本发明专利技术提供一种基于深度学习的木马家族分类方法和系统,通过将木马的代码转换为灰度图像,并且为了克服灰度图像的精确度缺陷,在灰度图像的基础上,补充了一个木马的特征值的维度,更加突显某些木马家族的特征,把木马的分类问题转换为图像的分类问题,从而借助深度学习在图像分类上的优势,解决已知检测手段跟不上木马的迭代速度的问题。不上木马的迭代速度的问题。不上木马的迭代速度的问题。
【技术实现步骤摘要】
一种基于深度学习的木马家族分类方法和系统
[0001]本申请涉及网络安全
,尤其涉及一种基于深度学习的木马家族分类方法和系统。
技术介绍
[0002]随着网络的飞速发展,恶意软件的数量呈指数级增长,恶意代码已经成为当今网络的主要威胁。恶意代码,以下以木马为例,通常都有一个演化的过程,会衍生和迭代出很多不同的版本,这些不同版本的木马往往具有一定的相关性,可以将它们归为一个木马家族。
[0003]由于已知检测手段跟不上木马的迭代速度,需要能够根据木马家族特点溯源和归纳出针对整个木马家族的通用性防护措施。
[0004]同时,随着机器学习的快速发展,深度学习技术将会在特征溯源和归纳中发挥不可替代的作用,能够快速、准确地处理海量数据。
[0005]因此,急需一种针对性的基于深度学习的木马家族分类方法和系统。
技术实现思路
[0006]本专利技术的目的在于提供一种基于深度学习的木马家族分类方法和系统,将木马的代码转换为图像,把木马的分类问题转换为图像的分类问题,从而借助深度学习在图像分类上的优势,解决已知检测手段跟不上木马的迭代速度的问题。
[0007]第一方面,本申请提供一种基于深度学习的木马家族分类方法,所述方法包括:
[0008]接收外部装置送入的木马,提取该木马的二进制代码和特征值,将所述二进制代码编码映射为第一一维向量,将所述特征值向量化为第二一维向量,每个向量值的范围限定在0
‑
255之间;
[0009]根据木马文件的大小设定木马图像的宽度,创建一个二维数组矩阵,所述木马图像的宽度作为该二维数组矩阵的列数;
[0010]将所述第一一维向量的向量值逐个写入所述二维数组矩阵中,再将所述第二一维向量的向量值逐个接着写入所述二维数组矩阵中,将所述二维数组矩阵的每一个点作为一个灰度像素点,得到对应的所述木马图像;
[0011]按照服务器的分类器所需的宽度,将所述木马图像进行统一预处理,当该木马图像的宽度不满足分类器所需的宽度时,采用图像插值算法,对木马图像进行图像缩放处理,得到待分类木马图像,送入服务器的分类器;
[0012]所述分类器采用神经网络,接收输入的所述待分类木马图像,并且使用若干神经元组成双向隐藏层,所述神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此形成双向线路,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行元素
对位相加;
[0013]提取神经网络的全连接中间层输出作为所述待分类木马图像的新特征,根据该新特征进行分类,根据所述分类的结果确定出所述待分类木马图像对应的木马家族,向外部装置下发该木马家族对应的通用性防护措施。
[0014]第二方面,本申请提供一种基于深度学习的木马家族分类系统,所述系统包括:
[0015]提取单元,用于接收外部装置送入的木马,提取该木马的二进制代码和特征值,将所述二进制代码编码映射为第一一维向量,将所述特征值向量化为第二一维向量,每个向量值的范围限定在0
‑
255之间;
[0016]图像化单元,用于根据木马文件的大小设定木马图像的宽度,创建一个二维数组矩阵,所述木马图像的宽度作为该二维数组矩阵的列数;将所述第一一维向量的向量值逐个写入所述二维数组矩阵中,再将所述第二一维向量的向量值逐个接着写入所述二维数组矩阵中,将所述二维数组矩阵的每一个点作为一个灰度像素点,得到对应的所述木马图像;
[0017]预处理单元,用于按照服务器的分类器所需的宽度,将所述木马图像进行统一预处理,当该木马图像的宽度不满足分类器所需的宽度时,采用图像插值算法,对木马图像进行图像缩放处理,得到待分类木马图像,送入服务器的分类器;
[0018]分类器,位于服务器并采用神经网络,用于接收输入的所述待分类木马图像,并且使用若干神经元组成双向隐藏层,所述神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此形成双向线路,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行元素对位相加;提取神经网络的全连接中间层输出作为所述待分类木马图像的新特征,根据该新特征进行分类;
