本发明专利技术涉及一种基于软件图谱的阈值机制恶意软件检测方法及系统,属于软件安全技术领域。首先通过反编译技术来获取恶意软件的字节码,其次将连续8bit位的数据转化为0至255以内的无符号整数,用以生成恶意软件图谱。然后利用图像的纹理特点,并借助注意力机制,用于提取恶意软件的相关特征;最后通过软阈值化的方法,去除无关信息,进一步提升特征提取的准确性从而提高检测的性能。结果表明:基于软阈值机制的恶意软件检测方法在检测效率上明显优于其他传统的深度学习方法。解决了计算资源不足、模型训练速度慢、系统鲁棒性差等问题。系统鲁棒性差等问题。系统鲁棒性差等问题。
【技术实现步骤摘要】
一种基于软件图谱的阈值机制恶意软件检测方法及系统
[0001]本专利技术属于软件安全
,涉及一种在海量软件检测环境下的恶意软件检测方法,具体为恶意软件的图谱生成方法、基于恶意软件的软阈值方法和基于软阈值机制的恶意软件软件检测方法。
技术介绍
[0002]随着物联网、云计算、大数据等技术的进一步发展,各种应用软件给人们生活提供便捷服务的同时,也带来了诸多安全问题,如木马以及蠕虫病毒,诱导用户进行点击,从而感染用户的系统文件、注册列表,危害用户的信息安全,同时给软件的开发厂商以及国家的财产安全造成巨大的危害,严重影响互联网的健康发展。目前,在恶意软件检测领域还存在两方面的不足:一是随着恶意软件数量的增多,现有安全审查机制的准确性和可扩展性较差,同时恶意软件检测技术受到存储资源、计算资源和网络资源的限制,在海量恶意软件行为检测的场景下,已有的恶意软件检测机制的效率较差;其次,随着恶意软件开发技术的发展,很多恶意软件通过代码混淆技术来躲避检测,导致已有的恶意软件检测方法精度下降,鲁棒性变差。
技术实现思路
[0003]本专利技术所要解决的技术问题是:
[0004]随着恶意软件数量的增多,现有安全审查机制的准确性和可扩展性较差,同时恶意软件检测技术受到存储资源、计算资源和网络资源的限制,在海量恶意软件行为检测的场景下,已有的恶意软件检测机制的效率较差。为了避免现有技术的不足之处,本专利技术提供一种基于软阈值机制的恶意软件检测方法,借助软阈值机制来大幅度提高海量恶意软件检测场景下的检测系统准确率。<br/>[0005]为了解决上述技术问题,本专利技术采用的技术方案为:
[0006]一种基于软件图谱的阈值机制恶意软件检测方法,其特征在于包括:
[0007]S1:对恶意软件反编译得到二进制代码,对得到的二进制代码经过裁剪变换得到恶意软件图谱;
[0008]S2:将恶意软件图谱输入基于软阈值机制的恶意软件检测模型,提取恶意软件图谱中的特征并对恶意软件检测模型进行反复训练;
[0009]所述特征:恶意软件图谱样本通过向前传播和反向传播阶段,经过层层卷积池化后得到恶意软件图谱的浅层特征图;将浅层特征图谱经过软阈值处理,获取到恶意软件图谱的深层次特征;
[0010]S3:利用训练好的模型进行恶意软件检测。
[0011]本专利技术进一步的技术方案:S1具体步骤如下:
[0012]S11:打开逆向工具IDA
‑
Pro,点击导入按钮,将恶意软件上传至工具内,然后选择反编译按钮,利用逆向工具IDA
‑
Pro反编译恶意软件样本,获取恶意软件的源码文件;
[0013]S12:将恶意软件的源码文件反编译成二进制代码;
[0014]S13:将连续的8bit数据转化成0到255内的无符号整数;
[0015]S14:连续四个字节代表一条指令,分别对应R、G、B、A四个特征通道;
[0016]S15:按照固定728*384的长宽,对特征进行裁剪并转换为RGBA图像。
[0017]本专利技术进一步的技术方案:还包括:对于恶意软件图谱长度小于固定值,或者在裁剪过程中出现了二进制编码丢失的现象,均用使用0字节进行填充。
[0018]本专利技术进一步的技术方案:所述软阈值机制的具体公式如下:
[0019][0020]其中τ是每一个通道的阈值,软阈值化通过将[
‑
τ,τ]这个区间中的特征值置为0,将大于τ的特征减τ,将小于τ的特征值+τ这样使得每一个通道上的值都向着0的位置收缩,能够更快的加速收敛。
[0021]本专利技术进一步的技术方案:在软阈值机制中加入了BN方法,将每层神经网络任意神经元这个输入值的分布强行拉回到均值为0方差为1的标准正态分布,让激活输入值落在非线性函数对输入敏感的区域。
[0022]一种基于软件图谱的阈值机制恶意软件检测系统,其特征在于包括特征提取模块和恶意软件检测模块;
[0023]所述特征提取模块:对恶意软件反编译得到二进制代码,对得到的二进制代码经过裁剪变换得到恶意软件图谱;
[0024]所述恶意软件检测模块:将恶意软件图谱作为输入,采用基于软阈值机制提取恶意软件图谱中包含的特征对恶意软件检测模型进行反复训练。
