【技术实现步骤摘要】
基于深度学习的恶意软件检测系统及方法
[0001]本申请涉及智能检测领域,且更为具体地,涉及一种基于深度学习的恶意软件检测系统及方法
。
技术介绍
[0002]恶意软件是指被设计用于在未经用户许可的情况下,对计算机系统
、
网络或个人设备进行破坏
、
窃取信息或进行其他恶意活动的软件程序
。
恶意软件的危害非常严重,可以导致数据丢失
、
个人隐私泄露
、
金融损失以及网络服务不可用等问题
。
因此,需要及时检测出恶意软件并采取相应的措施进行处理
。
[0003]恶意软件通常会采取各种技术手段来隐藏自身
。
它的隐藏技术手段包括代码混淆
、
加密
、
压缩
、
反调试等手段,这些技术手段使得恶意软件的二进制文件在静态分析和动态运行时都变得复杂和模糊,使得恶意软件难以被发现
。
[0004]因此,需要一种基于深度学习的恶意软件检测方
【技术保护点】
【技术特征摘要】
1.
一种基于深度学习的恶意软件检测系统,其特征在于,包括:软件数据获取模块,用于获取待检测软件的二进制可执行文件;数据格式转换模块,用于将所述二进制可执行文件转换成十六进制字符串的序列;词嵌入编码模块,用于将所述十六进制字符串的序列通过词嵌入层以得到字符串嵌入向量的序列;上下文编码模块,用于将所述字符串嵌入向量的序列通过基于转换器的上下文编码器以得到多个字符串语义特征向量;级联模块,用于将所述多个字符串语义特征向量进行级联以得到长距离依赖字符串特征向量;双向长短期字符串编码模块,用于将所述字符串词嵌入向量的序列通过双向长短期记忆神经网络模型以得到中距离依赖字符串特征向量;特征融合模块,用于融合所述长距离依赖字符串特征向量和所述中距离依赖字符串特征向量以得到分类特征向量;检测结果生成模块,用于将所述分类特征向量通过分类器以得到分类结果,所述分类结果用于表示所述待检测软件是否为恶意软件
。2.
根据权利要求1所述的基于深度学习的恶意软件检测系统,其特征在于,所述词嵌入编码模块,用于:将所述十六进制字符串的序列通过词嵌入层以将所述十六进制字符串的序列中各个十六进制字符串转换为字符串嵌入向量以得到所述字符串嵌入向量的序列,其中,所述词嵌入层使用可学习的嵌入矩阵对所述各个十六进制字符串进行嵌入编码
。3.
根据权利要求2所述的基于深度学习的恶意软件检测系统,其特征在于,所述上下文编码模块,包括:向量排列单元,用于将所述字符串嵌入向量的序列排列为输入向量;输入向量转化单元,用于将所述输入向量通过可学习嵌入矩阵分别转化为查询向量和关键向量;自注意关联矩阵生成单元,用于计算所述查询向量和所述关键向量的转置向量之间的乘积以得到自注意关联矩阵;标准化处理单元,用于对所述自注意关联矩阵进行标准化处理以得到标准化自注意关联矩阵;激活单元,用于将所述标准化自注意关联矩阵输入
Softmax
激活函数进行激活以得到自注意力特征矩阵;注意力施加单元,用于将所述自注意力特征矩阵与以所述字符串嵌入向量的序列中各个字符串嵌入向量作为值向量分别进行相乘以得到所述多个字符串语义特征向量
。4.
根据权利要求3所述的基于深度学习的恶意软件检测系统,其特征在于,所述特征融合模块,包括:第一仿射密度值计算单元,用于计算所述长距离依赖字符串特征向量相对于所述中距离依赖字符串特征向量的第一仿射密度值;第二仿射密度值计算单元,用于计算所述中距离依赖字符串特征向量相对于所述长距离依赖字符串特征向量的第二仿射密度值;加权单元,用于以所述第一仿射密度值和所述第二仿射密度值作为权重分别对所述长
距离依赖字符串特征向量和所述中距离依赖字符串特征向量进行加权以得到加权后长距离依赖字符串特征向量和加权后中距离依赖字符串特征向量;按位置加和单元,用于对所述加权后长距离依赖字符串特征向量和所述加权后中距离依赖字符串特征向量进行按位置加和以得到所述分类特征向量
。5.
根据权利要求4所述的基于深度学习的恶意软件检测系统,其特征在于,所述第一仿射密度值计算单元,用于:以如下第一仿射密度值计算公式计算所述长距离依赖字符串特征向量相对于所述中距离依赖字符串特征向量的第一仿射密度值;其中,所述第一仿射密度值计算公式为:其中,
x1和
x2分别表示所述长距离依赖字符串特征向量和所述中距离依赖字符串特征向量
,
σ1表示第一高斯核函数的宽度参数,
d1表示所述第一仿射密度值,
exp(
·
)
表示以自然常数
e
为底的指数运算
。6.
根据权利要求5所述的基于深度学习的恶意软件检测系统,其特征在于,所述第二仿射密度值计算单元,用于:以如下第二仿射密度值计算公式计算所述中距离依赖字符串特...
【专利技术属性】
技术研发人员:李大林,
申请(专利权)人:浙江众勤信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。