本发明专利技术公开了一种基于深度学习的恶意软件分类方法、系统及装置,该方法包括:构建神经网络模型;获取恶意软件中的内存转储图像;利用卷积层、池化层、深度可分离卷积层、坐标注意力模块的通道注意力模块对内存转储图像进行特征提取,得到特征图像;通过金字塔池化模块对特征图像进行池化,并根据得到的输出数据向量获取分类结果。该系统包括:图像获取模块、初步特征提取模块、池化模块、可分离卷积模块、坐标注意力模块、通道注意力模块、金字塔池化模块和分类模块。通过使用本发明专利技术,能够提高恶意软件家族分类的精度。本发明专利技术可广泛应用于恶意软件检测技术领域。软件检测技术领域。软件检测技术领域。
【技术实现步骤摘要】
一种基于深度学习的恶意软件分类方法、系统及装置
[0001]本专利技术涉及恶意软件检测
,尤其涉及一种基于深度学习的恶意软件分类方法、系统及装置。
技术介绍
[0002]恶意软件是一种由攻击者开发,旨在破坏目标数字设备或窃取目标用户信息的一类软件。随着恶意软件制作工具的共享以及恶意软件作者技术水平的提高,近年来恶意软件的数量正在快速上升,越来越多的电子设备正在或者已经成为恶意软件的感染目标。
[0003]为了实现恶意软件的快速检测,基于内存转储的恶意软件分析是近年来越发受到关注的一种恶意软件分析方式。当一个被打包的恶意软件被加载到内存当中运行时,为了保证程序的正常执行,它必须要对自身的代码段以及数据段进行解压操作。此时,恶意软件的相关信息将不可避免地被暴露出来,为取证人员提供分析依据。
[0004]一般意义上,要对恶意软件进程进行内存转储分析,需要进行两步操作:(1)获取内存转储文件;(2)对内存转储文件进行分析。要获取内存转储文件,安全分析人员需要利用操作系统内核驱动程序或是沙盒软件来捕获恶意软件进程的内存转储。而在分析阶段,则可以将内存转储的信息输入到机器学习模型中进行训练。在以往的工作中,为了减少分析人员对领域专业知识的使用,研究人员通常将内存转储文件转换为图像,然后再从图像中提取出手工特征以输入到机器学习模型中进行训练。然而提取出的手工特征只能一定程度上反映了图像的纹理特点,图像的某些信息会被丢失,因而现有此类模型的分类精确度相对不太高。
技术实现思路
[0005]为了解决上述技术问题,本专利技术的目的是提供一种基于深度学习的恶意软件分类方法及、系统及装置,能够在减少模型容量和保证训练速度的同时更好地提取内存转储图像的特征信息,从而提高恶意软件家族分类的精度。
[0006]本专利技术所采用的第一技术方案是:一种基于深度学习的恶意软件分类方法,包括以下步骤:
[0007]利用卷积层、深度可分离卷积模块、坐标注意力模块、通道注意力模块和空间金字塔池化模块构建神经网络模型;
[0008]获取恶意软件中的内存转储图像;
[0009]将内存转储图像输入到神经网络模型的卷积层进行初步特征提取,得到初始特征图;
[0010]对初始特征图进行下采样池化和批归一化操作,得到第一特征图;
[0011]将第一特征图输入到深度可分离卷积层中进行特征提取,得到第二特征图;
[0012]将第二特征图输入到坐标注意力模块中进行全局特征捕获,得到第三特征图;
[0013]将第三特征图输入到通道注意力模块中进行通道特征提取,得到第四特征图;
[0014]将第四特征图输入到金字塔池化模块进行池化,得到输出数据向量;
[0015]根据输出数据向量得到分类结果。
[0016]进一步,所述深度可分离卷积层包括第一类深度可分离卷积模块和第二类深度可分离卷积模块,所述第一类深度可分离卷积模块包括2个二维卷积层、2个批量归一化层、1个tanh激活函数和1个坐标注意力单元;所述第二类深度可分离卷积模块包括2个二维卷积层和2个批量归一化层。
[0017]进一步,所述将第二特征图输入到坐标注意力模块中进行全局特征捕获,得到第三特征图这一步骤,其具体包括:
[0018]对第二特征图在水平方向和垂直方向上分别执行平均池化操作,得到全局上下文信息;
[0019]基于第二特征图的全局上下文信息进行拼接,得到位置特征信息;
[0020]根据第二特征图的宽和高对位置特征信息进行切割并输入到卷积神经网络中,得到注意力权重向量;
[0021]将注意力权重向量与第二特征图作乘法操作,得到第三特征图。
[0022]通过该优选步骤,能够捕获特征图的全局上下文信息。
[0023]进一步,所述将第三特征图输入到通道注意力模块中进行通道特征提取,得到第四特征图这一步骤,其具体包括:
[0024]对第三特征图进行全局最大池化操作和全局平均池化操作,得到输入向量;
[0025]将输入向量输入到全连接层中捕获非线性特征,得到特征向量;
[0026]对特征向量进行加法操作,得到通道权重向量;
