本发明专利技术适用于网络及信息安全技术领域,提供了一种基于注意力机制的多元特征融合恶意软件检测方法,包括如下步骤:步骤S1:建立基于注意力机制的权重生成算法;步骤S2:结合CNN和RNN算法的优势去学习API序列的局部特征与API序列之间的依赖关系步骤S3:将不同通道所提取的特征进行融合,对系统API调用序列进行建模;本发明专利技术可以在基于系统API调用序列的恶意软件检测中取得良好的效果,大大提高了恶意程序检测的效率和准确性,在恶意程序检测领域具有广阔的应用前景,此外,可以应用在恶意软件检测领域外,还可以迁移应用于其他的序列数据分类的领域,这对于机器学习内广泛存在的分类问题具有一定的借鉴意义。具有一定的借鉴意义。具有一定的借鉴意义。
【技术实现步骤摘要】
一种基于注意力机制的多元特征融合恶意软件检测方法
[0001]本专利技术属于网络及信息安全
,尤其涉及一种基于注意力机制的多元特征融合恶意软件检测方法。
技术介绍
[0002]恶意软件API序列。API是Windows操作系统在动态连接库中给用户提供系统服务的接口函数,运行在用户模式下或内核模式下。其中在内核模式下运行的API就是Native API,是动态连接库中的内核级系统服务的接口函数,其与用户模式下的API有很大的区别。Native API调用序列能够在内核级层次上反映应用程序的特征,因此能够用来作为异常检测的数据源。动态API调用序列的提取是一个自动化的动态分析过程,它通过在真机分析环境中动态运行和监控每个PE文件得到其真实且完整的API调用序列。由于可移植执行文件对应用程序接口(Application Programming Interface,API)的调用能够反映出文件的行为信息,因此作为基于动态特征的智能恶意代码检测方法使用的最有效的特征之一。
[0003]注意力机制(Attention机制),Attention机制最早是用于对话系统或机器翻译等任务中,主要是受人的注意力的启发,人在阅读时一般只会重点关注能够解决问题的关键信息,模型处理机制是通过合理分配注意力,对关键的部分分配较多的注意力,而对于非关键部分分配较少的注意力。Attention机制能够模仿人的思维方式,其原理是在Decoder阶段计算出输入序列中每个元素对于当前输出y的注意力分布概率,使得对于每个输出,可以计算唯一的对应中间语义编码C,这样模型对于不一样的输入分配了不同的权值,突出权值大的数据,弱化权值小的数据,从而改善分类效果。
[0004]卷积神经网络(CNN),卷积神经网络(CNN)最早应用于计算机视觉中,Yoon Kim首次提出TextCNN。将卷积神经网络CNN应用到文本分类任务,利用多个不同size的kernel来提取句子中的关键信息,从而能够更好地捕捉局部相关性。卷积层已成功地应用于序列分类和文本分类问题。CNN主要通过卷积层和池化层来学习输入的局部特征,对表征的重要信息进行提取与保留。CNN无需过多的预处理工作便能够达到预定效果,显著地减轻了对特征工程的依赖。CNN主要由输入层、卷积层、池化层和全连接层组成。对于应用于自然语言处理及序列处理领域的CNN而言,输入层为词汇的向量表示。
[0005]门限循环单元GRU,门限循环单元是对循环神经网络的改进。GRU通过引入更新门与重置门,有效地解决了RNN网络在训练过程的梯度爆炸与梯度弥散问题。相较LSTM而言,GRU精简了网络结构,减少了模型参数,提升了模型训练速度。在序列数据处理任务中,GRU网络可以学习词语在句子中的长期依赖关系,更好地对文本进行表征建模。GRU网络通过记忆单元来记忆存储句子中重要的特征信息,同时能够对不重要信息进行遗忘。
[0006]目前,恶意软件成为威胁计算机系统安全和网络发展的重要问题。传统检测方法必须获得恶意软件的签名之后才能对其进行检测,使得计算机感染新型恶意软件的概率增加并且为检测到恶意软件增多困难。随着机器学习被用于恶意软件检测领域,恶意软件检测技术配合使用机器学习可以在一定程度上提高泛化能力,提升恶意样本的识别率,但仍
然无法很好的兼顾序列之间的关系,未对API的参数进行合理利用,丢失了大量原始信息,且难于在其他数据集的基础上验证模型的准确性与泛化性。基于深度学习的恶意样本检测成为热点,前向神经网络兴起之后,深度学习模型卷积神经网络(CNN)和循环神经(RNN)以及它们的改进版本成为恶意样本检测的重点。但上述方法都无法很好的同时兼顾API序列间的局部特征与API序列间的依赖关系。
