【技术实现步骤摘要】
一种基于API序列原型的可解释恶意软件检测方法
[0001]本专利技术涉及恶意软件检测领域,具体涉及一种基于API序列原型的可解释恶意软件检测方法。
技术介绍
[0002]恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和木马等程序,通过破坏软件进程来实施控制。恶意软件出现的最初因素主要是兴趣的驱动,例如显示出安全缺陷或者是自己的技术能力,然而现在它是以试图破坏计算机系统和其他电子设备完整性为目的。因此,如何保护计算机系统和数据不因偶然或恶意的原因而遭到破坏、更改或泄露,如何降低计病毒感染算机的机会等信息安全技术,是当今网络安全领域的研究重点。
[0003]目前主流的反病毒方法是使用之前生成的特征库,进行基于特征的反病毒扫描。这种基于特征码的恶意软件检测效果很大一部分决定于所具有的特征库,特征库越大则检测的准确率越高。特征码是一段短的字节字符串,对于每个已知的恶意软件类型都是唯一的,所以对恶意软件及其后代有很高的检测率。但是该技术存在的最大两个问题是:首先这些特征码都来自于人工的分析,这就给出错留下了空间。而且恶意...
【技术保护点】
【技术特征摘要】
1.一种基于API序列原型的可解释恶意软件检测方法,其特征在于,所述基于API序列原型的可解释恶意软件检测方法包括以下步骤:给定一个带有标签的软件样本训练集,采集软件样本训练集中每个软件运行过程中的API序列,得到API序列集,从API序列集中挖掘出API序列模式集;对API序列模式集进行聚类,得到若干个API序列模式聚类,并将每个API序列模式聚类的中心作为API序列模式聚类的API序列原型;利用API序列原型将API序列集中的每个API序列转换成原型序列,将原型序列及其标签输入到融合注意力机制的LSTM网络中,训练得到恶意软件分类模型;通过恶意软件分类模型对实时软件进行检测,如果恶意软件分类模型对实时软件的分类结果为恶意,则取注意力权重最高的若干个API序列原型作为用于解释判断为恶意软件的原因,所述注意力权重取自恶意软件分类模型。2.根据权利要求1所述的基于API序列原型的可解释恶意软件检测方法,其特征在于,采用N
‑
Gram算法从API序列集中挖掘出长度为N、出现次数大于σ的连续片段作为API序列模式,形成API序列模式集。3.根据权利要求1所述的基于API序列原型的可解释恶意软件检测方法,其特征在于,所述对API序列模式集进行聚类,得到若干个API序列模式聚类,并将每个API序列模式聚类的中心作为API序列模式聚类的API序列原型,包括:采用聚类算法对API序列模式集进行聚类处理,得到K个API序列模式聚类;针对每个API序列模式聚类,计算API序列模式聚类中每个API序列模式与所有其它API序列模式的距离的平均值,并取平均值最小的API序列模式作为该API序列模式聚类的API序列原型。4.根据权利要求1所述的基于API序列原型的可解释恶意软件检测方法,其特征在于,所述利用API序列原型将API序列集中的每个API序列转换成原型序列,包括:将API序列集中的每个API序列分别切分成多个连续片段;对于一个API序列对应的连续片段,依次计算连续片段与所有API序列原型的距离,得到最小距离以及与最小距离对应的API序...
【专利技术属性】
技术研发人员:吕明琪,何功勋,朱添田,陈铁明,
申请(专利权)人:浙江工业大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。