【技术实现步骤摘要】
本专利技术涉及软件安全,尤其涉及基于异构图嵌入的勒索软件检测方法、系统、设备及介质。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、勒索软件类的恶意软件的检测方法主要分为两大类:静态分析和动态分析。静态分析是在不执行样本的情况下对可执行程序进行反汇编的方法,它通过反汇编工具分析并提取代码的静态结构特征,从而推断样本行为。动态分析则需要在受控的隔离环境中实时运行样本,对执行过程中样本的行为和操作进行全面分析,它提取样本的行为特征,如文件系统操作、注册表操作、应用程序编程接口等,以此来确定该样本是否为勒索软件。相较于静态分析容易被各种代码混淆技术绕过的情况,动态分析方法主要关注于分析可执行程序在运行时所表现出的行为模式,具有更高的检测率。
3、目前,关于勒索软件的动态分析,主要依赖于对系统应用程序编程接口的研究。这是因为软件在运行时会涉及多次api调用,而这些api记录了软件的各种行为。传统的图神经网络方法通常仅关注于同构图,其中的节点和关系仅由一种类型组成。然而这种方法在处理复杂的关系网络时存在局限性,因为勒索软件在执行时会调用多种不同类型的api,涉及多种异构实体。因此,基于同构图的方法可能无法充分捕捉到这些异构实体之间的复杂关联关系,从而导致检测性能不佳。
技术实现思路
1、本专利技术为了解决上述问题,提出了基于异构图嵌入的勒索软件检测方法、系统、设备及介质,实现了对勒索软件的准确识别。
2、为
3、第一方面,提出了基于异构图嵌入的勒索软件检测方法,包括:
4、获取软件样本;
5、获取软件样本的多种行为特征;
6、将所有行为特征作为节点,将各行为特征间的关系作为相邻节点间的边,构建获得异构图;
7、根据异构图中边的类型,获得多类元路径;
8、对于任意两类元路径,确定两类元路径中具有相同路径的边,并将具有相同路径的边相连,获得多重元路径;
9、获取每个多重元路径的节点嵌入;对所有多重元路径的节点嵌入进行聚合,获得图嵌入;
10、根据图嵌入,确定软件样本识别结果。
11、第二方面,提出了基于异构图嵌入的勒索软件检测系统,包括:
12、预处理模块,用于获取软件样本,并获取软件样本的多种行为特征;
13、图构建模块,用于将所有行为特征作为节点,将各行为特征间的关系作为相邻节点间的边,构建获得异构图;
14、图嵌入模块,用于根据异构图中边的类型,获得多类元路径;对于任意两类元路径,确定两类元路径中具有相同路径的边,并将具有相同路径的边相连,获得多重元路径;获取每个多重元路径的节点嵌入;对所有多重元路径的节点嵌入进行聚合,获得图嵌入;
15、模型检测模块,用于根据图嵌入,确定软件样本识别结果。
16、第三方面,提出了一种电子设备,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成基于异构图嵌入的勒索软件检测方法所述的步骤。
17、第四方面,提出了一种计算机可读存储介质,用于存储计算机指令,所述计算机指令被处理器执行时,完成基于异构图嵌入的勒索软件检测方法所述的步骤。
18、与现有技术相比,本专利技术的有益效果为:
19、利用分层注意力机制,能够在不同层次上学习节点特征,更全面地捕捉图的结构和语义信息。同时,基于预定义的元路径进行多路径采样,所获多重元路径包含节点之间的多个路径,能捕捉不同路径之间的语义信息,使得模型能够在不同层次上更全面地捕获节点之间的丰富上下文和语义关系,形成更深层次的语义抽象,这有助于处理勒索软件的复杂行为模式。
20、本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.基于异构图嵌入的勒索软件检测方法,其特征在于,包括:
2.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,获取软件样本的行为分析报告;
3.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,多种行为特征包括文件操作、进程操作、注册表操作、进程API调用、注册表API调用和文件API调用;
4.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,为两类元路径中的每个元路径构建邻接矩阵;
5.如权利要求4所述的基于异构图嵌入的勒索软件检测方法,其特征在于,利用元路径中边的源节点和目标节点作为索引数据,构建邻接矩阵,在通过索引数据构建邻接矩阵时,将所有索引数据进行去重操作,通过去重操作后的索引数据,构建初始邻接矩阵,将初始邻接矩阵中对角线上的元素去除,获得最终的邻接矩阵。
6.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,利用节点级注意力获取每个多重元路径的节点嵌入;基于语义级注意力对所有多重元路径的节点嵌入进行聚合,获得图嵌入。
7.如权利要求6所述
8.基于异构图嵌入的勒索软件检测系统,其特征在于,包括:
9.一种电子设备,其特征在于,包括存储器和处理器以及存储在存储器上并在处理器上运行的计算机指令,所述计算机指令被处理器运行时,完成权利要求1-7任一项所述的基于异构图嵌入的勒索软件检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机指令,所述计算机指令被处理器执行时,完成权利要求1-7任一项所述的基于异构图嵌入的勒索软件检测方法的步骤。
...【技术特征摘要】
1.基于异构图嵌入的勒索软件检测方法,其特征在于,包括:
2.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,获取软件样本的行为分析报告;
3.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,多种行为特征包括文件操作、进程操作、注册表操作、进程api调用、注册表api调用和文件api调用;
4.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,为两类元路径中的每个元路径构建邻接矩阵;
5.如权利要求4所述的基于异构图嵌入的勒索软件检测方法,其特征在于,利用元路径中边的源节点和目标节点作为索引数据,构建邻接矩阵,在通过索引数据构建邻接矩阵时,将所有索引数据进行去重操作,通过去重操作后的索引数据,构建初始邻接矩阵,将初始邻接矩阵中对角线上的元素去除,获得最终的邻接矩阵。
6.如权利要求1所述的基于异构图嵌入的勒索软件检测方法,其特征在于,利用节点级...
【专利技术属性】
技术研发人员:杨英,李雨颖,闫莉莉,王伟,侯仰志,马文豪,于召勇,李富坤,王德淇,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。