【技术实现步骤摘要】
内存片段恶意代码入侵检测方法、系统、存储介质及设备
[0001]本专利技术属于计算机恶意软件检测
,尤其涉及内存片段恶意代码入侵检测方法、系统、存储介质及设备。
技术介绍
[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
[0003]随着计算机和互联网技术的蓬勃发展,恶意软件的数量呈指数级的增长,恶意程序呈现出变种多、抗检测技术更新更快的发展特点,并通过无文件恶意软件攻击方式来突破安全防护系统的检测,对企业安全防御者构成严重威胁和挑战。无文件恶意软件攻击是一种潜入受害组织从内存中执行代码的方法,它没有在计算机磁盘上使用恶意文件或文件片段,隐匿了自身及其攻击痕迹。然而,他们无法将其在内存中的痕迹完全删除。因此,内存分析是系统性分析无源码、恶意性未知的程序的最好方法之一。
[0004]另外,内存的分页和置换机制使得内存中的大部分信息变的不完整,而且程序在执行时不会把全部的信息调入内存,只会先把部分信息调入内存,因此无法获取完整的文件,很难通过专业的分析方式对于获取到的...
【技术保护点】
【技术特征摘要】
1.内存片段恶意代码入侵检测方法,其特征在于,包括:获取待检测内存文件;对待检测内存文件依次进行二进制转化和分词预处理后,基于最优的片段位置和长度组合进行片段截取,得到预测片段;将预测片段输入最优的神经网络模型,对预测片段进行检测,得到待检测内存文件是否被植入恶意代码的结果;其中,神经网络模型采用嵌入层对输入预测片段进行升维后,通过卷积核大小不同的卷积层卷积后进行池化,最后通过展平层和全连接层转化后输入分类器。2.如权利要求1所述的内存片段恶意代码入侵检测方法,其特征在于,所述分词预处理的具体步骤为:将二进制转化后得到的二进制文件转化为十进制,得到十进制文件;判断十进制文件是否达到预设长度,若没有,则将十进制文件中的数据整体加1后,用0来补齐。3.如权利要求1所述的内存片段恶意代码入侵检测方法,其特征在于,所述片段位置和长度组合为:对内存文件从头部取1024的整数倍的长度的数据作为预测片段;或者,对内存文件从尾部取1024的整数倍的长度的数据作为预测片段;或者,对内存文件选取多个非连续的子片段,将多个非连续的子片段进行组合后作为预测片段。4.如权利要求1所述的内存片段恶意代码入侵检测方法,其特征在于,所述最优的神经网络模型和最优的片段位置和长度组合的获取步骤为:获取恶意样本集和良性样本集,并对恶意样本集和良性样本集中的每个内存文件均进行二进制转化和分词预处理后,得到初始训练测试集;对初始训练测试集中的每个内存文件均基于若干种片段位置和长度组合进行片段截取,得到若干种训练测试集;采用每种训练测试集分别对神经网络模型进行训练和测试,将准确率最高的神经网络模型作为最优神经网络模型,其用的训练测试集在进行片段截取时采用的片段位置和长度组合作为最优的片段位置和长度组合。5.如权利要求4所述的内存片段恶意代码入侵检测方法,其特征在于,采用训练测试集对神经网络模型进行训练和测试的步骤为:(a)将训练测试集划分为训练集和测试集;(b)基于训练集对神经网络模型更新权值,经过若干次迭代,直到损失函数达到最小,输出神经网络模型;(c)用输出的神经网络模型对测试集中的样本进行分类,当分类的准确率小于阈值时,返回步骤(b...
【专利技术属性】
技术研发人员:张淑慧,胡长栋,王连海,王金鹏,匡瑞雪,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。