[0019]执行单元,用于根据所述分类的结果确定出所述待分类木马图像对应的木马家族,向外部装置下发该木马家族对应的通用性防护措施。
[0020]第三方面,本申请提供一种基于深度学习的木马家族分类系统,所述系统包括处理器以及存储器:
[0021]所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
[0022]所述处理器用于根据所述程序代码中的指令执行第一方面四种可能中任一项所述的方法。
[0023]第四方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行第一方面四种可能中任一项所述的方法。
[0024]有益效果
[0025]本专利技术提供一种基于深度学习的木马家族分类方法和系统,通过将木马的代码转换为灰度图像,并且为了克服灰度图像的精确度缺陷,在灰度图像的基础上,补充了一个木马的特征值的维度,更加突显某些木马家族的特征,把木马的分类问题转换为图像的分类问题,从而借助深度学习在图像分类上的优势,解决已知检测手段跟不上木马的迭代速度的问题。
附图说明
[0026]为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1为本专利技术基于深度学习的木马家族分类方法的大致流程图;
[0028]图2为本专利技术基于深度学习的木马家族分类系统的架构图。
具体实施方式
[0029]下面结合附图对本专利技术的优选实施例进行详细阐述,以使本专利技术的优点和特征能更易于被本领域技术人员理解,从而对本专利技术的保护范围做出更为清楚明确的界定。
[0030]同一木马家族的图像纹理具有相似性,不同木马家族的图像纹理具有一定的区别,木马代码图像化可以呈现木马的整体结构和特征,无需传统的反向分析木马操作。
[0031]但是在某些场景中,木马代码图像化后进行检测,可能准确度不够高,常见的改进方法是采用转换为彩色图像。
[0032]而本专利技术创造性地在灰度图像的基础上,补充了一个维度:木马的特征值。将提取的木马特征值向量化为一个一维向量,也写入到二维数组矩阵中,进而使得木马图像中也携带有木马特征值,可以进一步突显某些木马家族的特征。
[0033]图1为本申请提供的基于深度学习的木马家族分类方法本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于深度学习的木马家族分类方法,其特征在于,所述方法包括:接收外部装置送入的木马,提取该木马的二进制代码和特征值,将所述二进制代码编码映射为第一一维向量,将所述特征值向量化为第二一维向量,每个向量值的范围限定在0
‑
255之间;根据木马文件的大小设定木马图像的宽度,创建一个二维数组矩阵,所述木马图像的宽度作为该二维数组矩阵的列数;将所述第一一维向量的向量值逐个写入所述二维数组矩阵中,再将所述第二一维向量的向量值逐个接着写入所述二维数组矩阵中,将所述二维数组矩阵的每一个点作为一个灰度像素点,得到对应的所述木马图像;按照服务器的分类器所需的宽度,将所述木马图像进行统一预处理,当该木马图像的宽度不满足分类器所需的宽度时,采用图像插值算法,对木马图像进行图像缩放处理,得到待分类木马图像,送入服务器的分类器;所述分类器采用神经网络,接收输入的所述待分类木马图像,并且使用若干神经元组成双向隐藏层,所述神经元分为两组,一组为前向反馈线路,另一组为反向反馈线路,由此形成双向线路,每个反馈线路中的当前神经元接收上一个神经元传递来的隐藏层信息,以及接收所述上一个神经元相邻的邻居神经元传递来的状态信息,输出当前时刻的隐藏层信息和当前神经元更新后的状态信息,输出至所述时序特征模块的累加单元进行元素对位相加;提取神经网络的全连接中间层输出作为所述待分类木马图像的新特征,根据该新特征进行分类,根据所述分类的结果确定出所述待分类木马图像对应的木马家族,向外部装置下发该木马家族对应的通用性防护措施。2.根据权利要求1所述的方法,其特征在于:所述采用图像插值算法包括:最近邻插值算法、双线性插值算法和双三次插值算法。3.根据权利要求1所述的方法,其特征在于:所述提取该木马的二进制代码和特征值之前,还包括侦测出该木马代码的加壳类型和签名,针对不同的加壳木马代码进行脱壳处理。4.根据权利要求2或3任一项所述的方法,其特征在于:所述分类包括多次抽取,创建多棵决策树,将每棵决策树的输出结果进行加权累加投票。5.一种基于深度学习的木马家族分类系统,其特征在于,所述...
【专利技术属性】
技术研发人员:周瑞红,刘玉佳,侯小超,
申请(专利权)人:北京国瑞数智技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。