本发明专利技术公开了基于Two‑Head异常检测模型的恶意代码样本筛选器及方法,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。并使用训练好的Two‑Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
【技术实现步骤摘要】
基于Two-Head异常检测模型的恶意代码样本筛选器及方法
本专利技术涉及信息安全
,具体涉及基于Two-Head异常检测模型的恶意代码样本筛选器及方法。
技术介绍
在网络安全领域中,基于深度学习的恶意代码检测模型不断被提出,其过程首先是对恶意代码提取其静态特征和动态特征,随后将提取到的训练数据导入到模型中进行训练并使模型收敛,以识别在网络中可能存在的恶意软件或者恶意代码。恶意代码是指在一定环境下被执行的,用于破坏计算机操作系统或者网络系统机密性、完整性、可用性的代码序列。按照在检测时被执行与否,分析恶意代码的方式通常为静态分析和动态分析。静态分析不需要执行恶意代码,而是通过逆向工程以及获取恶意程序的文件结构特征和字节流特征来判定是否为恶意程序,比较典型的静态特征包括PE文件结构特征、字节流序列特征以及通过反汇编工具得到的操作码序列特征等等;动态分析需要执行恶意代码,通过监控程序在沙箱等虚拟环境中运行时的执行过程、向操作系统请求各种服务以及内存、进程等来判定是否为恶意程序。主要包括函数API调用、操作系统内存镜像等动态行为特征,将深度学习模型用于进行恶意代码检测是目前较为流行的一种检测方式,深度学习模型是受人类大脑的神经系统启发得到的计算模型,深度学习模型通过模拟人脑的神经系统中的神经元来完成最基本的运算操作。在深度学习模型中,神经元们接受上一层的多个神经元的输入,对所有的输入加权求和后输入激活函数,最后得到神经元的输出。许多神经元互相链接生成的网络理论上可以拟合任意复杂的函数。在网络安全领域中,基于深度学习的恶意代码检测模型不断被提出,其过程首先是对恶意代码提取其静态特征和动态特征,随后将提取到的训练数据导入到模型中进行训练并使模型收敛,以识别在网络中可能存在的恶意软件或者恶意代码。大多数基于深度学习的恶意代码检测模型能够以高准确率检测出测试样本中的恶意代码,并能节省安全专家的人工分析成本,实现了端到端的检测,但是在实际应用过程中,仍然发现这些模型存在的不足之处:随着一系列恶意代码对抗检测技术被用于攻防对抗,家族内的恶意代码会随着时间演化出多种变体,这些变体在攻防对抗中会演化为新的恶意代码变种,并具有与原始代码不尽相同的特征分布。基于深度学习的恶意代码检测模型在对这些变种进行预测的时候往往不能识别出这些变种的特征分布,会使得模型在时间维度上的鲁棒性出现下降,即出现时间衰减问题。所谓时间衰减,是指由数据偏移造成的恶意代码检测模型随着时间的推移,在预测新的恶意样本的时候其预测准确率而出现下降的情况。恶意代码检测技术的时间鲁棒性是指模型经过预训练后,在测试阶段不会出现严重的时间衰减问题,由于恶意代码检测模型在训练阶段存在时间偏差,因此提升恶意代码检测模型的时间鲁棒性对于提升模型的落地性具有重要意义。对恶意代码检测模型的样本进行异常检测是一种可以预想的手段,异常检测,主要是指通过设计相关算法,发现数据中存在的与事先规定的正常行为不相符的异常行为,这些异常行为对应的数据则被称为异常样本。异常检测的应用方式包括有监督、半监督以及无监督,异常检测的使用场合也非常广泛,比如银行信用卡管理、网络流量入侵检测以及恶意代码检测等。目前常见的异常检测技术主要是基于机器学习和深度学习算法去实现的,在机器学习算法中比较典型的是支持向量机模型,该模型也适用于恶意代码检测场景,可以将其作为异常检测模型进行样本选择。但是基于支持向量机模型的异常检测技术,其结构复杂,实现有一定难度,且训练过程周期较长,效果不理想。因此,目前亟需一种结构简单、实现简便,训练周期短、效果准确率更高的恶意代码异常检测的方案。
技术实现思路
有鉴于此,本专利技术提供了基于Two-Head异常检测模型的恶意代码样本筛选器及方法,是一种能够提升恶意代码检测模型的时间鲁棒性的样本异常检测方案,其结构简单、实现简便,训练周期短且检测效果准确率更高。为达到上述目的,本专利技术的技术方案为:本专利技术的一个实施例提供了基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;不确定性度量模块的输出为分类结果标签。进一步地,特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。本专利技术另外一个实施例还提供了基于Two-Head异常检测模型的恶意代码样本筛选方法,其特征在于,该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,包括:步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本,进行数据特征提取,构建异常检测训练样本。