【技术实现步骤摘要】
本专利技术属于网络与信息安全,具体涉及一种基于高阶异构图网络的恶意软件检测方法。
技术介绍
1、恶意软件对网络安全、信息安全造成了严重的威胁,如何有效的检测恶意软件一直是亟需解决的问题。传统基于签名的恶意程序检测算法只能检测已知的恶意软件,并且容易受到二进制混淆等规避技术的影响,而基于行为的方法过度依赖恶意软件训练样本,训练成本过高。
2、近年来,针对恶意软件的检测方法吸引了众多学者的关注和研究。现有的检测可分为两大类型:静态检测和动态检测。在静态检测中,虽然因为其高效性而被防病毒软件广泛采用,但是可能会因为简单的代码混淆技术使得检测失效;而在动态检测中,检测要求应用程序处于在运行状态中,通常检测的时间成本较高并且应用程序的输入停留在ui层面,不能全面地表征应用程序。针对这些问题,现在有许多基于机器学习的检测技术,利用特征工程来提取恶意软件特征并且利用分类算法将软件分为良性软件和恶意软件。
3、然后,通常在现实生活中对于恶意样本的提取存在重重困难,一个是恶意软件样本的多样性和样本之间关系存在复杂性,第二是对于恶意样本节点的内容相关性获取不全面,第三是过多高阶邻居会使节点嵌入变得不可区分。所以,当仅利用软件特征或某种单一关系进行恶意软件检测时,往往很难挖掘到恶意软件之间的隐性关系。
技术实现思路
1、针对现有技术中由于恶意软件之间某些关键特征往往存在显性和隐性的关联性关系造成检测的结果准确度低的问题,本专利技术提出了一种基于高阶异构图网络的恶意软件检测方法,该
2、获取软件的不同类型实体信息和实体关系,并构建出异构信息网络;
3、对所述异构信息网络进行处理,转换为仅包含单一类型软件节点的同构图;
4、在指定元结构下,构建出软件节点的特征关系矩阵;所述元结构包括元路径或/和元图;
5、在指定元结构下,从同构图中得到软件节点的邻接度,并结合特征关系矩阵生成邻接关系矩阵;
6、将软件节点的邻接关系矩阵输入到hogcn2vec嵌入表示方法中,使用映射函数将不同类型的软件节点的特征映射到同一特征空间;使用聚合函数对软件节点基于元结构的邻居软件节点信息进行嵌入学习,得到软件节点的节点级嵌入表示向量;使用基于残差的图卷积算子对软件节点的邻接关系矩阵进行多层聚合,生成软件节点的跨层级嵌入表示向量;使用注意力机制对元结构的语义嵌入权重进行学习,得到软件节点的最终嵌入向量;
7、将软件节点的最终嵌入向量输入到分类器,得到软件节点的检测结果。
8、本专利技术的有益效果:
9、1.本专利技术将异质信息网络应用到恶意软件的分析中,为恶意软件分析提供了一种特征构造和语义描述的新方法。并且针对大多数异质图无法学习复杂的语义表示的问题,本专利技术采用了元路径和元图的嵌入表示方法,提高对恶意软件特征的表达,从而可以更加准确地探索基于内容的节点间交互关系。
10、2.本专利技术通过融合多个节点级别层到注意力网络中,提出了一种高阶属性增强的节点嵌入新方法,从而可以在异质图嵌入的同时,通过基于节点的交互,逐层逐步增强初始输入节点特征。特别是在多个节点层进行融合时,模型可以通过学习的重要性来动态调整不同跳级邻居的权重,从而获取高阶邻居的增强属性。
11、3.本专利技术提出了一种降低噪声影响的新方式。在节点级别的语义传播机制中,通过适当吸收节点的局部语义来改进节点级聚合过程,使得在深层网络中能够捕捉到每个节点的特征,并通过更深层次的神经网络结构来学习可区分的节点嵌入,解决了传统方式堆叠导致高阶邻居数量会指数级增长,所带来的噪声影响的问题。
本文档来自技高网...【技术保护点】
1.一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,使用映射函数将不同类型的软件节点的特征映射到同一特征空间包括:
3.根据权利要求2所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述使用聚合函数对软件节点基于元结构的邻居软件节点信息进行嵌入学习,得到软件节点的节点级嵌入表示向量包括通过节点聚合函数聚合App节点基于元结构的邻居信息,学习特定的软件节点嵌入,聚合函数定义为:
4.根据权利要求1所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述使用基于残差的图卷积算子对软件节点的邻接关系矩阵进行多层聚合包括将自适应残差连接和初始残差连接应用于前向传播中的每一层,使用当前层嵌入,初始层嵌入和前一层嵌入,并采用可学习权重矩阵进行多层聚合。
5.根据权利要求1或4所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述基于残差的图卷积算子表示为:
6.根据权利要求5所述的一种基于高阶异构图网络的
7.根据权利要求6所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述可学习权重矩阵的计算过程包括对每一层的可学习权重进行加权求和,采用softmax分布筛选可学习权重,自适应得到每层的可学习权重。
8.根据权利要求1所述的一种基于高阶异构图网络的Android恶意软件检测方法,其特征在于,使用注意力机制对元结构的语义嵌入权重进行学习,得到软件节点的最终嵌入向量包括根据节点级聚合中学习到的软件节点的节点级嵌入表示向量,通过自注意力机制学习每个元结构的语义嵌入权重;通过一个非线性变换转换为语义嵌入;使用语义级别的注意向量参数q来表示特定语义嵌入的权重;将所有特定语义节点嵌入的权重进行均值处理,更新每个元结构的语义嵌入权重;对更新后的每个元结构的语义嵌入权重进行归一化处理,得到最终的语义嵌入权重;将每个元结构最终的语义嵌入权重与对应元结构下软件节点的跨层级嵌入表示向量的乘积,得到软件节点的最终嵌入向量。
9.根据权利要求8所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,通过自注意力机制学习每个元结构的语义嵌入权重表示为:
...【技术特征摘要】
1.一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,使用映射函数将不同类型的软件节点的特征映射到同一特征空间包括:
3.根据权利要求2所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述使用聚合函数对软件节点基于元结构的邻居软件节点信息进行嵌入学习,得到软件节点的节点级嵌入表示向量包括通过节点聚合函数聚合app节点基于元结构的邻居信息,学习特定的软件节点嵌入,聚合函数定义为:
4.根据权利要求1所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述使用基于残差的图卷积算子对软件节点的邻接关系矩阵进行多层聚合包括将自适应残差连接和初始残差连接应用于前向传播中的每一层,使用当前层嵌入,初始层嵌入和前一层嵌入,并采用可学习权重矩阵进行多层聚合。
5.根据权利要求1或4所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,所述基于残差的图卷积算子表示为:
6.根据权利要求5所述的一种基于高阶异构图网络的恶意软件检测方法,其特征在于,软...
【专利技术属性】
技术研发人员:李暾,金洺如,苟艳,李茜,王蓉,贾朝龙,肖云鹏,王国胤,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。