【技术实现步骤摘要】
本专利技术属于网络安全,具体地说是一种改进resnet网络的恶意代码分类方法。
技术介绍
1、恶意代码是指经过人为设计执行恶意行为或攻击的软件,是一种对计算机系统有害的代码或网页脚本;
2、恶意代码分析技术分为动态分析和静态分析。动态分析实时监视代码行为,适用于监测加壳和混淆的恶意代码家族。而静态分析通过提取静态特征就能识别恶意行为,速度和有效性优于动态分析。传统方法需要手工提取恶意代码的特征码进行逐一比对,已经难以有效检测和分类恶意代码变种。针对这些困境,许多学者提出使用可视化方法和深度学习方法进行恶意代码分类检测。深度学习方法能提高整体检测效果,但单一特征提取可能会忽略图像的全局纹理结构特征或局部纹理特征,导致在面对部分相似的恶意代码族时检测结果较差。
3、而随着恶意代码对抗技术不断进步,出现大量恶意代码变种,诸如机器学习的传统检测方法难以对其进行有效检测,因此出现了基于神经网络的可视化恶意代码检测方法。
4、针对该类方法特征提取不充足和准确率低的问题,本申请在当前基于可视化图像的恶意软件检测方法的基础上,提出了一种新的基于混合注意力机制的恶意软件检测方法,具体在resnet网络架构的残差块尾部增加多头注意力模块,旨在充分捕捉恶意软件的关键特征,从而提高恶意软件检测的性能及鲁棒性。
技术实现思路
1、为了解决上述技术问题,本专利技术提供一种改进resnet网络的恶意代码分类方法,以解决
技术介绍
中提出的问题。
2、一种改进resne
3、s1、数据预处理,包括恶意代码可视化、图像尺寸归一化以及数据增强,将恶意代码映射为灰度图像并通过双线性插值算法对恶意图像进行尺寸归一化;
4、s2、构建bia-msa模型,基于resnet结构融合多头注意力机制,由resnet50和多头注意力与下采样组成一个交互性的网络架构;
5、s3、训练深度神经网络模型对恶意代码变种进行分类。
6、优选的,所述恶意代码可视化是将恶意代码二进制文件转化为灰度图像的过程,包括以下步骤:
7、s101、将给定的恶意代码二进制文件以每8位无符号整数为一组进行读取;
8、s102、将每组二进制数转化为十进制整型;
9、s103、根据pe文件大小确定行宽,并将其转换为二维数组;
10、s104、以二维数组中每一个元素作为图像的灰度值,将二维数组映射为灰度图像。
11、优选的,所述图像尺寸归一化是采用双线性插值算法对图像尺寸进行归一化,首先选取与恶意图像插值点直接相邻的4个像素点,然后先在x方向上进行两次线性插值运算,最后在y方向上进行线性插值计算,得到插值点的像素;具体公式如下:
12、
13、
14、
15、其中,f(x,y)是恶意图像中插值点的像素值,f(x1,y1)、f(x1,y2)、f(x2,y1)、f(x2,y2)是恶意图像插值点附近的4个像素。
16、优选的,resnet网络引入残差结构,通过shortcut连接两个权重层的输入和输出并传递自身映射,使得浅层网络直接向深层网络传递特征;输入x经过第一个权重层和激活层得到f(x),经过第二个权重层时将f(x)与x相加得到输出h(x):
17、h(x)=f(x)+x (4)
18、当残差f(x)=0时,h(x)=x,即输入x等于输出x,此时网络构成恒等映射;
19、bia-msa模型以resnet50作为基本组件,resnet50网络中包含49个卷积层、1个全连接层,其网络结构分成七个部分,第一部分不包含残差块,主要对输入进行卷积、正则化、激活函数、最大池化的计算,第二、三、四、五部分结构均包含残差块,resnet50网络结构中的卷积块不改变残差块的尺寸,只用于改变残差块的维度;
20、在resnet50网络结构中,残差块都有三层卷积,经过前五部分的卷积块提取图像特征,并将输出的特征图经过池化层转化成一个特征向量,最后输入全连接层,由softmax函数将图像进行分类。
21、优选的,所述多头注意力机制是基于缩放点积注意力机制的提升与融合,其使用一种更加分散的、并行的注意力机制,捕捉序列中不同子空间之间的相互作用和关联,缩放点积注意力机制可表示为:
22、
23、其中,q、k、v分别为查询向量、键向量和值向量,d为向量k、v的维度;
24、在缩放点积注意力机制基础上,多头注意力将输入序列进行多次“切分”,分别计算不同子空间下的注意力表示,并利用这些注意力表示构建出一个总的注意力矩阵,模型再通过一次矩阵乘法和非线性变换,得到多头注意力机制下的最终输出表示,多头注意力机制表达式为:
25、multi-head(q,k,v)=concat(head1,…,headn)w0 (6)
26、headi=attempt(qwiq,kwik,vwiv) (7)
27、需训练的参数矩阵:
28、
