【技术实现步骤摘要】
本专利技术属于网络与信息安全,具体涉及一种基于异质图相似性搜索的恶意软件快速检测方法。
技术介绍
1、android操作系统作为全球市场份额最大的移动操作系统,其正在经历前所未有的安全性问题。由于android操作系统的高扩展性和开发的开放性,恶意软件攻击者把主要攻击对象着眼于此,他们可以对与android操作系统有关联的个人用户、企业和整个互联网产生严重的威胁和损害,例如窃取个人敏感信息、破坏企业数据、感染网络设备和服务等。
2、基于此,恶意软件检测在网络安全领域是非常重要的一个研究方向,如何有效的对恶意软件进行检测,是工业界和学术界一直关注的问题。在工业界,众多互联网公司对恶意软件检测都有相关研究。为了维护网络空间的安全,恶意软件检测成为了必要手段,并且由于恶意软件演变的快速性,因此必须采用及时有效的方法对其进行检测和处理。
3、在现实网络中,应用软件不断更新,且新应用软件无穷无尽的出现,因此对于未知应用的恶意性检测研究是非常必要的。同时,恶意软件检测也是一项响应敏感的任务,即用户在进行应用软件的恶意性检测时,检测系统应当快速检测出该应用的恶意攻击行为和潜在威胁。尽管基于异质图所构建的恶意软件检测模型具有较好的检测性能,但是由于模型是基于静态异质图构建的,因此此类模型不能处理未知软件节点(即样本外节点)表示学习的问题,也就无法对未知软件节点进行准确检测。
技术实现思路
1、针对现有的恶意软件检测模型对未知应用的检测存在的一些问题,本专利技术提出了一种基于
2、(1)构建了包含软件多类型实体的异质图网络,通过异质信息网络全面表示软件实体之间的复杂关系。
3、(2)提出app2vec自适应语义嵌入方法。该方法通过吸收节点自身局部语义信息,可以避免语义混淆问题,增强模型对节点特征的学习。
4、(3)设计了neusim相似性搜索算法。该算法使用编码器-解码器结构对大规模异质图进行快速相似性搜索,降低检测时间复杂度。
5、(4)根据搜索结果,使用注意力机制进行节点加权聚合,实现对未知样本的快速精确检测。
6、基于上述内容,本专利技术提出的一种基于异质图相似性搜索的恶意软件快速检测方法包括如下步骤:
7、获取软件的各类实体信息和各类实体关系;
8、根据软件的各类实体信息和各类实体关系,构建出异质图;
9、根据异质图中各个软件节点在不同视图下的关联性,构建出元路径;
10、根据确定出的每条元路径,计算出每条元路径对应的关联矩阵;
11、根据元路径对应的关联矩阵,将异质图转化为同质图;
12、使用自适应语义嵌入算法app2vec将软件节点投影到语义空间中,对每个同质图进行处理,得到软件节点的初始嵌入表示;通过自注意力机制融合不同元路径下的语义嵌入,得到各个软件节点的最终嵌入向量;
13、使用neusim算法搜索与待测软件节点最相似的top-k个软件节点,并确定出相似性得分;
14、根据top-k个软件节点的相似性得分和注意力系数,对top-k个软件节点的最终嵌入向量进行加权聚合,得到待测软件节点的最终嵌入向量;
15、将待测软件节点的最终嵌入向量输入分类器,判断所述待测软件节点是否为恶意软件。
16、本专利技术的有益效果:
17、(1)现有技术多独立使用软件特征或单一关系,忽略软件实体之间的复杂关联。而本专利技术构建了异质图来全面表示软件实体的多样性和复杂关系,提高了恶意软件检测的准确性。
18、(2)本专利技术使用自适应语义嵌入方法app2vec解决语义混淆问题,吸收节点局部语义信息增强对软件特征的学习,更进一步地提高了恶意软件检测的准确性。
19、(3)本专利技术采用了neusim大规模图相似性搜索算法,使用编解码器结构大幅降低检测时间复杂度和计算复杂度,实现对未知软件快速高效的相似性分析,解决了现有技术检测新样本效率低的问题。
20、(4)本专利技术根据相似性结果对节点进行加权聚合分类,兼顾检测准确性与时效性,总体上超越现有检测技术的性能。
21、(5)本专利技术改善了用户的安全防护能力,为软件开发者提供了快速检测程序安全漏洞的方式,避免了用户损失财产信息和设备损坏,推动了移动互联网的安全发展,提升整体网络环境的安全性和健康性。
本文档来自技高网...【技术保护点】
1.一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述使用自适应语义嵌入算法App2vec将软件节点投影到语义空间中,对每个同质图进行处理,得到软件节点的嵌入表示包括使用语义映射函数将软件节点投影到语义空间中,使用语义聚合函数对软件节点在元路径上的邻居信息进行聚合。
3.根据权利要求2所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,使用语义映射函数将软件节点投影到语义空间表示为:
4.根据权利要求2所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,使用语义聚合函数对软件节点在元路径上的邻居信息进行聚合表示为:
5.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,通过自注意力机制融合不同元路径下的语义嵌入,得到各个软件节点的最终嵌入向量包括使用非线性变换将软件节点的嵌入表示映射到相同向量空间;采用语义层面的注意力向量q来衡量软件节点的嵌入表示下元路径的重要性
6.根据权利要求5所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述元路径的重要性包括:
7.根据权利要求6所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述元路径的权重包括:
8.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述元路径的权重包括:
9.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述使用NeuSim算法搜索与待测软件节点最相似的Top-K个软件节点,并确定出相似性得分包括使用软件节点的节点特征、节点类型信息、边类型信息和图邻接矩阵,提取出多条路径实例;比较各条路径实例的值,并选择多个最接近真实路径相似度分数的路径实例;将多个路径实例在第l处的嵌入表示与元路径在第l-1层处的嵌入表示进行比较,并更新路径嵌入;将更新后的路径嵌入表示映射到近似元路径的相似性得分。
10.根据权利要求9所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述相似性得分的公式表示为:
...【技术特征摘要】
1.一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,所述使用自适应语义嵌入算法app2vec将软件节点投影到语义空间中,对每个同质图进行处理,得到软件节点的嵌入表示包括使用语义映射函数将软件节点投影到语义空间中,使用语义聚合函数对软件节点在元路径上的邻居信息进行聚合。
3.根据权利要求2所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,使用语义映射函数将软件节点投影到语义空间表示为:
4.根据权利要求2所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,使用语义聚合函数对软件节点在元路径上的邻居信息进行聚合表示为:
5.根据权利要求1所述的一种基于异质图相似性搜索的恶意软件快速检测方法,其特征在于,通过自注意力机制融合不同元路径下的语义嵌入,得到各个软件节点的最终嵌入向量包括使用非线性变换将软件节点的嵌入表示映射到相同向量空间;采用语义层面的注意力向量q来衡量软件节点的嵌入表示下元路径的重要性;对软件节点的嵌入表示下...
【专利技术属性】
技术研发人员:李暾,首鹏,苟艳,李茜,王蓉,贾朝龙,肖云鹏,王国胤,
申请(专利权)人:重庆邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。