[0025]本专利技术进一步的技术方案:所述特征提取模块包括恶意软件的反编译、特征通道的生成、基于特征通道的图像化。
[0026]本专利技术进一步的技术方案:所述恶意软件检测模块包括一个卷积层、一定量的神经网络层、一个批标准化、一个软阈值化模块、一个全局均值池化和一个全连接层。
[0027]一种计算机系统,其特征在于包括:一个或多个处理器,计算机可读存储介质,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现上述的方法。
[0028]一种计算机可读存储介质,其特征在于存储有计算机可执行指令,所述指令在被执行时用于实现上述的方法。
[0029]本专利技术的有益效果在于:
[0030]本专利技术提供的一种基于软件图谱的阈值机制恶意软件检测方法,该方法首先通过反编译技术来获取恶意软件的字节码,其次将连续8bit位的数据转化为0至255以内的无符号整数,用以生成恶意软件图谱。然后利用图像的纹理特点,并借助注意力机制,用于提取恶意软件的相关特征;最后通过软阈值化的方法,去除无关信息,进一步提升特征提取的准确性从而提高检测的性能。结果表明:基于软阈值机制的恶意软件检测方法在检测效率上明显优于其他传统的深度学习方法。解决了计算资源不足、模型训练速度慢、系统鲁棒性差等问题。
附图说明
[0031]附图仅用于示出具体实施例的目的,而并不认为是对本专利技术的限制,在整个附图中,相同的参考符号表示相同的部件。
[0032]图1基于软阈值机制的恶意软件检测模型;
[0033]图2恶意软件图谱;
[0034]图3软阈值函数表现;
[0035]图4软阈值函数输入对其输出的导数;
[0036]图5软阈值化模块;
[0037]图6分类模块结构示意图。
具体实施方式
[0038]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图和实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。此外,下面描述的本专利技术各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0039]本专利技术实施例提供了一种基于软件图谱的阈值机制恶意软件检测方法,在海量恶意软件检测的场景下,在保证检测系统准确率的同时,减少深度学习网络的开销。借助软阈值机制,通过为每一个通道设置自己独特的阈值来更好的去除恶意软件特征通道中的无关信息,进一步提升恶意软件特征学习的效率。同时利用恒等连接的残差网络解决梯度爆炸,网络模型过于复杂、特征不够明显等问题。
[0040]在本专利技术所提出的恶意软件检方本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于软件图谱的阈值机制恶意软件检测方法,其特征在于包括:S1:对恶意软件反编译得到二进制代码,对得到的二进制代码经过裁剪变换得到恶意软件图谱;S2:将恶意软件图谱输入基于软阈值机制的恶意软件检测模型,提取恶意软件图谱中的特征并对恶意软件检测模型进行反复训练;所述特征:恶意软件图谱样本通过向前传播和反向传播阶段,经过层层卷积池化后得到恶意软件图谱的浅层特征图;将浅层特征图谱经过软阈值处理,获取到恶意软件图谱的深层次特征;S3:利用训练好的模型进行恶意软件检测。2.根据权利要求1所述的一种基于软件图谱的阈值机制恶意软件检测方法,其特征在于S1具体步骤如下:S11:打开逆向工具IDA
‑
Pro,点击导入按钮,将恶意软件上传至工具内,然后选择反编译按钮,利用逆向工具IDA
‑
Pro反编译恶意软件样本,获取恶意软件的源码文件;S12:将恶意软件的源码文件反编译成二进制代码;S13:将连续的8bit数据转化成0到255内的无符号整数;S14:连续四个字节代表一条指令,分别对应R、G、B、A四个特征通道;S15:按照固定728*384的长宽,对特征进行裁剪并转换为RGBA图像。3.根据权利要求2所述的基于软件图谱的阈值机制恶意软件检测方法,其特征在于还包括:对于恶意软件图谱长度小于固定值,或者在裁剪过程中出现了二进制编码丢失的现象,均用使用0字节进行填充。4.根据权利要求1所述的基于软件图谱的阈值机制恶意软件检测方法,其特征在于所述软阈值机制的具体公式如下:其中τ是每一个通道的阈值,软阈值化通过将[
‑<...
【专利技术属性】
技术研发人员:姚烨,朱怡安,郭巍,李联,
申请(专利权)人:西北工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。