步骤2)恶意代码检测模型基于卷积神经网络模型构建,基于此构建Two-Head异常检测模型,具体为:取恶意代码检测模型中的特征提取部分作为特征提取器,在特征提取器后并行添加第一分类层C1和第二分类层C2;第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值;第一分类概率值和第二分类概率值输入至一个不确定性度量函数中;不确定性度量函数的输出为分类结果标签。步骤3)采用恶意代码训练样本对所构建的Two-Head异常检测模型进行训练,使得Two-Head异常检测模型的损失值达到收敛,获得训练好的Two-Head异常检测模型。步骤4)使用训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。进一步地,特征提取器、第一分类层、第二分类层的超参数设置为与恶意代码检测模型相同的超参数。进一步地,步骤4)具体包括如下步骤:步骤401)取恶意代码检测模型的测试集中的恶意代码检测测试样本;将恶意代码检测测试样本输入至训练好的Two-Head异常检测模型,获得针对恶意代码检测测试样本的分类结果标签;步骤402)选取分类结果标签为设定值的恶意代码检测测试样本为正常样本,即为恶意代码样本筛选结果。进一步地,步骤1)包括如下具体步骤:S101)取恶意代码检测模型的训练集中的恶意代码检测训练样本,提取恶意代码检测训练样本的二进制字节流特征得到二进制字节序列;S102)将二进制字节序列转换成0-255区间内的10进制整数,得到整数序列。S103)对每个恶意代码检测训练样本对应的整数序列进行长度归一化处理得到数据特征提取结果,构建为异常检测训练样本。进一步地,步骤3)中,Two-Head异常检测模型本文档来自技高网...
【技术保护点】
1.基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,其特征在于,所述筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块;/n所述特征提取器包括所述恶意代码检测模型中的特征提取部分;/n所述第一分类层和所述第二分类层采用所述恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在所述特征提取器输出端;/n所述第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值;/n所述第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;所述不确定性度量模块的输出为分类结果标签。/n
【技术特征摘要】
1.基于Two-Head异常检测模型的恶意代码样本筛选器,用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,其特征在于,所述筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块;
所述特征提取器包括所述恶意代码检测模型中的特征提取部分;
所述第一分类层和所述第二分类层采用所述恶意代码检测模型中的分类层结构,第一分类层和第二分类层并行连接在所述特征提取器输出端;
所述第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值;
所述第一分类概率值和第二分类概率值输入至一个不确定性度量模块中;所述不确定性度量模块的输出为分类结果标签。
2.如权利要求1所述的样本筛选器,其特征在于,所述特征提取器、第一分类层、第二分类层的超参数设置为与所述恶意代码检测模型相同的超参数。
3.基于Two-Head异常检测模型的恶意代码样本筛选方法,其特征在于,该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选,包括:
步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本,进行数据特征提取,构建异常检测训练样本;
步骤2)所述恶意代码检测模型基于卷积神经网络模型构建,基于此构建Two-Head异常检测模型,具体为:
取所述恶意代码检测模型中的特征提取部分作为特征提取器,在所述特征提取器后并行添加第一分类层C1和第二分类层C2;所述第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值;第一分类概率值和第二分类概率值输入至一个不确定性度量函数中;所述不确定性度量函数的输出为分类结果标签;
步骤3)采用所述恶意代码训练样本对所构建的Two-Head异常检测模型进行训练,使得Two-Head异常检测模型的损失值达到收敛,获得训练好的Two-Head异常检测模型;
步骤4)使用所述训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。
4.如权利要求3所述的样本筛选器,其特征在于,所...
【专利技术属性】
技术研发人员:田东海,蔡静轩,马锐,李家硕,张博,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。