29、将q、k、v分别与权重矩阵运算之后得到了单个head的输出,multi-head把每个head输出进行拼接后乘以矩阵w0进行线性变换得到最终输出。
30、优选的,将msa模块替换掉resnet网络bottleneck中的3×3卷积,其余保持不变,得到新的msa模块,基于msa模块构建一个新的骨干网络,为模型检测提供多尺度特征表示能力,其中具体的msa和conv交替模式的设计规范如下:
31、a.在cnn模型的末尾使用msa替换conv块;
32、b.若添加的msa块不能提高预测性能,将之前stage末尾的conv块继续替换为msa块;
33、c.越在后stage的msa块,给定的head参数和隐藏层维度应该越大;
34、根据上述三条规范,通过调整msa和conv在整体模型中的占比,统一vit和cnn,提出一个新的网络模块msa-resnet。
35、优选的,在训练深度神经网络模型对恶意代码变种进行分类过程中,使用malimg数据集,将数据集划分训练集和验证集两个部分,其中训练集用于模型的训练,验证集用于观察和评估模型的性能,并且将数据集的90%划分为训练集,10%划分为验证集;
36、并采用准确率、精确率、召回率和f1分数四项指标对模型的性能进行评价,其公式如下:
37、
38、
39、
40、
41、其中,tp表示实际的阳性恶意代码样本被正确预测为阳性样本,fp表示实际的阴性恶意代码样本被错误地预测为阳性样本,类似的,tn表示实际的阴性恶意代码样本被正确地预测为阴性样本,fn表示实际的阳性恶意代码样本被错误地预测为阴性样本。
42、与现有技术相比,本本文档来自技高网...
【技术保护点】
1.一种改进ResNet网络的恶意代码分类方法,其特征在于,包括以下步骤:
2.如权利要求1所述一种改进ResNet网络的恶意代码分类方法,其特征在于:所述恶意代码可视化是将恶意代码二进制文件转化为灰度图像的过程,包括以下步骤:
3.如权利要求1所述一种改进ResNet网络的恶意代码分类方法,其特征在于:所述图像尺寸归一化是采用双线性插值算法对图像尺寸进行归一化,首先选取与恶意图像插值点直接相邻的4个像素点,然后先在X方向上进行两次线性插值运算,最后在Y方向上进行线性插值计算,得到插值点的像素;具体公式如下:
4.如权利要求1所述一种改进ResNet网络的恶意代码分类方法,其特征在于:ResNet网络引入残差结构,通过shortcut连接两个权重层的输入和输出并传递自身映射,使得浅层网络直接向深层网络传递特征;输入x经过第一个权重层和激活层得到F(x),经过第二个权重层时将F(x)与x相加得到输出H(x):
5.如权利要求1所述一种改进ResNet网络的恶意代码分类方法,其特征在于:所述多头注意力机制是基于缩放点积注意力机制的提升与
6.如权利要求5所述一种改进ResNet网络的恶意代码分类方法,其特征在于:将MSA模块替换掉ResNet网络Bottleneck中的3×3卷积,其余保持不变,得到新的MSA模块,基于MSA模块构建一个新的骨干网络,为模型检测提供多尺度特征表示能力,其中具体的MSA和Conv交替模式的设计规范如下:
7.如权利要求1所述一种改进ResNet网络的恶意代码分类方法,其特征在于:在训练深度神经网络模型对恶意代码变种进行分类过程中,使用Malimg数据集,将数据集划分训练集和验证集两个部分,其中训练集用于模型的训练,验证集用于观察和评估模型的性能,并且将数据集的90%划分为训练集,10%划分为验证集;
...【技术特征摘要】
1.一种改进resnet网络的恶意代码分类方法,其特征在于,包括以下步骤:
2.如权利要求1所述一种改进resnet网络的恶意代码分类方法,其特征在于:所述恶意代码可视化是将恶意代码二进制文件转化为灰度图像的过程,包括以下步骤:
3.如权利要求1所述一种改进resnet网络的恶意代码分类方法,其特征在于:所述图像尺寸归一化是采用双线性插值算法对图像尺寸进行归一化,首先选取与恶意图像插值点直接相邻的4个像素点,然后先在x方向上进行两次线性插值运算,最后在y方向上进行线性插值计算,得到插值点的像素;具体公式如下:
4.如权利要求1所述一种改进resnet网络的恶意代码分类方法,其特征在于:resnet网络引入残差结构,通过shortcut连接两个权重层的输入和输出并传递自身映射,使得浅层网络直接向深层网络传递特征;输入x经过第一个权重层和激活层得到f(x),经过第二个权重层时将f(x)与x相加得到输出h(x):
5...
【专利技术属性】
技术研发人员:李思聪,王坚,王硕,黄玮,宋亚飞,王亚男,路艳丽,雷晓莉,杨春晓,王艺菲,
申请(专利权)人:中国人民解放军空军工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。