[0027]将通道权重向量与第三特征图作乘法操作,得到第四特征图。
[0028]通过该优选步骤,捕获特征图在不同通道上的特征信息。
[0029]进一步,所述将第四特征图输入到金字塔池化模块进行池化,得到输出数据向量这一步骤,其具体包括:
[0030]选取金字塔池化模块的层级数量及每个层级所使用的空间仓大小;
[0031]在金字塔池化模块的每个层级中,根据空间仓大小把第四特征图划分成若干等份,得到若干等份的特征图;
[0032]对每个等份的特征图进行最大池化操作,得到池化结果;
[0033]将池化结果拼接成一维向量,得到输出数据向量。
[0034]通过该优选步骤,生成输送给全连接层的数据向量,同时降低全连接层的可训练参数数量,进而降低模型的大小。
[0035]本专利技术所采用的第二技术方案是:一种基于深度学习的恶意软件分类系统,包括:
[0036]图像获取模块,用于获取恶意软件中的内存转储图像
[0037]初步特征提取模块,用于将内存转储图像输入到神经网络模型的卷积层进行初步特征提取,得到第一特征图;
[0038]池化模块,用于对初始特征图进行下采样池化和批归一化操作,得到第一特征图;
[0039]可分离卷积模块,用于对第一特征图进行特征提取,得到第二特征图;
[0040]坐标注意力模块,用于对第二特征图进行全局特征提取,得到第三特征图;
[0041]通道注意力模块,用于对第三特征图进行通道特征提取,得到第四特征图;
[0042]金字塔池化模块,用于对第四特征图进行池化,得到输出数据向量;
[0043]分类模块,根据输出数据向量得到分类结果。
[0044]本专利技术所采用的第三技术方案是:一种基于深度学习的恶意软件分类装置,包括:
[0045]至少一个处理器;
[0046]至少一个存储器,用于存储至少一个程序;
[0047]当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如上所述一种基于深度学习的恶意软件分类方法。
[0048]本专利技术方法、系统的有益效果是:使用深度可分离卷积思想搭建特征提取网络,并在模型中融入通道注意力模块、坐标注意力模块以及空间金字塔池化模块,通过坐标注意力模块捕获特征图的全局上下文信息;通过通道注意力模块捕获特征图在不同通道上的特征信息;通过空间金字塔池化模块生成输送给全连接层的数据向量,并降低模型的大小,能够在减少模型容量和保证训练速度的同时更好地提取内存转储图像的特征信息,从而提高恶意软件家族分类的精度。
附图说明
[0049]图1是本专利技术一种基于深度学习的恶意软件分类方法的步骤流程图;
[0050]图2是本专利技术一种本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于深度学习的恶意软件分类方法,其特征在于,包括以下步骤:利用卷积层、深度可分离卷积模块、坐标注意力模块、通道注意力模块和空间金字塔池化模块构建神经网络模型;获取恶意软件中的内存转储图像;将内存转储图像输入到神经网络模型的卷积层进行初步特征提取,得到初始特征图;对初始特征图进行下采样池化和批归一化操作,得到第一特征图;将第一特征图输入到深度可分离卷积层进行特征提取,得到第二特征图;将第二特征图输入到坐标注意力模块中进行全局特征捕获,得到第三特征图;将第三特征图输入到通道注意力模块中进行通道特征提取,得到第四特征图;将第四特征图输入到金字塔池化模块进行池化,得到输出数据向量;根据输出数据向量得到分类结果。2.根据权利要求1所述一种基于深度学习的恶意软件分类方法,其特征在于,所述深度可分离卷积层包括第一类深度可分离卷积模块和第二类深度可分离卷积模块,所述第一类深度可分离卷积模块包括2个二维卷积层、2个批量归一化层、1个tanh激活函数和1个坐标注意力单元;所述第二类深度可分离卷积模块包括2个二维卷积层和2个批量归一化层。3.根据权利要求1所述一种基于深度学习的恶意软件分类方法,其特征在于,所述将第二特征图输入到坐标注意力模块中进行全局特征捕获,得到第三特征图这一步骤,其具体包括:对第二特征图在水平方向和垂直方向上分别执行平均池化操作,得到全局上下文信息;基于第二特征图的全局上下文信息进行拼接,得到位置特征信息;根据第二特征图的宽和高对位置特征信息进行切割并输入到卷积神经网络中,得到注意力权重向量;将注意力权重向量与第二特征图作乘法操作,得到第三特征图。4.根据权利要求1所述一种基于深度学习的恶意软件分类方法,其特征在于,所述将第三特征图输入到通道注意力模块中进行通道特征...
【专利技术属性】
技术研发人员:陈家辉,吴茗睿,
申请(专利权)人:广东工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。