基于深度学习的加密货币批量恶意获取的软件检测方法技术

技术编号：41288412 阅读：8 留言：0更新日期：2024-05-11 09:37

本发明专利技术涉及网络安全和机器学习技术，具体涉及一种基于深度学习的加密货币批量恶意获取的软件检测方法。本发明专利技术对每个进程进行内存地址采样，根据内存地址被执行的次数计算出每个内存地址出现的频率；当内存地址出现的频率大于阈值时，则为内存热点；从内存热点中提取汇编指令序列；对汇编指令序列进行处理得到指令数据集；将指令数据集转换为向量得到汇编指令向量集；将训练集输入多个不同的深度神经网络训练，用测试集对训练好的多个模型进行测试，选出性能最好的模型作为加密货币批量恶意获取软件检测模型；利用加密货币批量恶意获取软件检测模型进行检测。本发明专利技术能够捕捉上下文关系和语义信息，能够克服规避攻击和混淆攻击，检测准确率更高。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全和机器学习技术，具体涉及一种基于深度学习的加密货币批量恶意获取的软件检测方法。

技术介绍

1、在过去的十年里，区块链技术和加密货币作为一种支付工具得到了广泛的应用和发展，基于工作量证明(pow)的加密货币不仅为人们提供了一种新的支付形式，还允许人们可以通过参与所谓的密码挖掘过程来获得货币奖励。一种新型攻击——加密批量恶意获取的软件攻击出现，它利用受害者的计算资源进行未经授权的加密批量恶意获取，消耗大量的cpu和内存资源，导致系统性能下降甚至损坏。因此，对运行软件进行检测，以发现批量恶意获取的软件对系统的实际破坏行为，是应对加密货币批量恶意获取的软件的有效手段之一。

2、大多数现有的恶意软件检测方法依赖于静态的基于规则的系统，以及人类专家或静态启发式特征选择的机器学习系统。基于规则的系统和启发式的特征选择通常不能适应不断进化的攻击，攻击者会对防御系统进行侦察并采用新的攻击策略来绕过检测。此外，现有的恶意软件检测方法忽略了许多攻击方法，如攻击者通过设置cpu使用率的阈值、混淆系统调用并改变调用序列、混淆代码等方法来逃避检测，导致了较高的误报率。从恶意软件中提取汇编指令，对汇编指令进行检测是检测恶意软件的一种常见方法。然而，当前方法存在一些不足之处。一方面，当前方法通常使用汇编指令生成抽象语法树，该方法难以捕获汇编指令序列的上下文关系，在涉及到动态上下文的情况下，可能无法准确地检测恶意行为。另一方面，当前方法对于检测加密批量恶意获取的软件并不适用，因为加密批量恶意获取的软件和普通良性的解压缩程序类似，

3、针对上述问题，如何提取汇编指令并对汇编指令进行处理和建模，在此基础上利用深度学习自动学习加密批量恶意获取的软件的检测模型，是亟待解决的一个问题。

技术实现思路

1、本专利技术的目的在于解决现有的对汇编指令进行检测的方法在涉及到动态上下文的情况下，无法准确地检测恶意行为，且不适用于检测加密批量恶意获取软件，并提出一种基于深度学习的加密货币批量恶意获取的软件检测方法。

2、为了达到上述目的，本专利技术提供的技术方案为：所述基于深度学习的加密货币批量恶意获取的软件检测方法，包括：

3、对每个进程进行内存地址采样，得到每个进程对应的内存地址；

4、根据内存地址被执行的次数计算出每个内存地址出现的频率；

5、当内存地址出现的频率大于阈值时，则将内存地址定义为内存热点，否则不定义为内存热点；

6、从内存热点中提取汇编指令序列；

7、对汇编指令序列进行处理得到指令数据集；

8、将指令数据集转换为向量得到汇编指令向量集；

9、将汇编指令向量集按比例分为训练集和测试集，将训练集输入多个不同的深度神经网络训练得到多个批量恶意获取软件检测模型；

10、用测试集对训练好的多个批量恶意获取软件检测模型进行测试，选出性能最好的批量恶意获取软件检测模型作为加密货币批量恶意获取软件检测模型；

11、利用加密货币批量恶意获取软件检测模型进行检测。

12、进一步的，所述对每个进程进行内存地址采样，包括以随机和固定两种采样间隔触发中断请求，从陷阱帧和最后分支记录中采样内存地址。

13、进一步的，所述从内存热点中提取汇编指令序列，包括使用intel xed反汇编工具从内存热点中提取汇编指令序列。

14、进一步的，所述对汇编指令序列进行处理得到指令数据集，包括：

15、去除汇编指令序列中的噪声指令，得到汇编指令集，对汇编指令集打上标签；

16、对汇编指令集进行分割得到指令数据集。

17、进一步的，采用word2vec的skip-gram模型将指令数据集转换为向量得到汇编指令向量集。

18、进一步的，所述多个不同的深度神经网络包括长短期记忆网络、双向长短期记忆网络和循环卷积神经网络。

19、本专利技术与现有技术相比，其显著优点为：1、从进程中采样内存地址，并根据阈值提取重要汇编指令，基于汇编指令进行恶意软件检测，利用了网络攻击的不可变特征：必须在系统内存中执行指令，检测准确率更高。2、定义一种处理汇编指令的准则，消除噪声指令同时保持原始指令的序列不变，并采用word2vec将指令序列转化为向量，提高检测的效率和准确性。3、使用多个基于nlp的深度学习模型进行训练，无需人工专家或启发式规则来选择特征，能够一定程度克服规避攻击和混淆攻击，并在测试中选出性能最好的模型，提高检测准确率。

本文档来自技高网...

【技术保护点】

1.一种基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述基于深度学习的加密货币批量恶意获取的软件检测方法，包括：

2.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述对每个进程进行内存地址采样，包括以随机和固定两种采样间隔触发中断请求，从陷阱帧和最后分支记录中采样内存地址。

3.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述从内存热点中提取汇编指令序列，包括使用Intel XED反汇编工具从内存热点中提取汇编指令序列。

4.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述对汇编指令序列进行处理得到指令数据集，包括：

5.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，采用Word2Vec的Skip-Gram模型将指令数据集转换为向量得到汇编指令向量集。

6.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述多个不同的深度

...

【技术特征摘要】

1.一种基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述基于深度学习的加密货币批量恶意获取的软件检测方法，包括：

3.根据权利要求1所述的基于深度学习的加密货币批量恶意获取的软件检测方法，其特征在于，所述从内存热点中提取汇编指令序列，包括使用intel xed反汇编工具从内存热点中提取汇...

【专利技术属性】
技术研发人员：朱添田，金翔，李明达，陈铁明，吕明琪，
申请(专利权)人：浙江工业大学，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人