【技术实现步骤摘要】
一种基于恶意行为增强预训练模型的恶意软件检测方法
[0001]本专利技术涉及软件安全防护
,具体涉及一种基于预训练模型的恶意软件检测方法
。
技术介绍
[0002]随着互联网的快速发展,恶意软件的数量和变种也呈现出爆炸式的增长趋势
。
据德国安全技术公司
AV
‑
TEST
的数据统计,截至
2023
年7月,恶意软件的数量超过九亿,其中
Windows
平台的恶意软件占比超过
75
%
。
由于
Windows
操作系统广泛应用于各个领域,恶意软件会对用户设备
、
数据和资源造成严重破坏和威胁
。
尽管微软和软件安全公司在保护用户操作系统方面做出了巨大努力,但美国安全技术公司
McAfee
的报告显示,恶意软件的增长率并没有受到抑制,主要原因是恶意软件作者采用了更先进的反检测技术,提高了恶意软件逃逸检测的概率
。
因此,...
【技术保护点】
【技术特征摘要】
1.
一种基于恶意行为增强预训练模型的恶意软件检测方法,其特征在于,包括以下步骤:步骤1,从
API
调用序列数据集中提取
API
调用序列;步骤2,将所有
API
调用序列构成语料库,并根据统计规则生成反映软件恶意行为的
API
元组集合;步骤3,使用公开数据集预训练恶意软件检测模型,接着使用无标签
API
调用序列做继续预训练;步骤4,使用有标签
API
调用序列对恶意软件检测模型进行微调,并经过线性降维实现二分类,完成恶意软件的检测
。2.
根据权利要求1所述的一种基于恶意行为增强预训练模型的恶意软件检测方法,其特征在于,步骤1中所述
API
调用序列数据集为:将真实样本软件在沙箱中运行提取出的
API
调用序列构成的集合,其中包含用于恶意软件检测模型预训练的无标签
API
调用序列集合及用于微调的有标签
API
调用序列集合
。3.
根据权利要求2所述的一种基于恶意行为增强预训练模型的恶意软件检测方法,其特征在于,步骤2中所述根据统计规则生成反映软件恶意行为的
API
元组集合的具体过程如下:
2.1、
将所有
API
调用序列划分成二元组;
2.2、
定义
TF
代表一个元组在恶意软件中出现的频率:
TF
=
TN
m
/MTN
,其中
TN
m
代表某个元组在恶意软件中出现的次数,
MTN
是恶意软件总元组数;定义
TW
=
(TN
m
/TN
α
ll
)*K
,其中
TN
α
ll
表示某个元组出现的总次数,
K
为参数;
2.3、
定义
TF
‑
TW
值为
TF
×
TW
,将
TF
‑
TW
值由大到小排序,提取出
TF
‑
TW
前5%的值作为反映软件恶意行为的
API
元组集合
。4.
根据权利要求3所述的一种基于恶意行为增强预训练模型的恶意软件检测方法,其特征在于,在步骤3和步骤4中,所述的无标签
API
调用序列是指:将
API
调用序列数据集中未知行为性质的软件在沙箱中提取出的
API
调用序列;所述的有标签
API
调用序列是指:将
API
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。