一种恶意PE文件静态检测及抗攻击的强化学习方法技术

本发明专利技术是一种基于PE文件格式和字节码对恶意PE文件进行静态检测及抗攻击强化学习的方法。本方法主要应用于恶意PE文件静态检测和恶意PE文件检测模型攻击对抗的强化学习，其核心是利用PE文件中提取的静态特征训练深度学习模型，然后用修改的PE文件攻击训练好的模型。本方法的流程为从大量PE文件中提取文件格式和字节码特征，训练深度神经网络检测模型，再用填充字节覆盖、区段前插入、PE头前插入、代码段覆盖、文件头覆盖、区段添加、导入函数添加七种技术修改PE文件，按照Double dueling‑DQN框架用修改后的PE文件对模型进行对抗强化学习。本方法基于PE文件格式和字节码特征训练恶意PE文件静态检测模型，为降低模型误报率，提高模型抗攻击能力提供了强化学习方法。

【技术实现步骤摘要】

本专利技术涉及安全检测，特别涉及一种恶意pe文件静态检测方法及该方法的抗攻击强化学习方法。

技术介绍

1、网络空间安全事件发生的频率越来越高，由此造成的经济损失也越来越多。面对这些潜在的威胁，如何快速而准确地对恶意文件与良性文件进行甄别就显得十分必要。相比基于钩子和沙箱技术的动态检测，静态检测无需运行目标样本，速度更快、效率更高，通常作为终端检测与响应系统的第一道屏障，能很大程度上满足用户兼顾性能体验和网络安全的需求。

2、因此，构建一个快速而有效的恶意pe文件静态检测模型具有重大的研究意义和应用价值。基于签名和布尔规则的恶意代码静态识别方法已不能应对当前日益严峻的网络形势，而传统机器学习算法和深度学习算法则在恶意pe文件静态检测上面的具有出色的效果。结合机器学习或深度学习算法特点对pe文件进行恰当的特征选取，就可以利用算法在恶意pe文件静态检测任务上取得优异结果。然而，静态特征是非常容易被攻击者混淆的，攻击者可以通过多种手段修改恶意pe文件，使其静态特征改变，从而影响模型对pe文件的分类判断。除此以外，一个基于深度学习或机器学习的恶意代码静态本文档来自技高网...

【技术保护点】

1.一种恶意PE文件静态检测及抗攻击的强化学习方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的一种恶意PE文件静态检测及抗攻击的强化学习模型，其特征在于，所述的步骤A中的特征提取过程包括如下：

3.根据权利要求1所述的一种恶意PE文件静态检测及抗攻击的强化学习模型，其特征在于，所述的步骤B中的构建静态检测模型过程包括如下：

4.根据权利要求1所述的一种恶意PE文件静态检测及抗攻击的强化学习模型，其特征在于，所述的步骤C中的PE文件对抗样本生成过程包括如下：

【技术特征摘要】

1.一种恶意pe文件静态检测及抗攻击的强化学习方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的一种恶意pe文件静态检测及抗攻击的强化学习模型，其特征在于，所述的步骤a中的特征提取过程包括如下：

3.根据权利要求1所述...

【专利技术属性】
技术研发人员：方勇，刘中临，许益家，梁现，王雅娴，曾岳天，
申请(专利权)人：四川大学，
类型：发明
国别省市：