技术实现思路
[0007]本专利技术提供一种基于注意力机制的多元特征融合恶意软件检测方法,旨在解决上述技术问题。
[0008]本专利技术是这样实现的,一种基于注意力机制的多元特征融合恶意软件检测方法,包括如下步骤:
[0009]步骤S1:建立基于注意力机制的权重生成算法;
[0010]步骤S2:结合CNN和RNN算法的优势去学习API序列的局部特征与API序列之间的依赖关系;
[0011]步骤S3:将不同通道所提取的特征进行融合,对系统API调用序列进行建模;
[0012]步骤S4:引入注意力机制,使模型能够更加关注对判断情感极性影响大的部分。
[0013]优选的,所述步骤S1中,基于注意力机制的权重生成算法由多元特征融合层和恶意软件检测层组成,CNN和GRU的特征通过多元特征融合层拼接,恶意软件检测层使用注意力机制对特征进行权重。
[0014]优选的,所述CNN和GRU分别用于提取图像特征和语义特征。
[0015]优选的,所述恶意软件检测层将特征发送给softmax函数进行分类。
[0016]优选的,所述模型包括作为模型输入的词向量嵌入层、对序列提取特征的多通道卷积层和GRU层、对提取特征进行融合的模型融合层、对不同的特征分配权重的注意力层。
[0017]优选的,所述多通道卷积层使用尺寸不同的卷积核,提取不同粒度的序列特征信息。
[0018]优选的,所述注意力层对不同的特征分配权重,把握API序列中的重要信息,最后将输出送入分类器中。
[0019]与现有技术相比,本专利技术的有益效果是:本专利技术的一种基于注意力机制的多元特征融合恶意软件检测方法,可以在基于系统API调用序列的恶意软件检测中取得良好的效果,大大提高了恶意程序检测的效率和准确性,在恶意程序检测领域具有广阔的应用前景,此外,可以应用在恶意软件检测领域外,还可以迁移应用于其他的序列数据分类的领域,这对于机器学习内广泛存在的分类问题具有一定的借鉴意义。
附图说明
[0020]图1为本专利技术的方法步骤示意图;
[0021]图2为本专利技术中的模型结构示意图;
[0022]图3为本专利技术中的权重生成算法的ATT
‑
CNN
‑
GRU中注意力机制结构示意图;
具体实施方式
[0023]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。
[0024]请参阅图1
‑
3,本专利技术提供一种技术方案:一种基于注意力机制的多元特征融合恶意软件检测方法,包括如下步骤:
[0025]步骤S1:建立基于注意力机制的权重生成算法;
[0026]步骤S2:结合CNN和RNN算法的优势去学习API序列的局部特征与API序列之间的依赖关系;
[0027]步骤S3:将不同通道所提取的特征进行融合,对系统API调用序列进行建模;
[0028]步骤S4:引入注意力机制,使模型能够更加关注对判断情感极性影响大的部分。
[0029]如图2,在本实施方式中,模型包括词向量嵌入层、多通道卷积本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于注意力机制的多元特征融合恶意软件检测方法,其特征在于:包括如下步骤:步骤S1:建立基于注意力机制的权重生成算法;步骤S2:结合CNN和RNN算法的优势去学习API序列的局部特征与API序列之间的依赖关系;步骤S3:将不同通道所提取的特征进行融合,对系统API调用序列进行建模;步骤S4:引入注意力机制,使模型能够更加关注对判断情感极性影响大的部分。2.如权利要求1所述的一种基于注意力机制的多元特征融合恶意软件检测方法,其特征在于:所述步骤S1中,基于注意力机制的权重生成算法由多元特征融合层和恶意软件检测层组成,CNN和GRU的特征通过多元特征融合层拼接,恶意软件检测层使用注意力机制对特征进行权重。3.如权利要求2所述的一种基于注意力机制的多元特征融合恶意软件检测方法,其特征在于:所述CNN和GRU分别用于提...
【专利技术属性】
技术研发人员:薛均晓,翟蓝航,石磊,高宇飞,刘成明,
申请(专利权)人:郑州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。