【技术实现步骤摘要】
本专利技术涉及网络安全,特别涉及一种基于多模态特征对齐的轻量化恶意软件威胁检测方法。
技术介绍
1、随着计算机和互联网技术的不断发展,恶意软件威胁已经成为信息安全领域中的一项严重挑战。恶意软件现在存在于多种形式,包括但不限于病毒、蠕虫、特洛伊木马、勒索软件、广告软件、恶意浏览器插件等。这些恶意软件类型之间的差异性使得检测变得更加复杂,对个人、企业和政府机构的信息资产造成了严重的威胁。这些威胁可能导致数据泄露、系统瘫痪、金融损失以及个人隐私泄露等问题。恶意软件检测不仅需要及时发现威胁,还需要迅速响应,以隔离、清除或修复受感染的系统和数据。实时性对于限制威胁的扩散至关重要,以减少潜在的损害。因此,恶意软件威胁检测成为了信息安全领域的重要研究方向之一。
2、在当前的信息安全环境中,恶意软件的威胁形式变化多样,攻击者不断采用新的技术手段来规避传统的检测方法。传统的恶意软件检测方法主要包括基于特征的检测和基于行为的检测。
3、基于特征的检测方法依赖于已知的恶意软件特征,例如病毒签名或恶意代码的模式。然而,这种方法容易受到恶意软件变种的影响,因为攻击者可以轻松地修改恶意软件的特征,以逃避检测。此外,基于特征的检测方法通常需要大量的特征库,这会导致存储和计算资源的浪费,并且无法有效应对零日威胁,即尚未被发现和记录的恶意软件。此外,恶意软件作者不断改进工具和技术,以逃避检测。这包括代码混淆、多层加密、自我修改的恶意代码等技术。这些技术使得传统的基于特征的检测方法在识别和阻止恶意软件时更加困难。
4、基于行为的
技术实现思路
1、为此,需要提供一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,旨在克服传统方法存在的问题,通过引入多模态特征对齐技术,能够更准确地检测恶意软件,同时降低计算复杂性,使用轻量化的检测模型提高检测的实时性和效率。
2、为实现上述目的,专利技术人提供了一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,包括以下步骤:
3、s1,给定待检测软件的程序样本的日志信息和恶意软件标签表;
4、s2,分析待检测软件的日志信息,通过正则化得到相关字段来判断关联关系,将相关字段关联管理分别初始化作为节点和边,将节点和边输入图编码器中,图编码器通过信息传递更新节点嵌入,并初步输出待检测软件不同的概率标签;
5、s3,引入恶意软件标签构建词汇表,将该词汇表经过clip编码器之后得到嵌入向量;
6、s4,将步骤s2中得到的节点和边进行谱聚类,将图内的节点划分为若干个簇,使得同一簇内的节点具有高相似性,不同簇之间的节点具有低相似性;
7、s5,将步骤s3中得到的嵌入向量和步骤s4中得到的聚簇结果通过集群投票提示重新对齐算法得到待检测软件的分类投票标签,将分类投票标签和步骤s2中得到的概率标签组成弱标签;
8、s6,建立学生编码器,对图编码器使用指数移动平均来更新学生编码器,将待检测软件的日志信息输入图编码器中,使用更新后的节点和边的权重进行预测,得到待检测软件预测标签;
9、s7,针对步骤s5中得到的弱标签和步骤s6中得到的预测标签,采用真实样本标签和最大化边界方法计算样本的损失;
10、s8,根据样本的损失得出决策结果,根据决策结果判断是否将待检测软件的执行程序判定为恶意软件威胁行为,并将此执行程序添加到训练集中进行其他软件的下一轮检测。
11、作为本专利技术的一种优选方式,步骤s1中的日志信息包括:日期、时间戳、ip地址、文件路径、用户操作、端口和事件类型。
12、作为本专利技术的一种优选方式,步骤s2还包括:
13、s201,采用正则化方法,将原始数据字段进行变换,正则化后的数据字段在相同尺度范围内,将字段正则化为的表达式为:
14、,
15、其中,表示原始数据字段,表示正则化后的数据字段;
16、s202,在正则化后的数据字段中,选择相关字段作为节点和边的初始化,用节点代表不同的数据字段,而边则代表字段之间的关联关系,节点和边的初始化用于构建一个图,其中节点表示不同的数据属性,边表示这些属性之间的关联关系,对于日志数据中的每个字段,将每个字段的取值作为一个节点,对于字段,每个字段具有正则化后的值,则节点初始化的表达式为:
17、,
18、其中,表示节点集合,每个节点对应于字段,表示字段的数量;
19、s203,边的初始化用于表示字段之间的关联关系,采用全连接图的方式,其中每对节点之间都存在一条边,将边的权重初始化为默认值,表示为一个邻接矩阵,其中表示节点和节点之间的边的权重;
20、s204,使用图编码器更新节点的嵌入表示,对于得到的节点集合和邻接矩阵,每个节点具有一个嵌入向量,初始时将嵌入向量设置为节点初始化的值,图编码器的更新表达式为:
21、,
22、其中,表示节点在第层的嵌入,表示激活函数,表示节点的邻居节点集合,表示归一化常数,通常为节点和其邻居节点之间的边的权重之和,表示第层的权重矩阵,用于线性变换;
23、s205,得到图编码器的节点特征表示来进行预测,使用一个附加的全连接层来将节点特征映射到类别概率,此过程的表达式为:
24、,
25、其中,表示节点的分类得分或概率,表示权重矩阵,表示偏置向量;
26、s206,由得到节点的分类得分,使用归一化函数将得分转化为概率分布,表达式为:
27、,
28、其中,表示对于给定的节点,其属于类别的概率,为节点的标签。
29、作为本专利技术的一种优选方式,步骤s3还包括:
30、s301,引入恶意软件标签,用于描述不同类型的恶意软件特征和行为,将恶意软件标签构建为一个多模态特征的恶意软件标签词汇表;
31、s302,引入clip编码器,将恶意软件标签词汇表经过clip编码器处理,以获得与标签相关联的嵌入向量,表达式为:
32、,
33、其中,表示标签相关联的嵌入向量,t表示恶意软件标签,ce表示clip编码器。
34、作为本专利技术的一种优选方式,步骤s4还包括:计本文档来自技高网...
【技术保护点】
1.一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S1中的日志信息包括:日期、时间戳、IP地址、文件路径、用户操作、端口和事件类型。
3.根据权利要求1所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S2还包括:
4.根据权利要求3所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S3还包括:
5.根据权利要求4所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S4还包括:计算节点间的相似性,然后计算相似度图矩阵,采用聚类算法得到聚簇,表达式为:
6.根据权利要求5所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S5还包括:
7.根据权利要求6所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤S6还包括:建立学生编码器,用于将待检测软件的日志信息转化为特征表示,并引入指数移动平均方法来更
8.根据权利要求7所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于:步骤S7中,针对步骤S5中得到的软件样本的弱标签和步骤S6中得到的预测标签,使用真实样本标签和最大化边界方法计算样本的损失,表达式为:
...【技术特征摘要】
1.一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤s1中的日志信息包括:日期、时间戳、ip地址、文件路径、用户操作、端口和事件类型。
3.根据权利要求1所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤s2还包括:
4.根据权利要求3所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤s3还包括:
5.根据权利要求4所述的基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,步骤s4还包括:计算节点间的相似性,然后计算相似度图矩阵...
【专利技术属性】
技术研发人员:孙捷,车洵,陈亚当,
申请(专利权)人:南京众智维信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。