【技术实现步骤摘要】
一种基于深度学习的多模型融合计算机病毒检测方法
[0001]本专利技术涉及计算机病毒样本分析
,特别涉及一种基于深度学习的多模型融合计算机病毒检测方法。
技术介绍
[0002]传统病毒检测与分析主要基于文件特征匹配的方式,具有以下缺点:(1)滞后性,只能对目前已存在的病毒进行检测,对未知病毒无能为力;(2)维护特征库成本高,病毒检出能力与特征库丰富程度正相关,要想获得优秀检测效果,需要耗费大量人力维护特征库;(3)错误检测率较高,易将普通文件误报为病毒文件。
[0003]如今,随着病毒加壳、加密技术的发展,基于文件特征的病毒检测流程复杂,应对未知病毒能力差。基于样本行为的检测方法应运而生,通过对样本行为进行监控与检测,将敏感行为汇总为行为点列表,将样本表现出的行为点与行为列表匹配,从而判断是否为病毒文件。基于样本行为的病毒检测方法,相较于文件特征检测,在未知病毒文件检测方面有所改善,但检测错误率仍然较高,需要将检测结果结合人工判断,不能够直接、准确地做出是否为病毒文件的判断。
[0004]深度学习是机器...
【技术保护点】
【技术特征摘要】
1.一种基于深度学习的多模型融合计算机病毒检测方法,其特征在于,包括:采集病毒样本,得到病毒样本文件;将病毒样本文件输入预设的第一模型Y2进行测试,得到从第一模型输出的病毒有害性概率的第一输出值y2;将病毒样本文件输入预设的第二模型Y1进行测试,得到从第二模型输出的病毒有害性概率的第二输出值y1;将第一模型和第二模型的输出加权融合,得到输出病毒有害性概率的融合函数其中,w1为第一输出值的权重,0<w1<1,w2为第二输出值的权重,0<w2<1,w1+w2=1。2.根据权利要求1所述的基于深度学习的多模型融合计算机病毒检测方法,其特征在于,所述第一模型包括多层感知输出模型,所述方法还包括,将病毒样本文件输入第一模型Y2进行测试前,对多层感知输出模型进行训练:将病毒样本文件、病毒附属文件和普通文件组成完整的训练集;将训练集中的向量输入多层感知检测模型进行训练,得到训练后的第一模型Y2。3.根据权利要求2所述的基于深度学习的多模型融合计算机病毒检测方法,其特征在于,所述将病毒样本文件输入第一模型Y2进行测试,输出病毒有害性概率的第一输出值y2,包括:在训练集中选取10个样本向量,作为模型的输入数据,X=[X1,X2,X3,...X
10
],X∈R
10
×
N
,其中,R为大于0的实数,N表示输入的节点数目,取大于0的实数;分别将10个样本向量输入到多层感知机模型中,inputX
i2
=X0,X
i2
∈R1×
n
,其中,i取大于0的实数;多层感知机模型进行前向计算,经过sigmod函数计算得到病毒有害性概率的第一输出值y2,output Y2,Y2∈R1×1。4.根据权利要求1所述的基于深度学习的多模型融合计算机病毒检测方法,其特征在于,所述第二模型包括残差神经网络模型,所述将病毒样本文件输入第二模型Y1进行测试,输出病毒有害性概率的第二输出值y1,包括:对所述病毒样本文件进行数据预处理,将二进制的病毒样本文件转换为三维矩阵病毒数据;所述第二模型Y1采用残差神经网络模型;将所述三维矩阵病毒数据输入残差神经网络模型,输出病毒有害性概率的第二输出值y1。5.根据权利要求4所述的基于深度学习的多模型融合计算机病毒检测方法,其特征在于,所述对病毒样本文件进行数据预处理,将二进制的病毒样本文件转换为三维矩阵病毒数据,包括:获取病毒样本文件的原始大小n,将病毒样本文件转换为长度为n的字节向量X0;将字节向量X0的长度截断为N2,其中N=max(a),a2<=n,得到长度为N2的字节向量X1;将字节向...
【专利技术属性】
技术研发人员:吕绍文,李越,
申请(专利权)人:安芯网盾北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。