恶意家族生态系统网构造阶段建立一个恶意家族生态系统网G,首先对于每个样本的行为报告,提取2种时序交互(P
‑
>P和P
‑
>API),并组织成四元组(Tar,Nei,f,t),依次插入恶意家族生态系统网G中,且每条边都标记相应的交互时间作为标签;之后对于每个样本的行为报告,提取4种静态交互(P
‑
>F、P
‑
>S、P
‑
>R、和P
‑
>N),将其组织成三元组(Tar,Nei,f),依次插入到恶意家族生态系统网G中,最终形成一个细粒度的恶意家族生态系统网G,以及对应的邻接矩阵A
stru
和A
Temp
。3.如权利要求2所述一种基于时序网络的交互增强型恶意变种检测方法,其特征在于:所述时序嵌入阶段通过步骤2.1
‑
步骤2.3实现:步骤2.1:给定恶意家族生态系统网G中目标进程Tar当前的的时序交互e
t
(Tar,Nei,f,t),调用强相关团算法(SCC)计算e
t
.Nei和t时刻之前交互的API的Person相关性系数,如果Per
t,i
(e
t
.Nei,e
i
.Nei)≥0.6,则将e
t
加入之前的强相关团C
last
,否则e
t
单独形成一个新的团C
n
;步骤2.2:给定C
last
或C
n
,以及存储在MemoryTar和MemoryNei里的各相关节点最近的记忆,输入到两个联合的GRUs中来实时更新目标进程和邻节点最新的时序嵌入:h
Nei
(t)=GRU
Nei
(h
Nei
(t
‑
),h
Tar
(t
‑
),ΔNei)=σ(w1h
Nei
(t
‑
)+w2h
Tar
(t
‑
技术研发人员:李博,刘旭东,刘陈,苏明,甄子扬,
申请(专利权)人:北京航空航天大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。