【技术实现步骤摘要】
本专利技术属于网络、软件安全,尤其涉及一种恶意软件分类方法及装置。
技术介绍
1、恶意软件(malware)是指在计算机系统上执行恶意任务的各种程序,包括病毒、蠕虫、木马、后门、勒索软件等。这些软件的目的通常是为了破坏软件进程、实施控制、中断用户设备的正常运行或对其造成危害。
2、随着恶意软件的快速发展,恶意软件分类的任务呈指数级增长,目前常用的检测方法在检测精度或检测效率方面不能满足分类需求,亟需进行解决。
3、目前,常规的恶意软件分类方法主要依赖特征匹配,这些方法大多基于已知恶意软件文件构建检测模型,旨在捕捉相似威胁模式,然而,依赖历史案例的特性,导致它们在面临与既有样本仅有细微差异或完全新型的恶意软件时无法获得较好的识别结果,对未知类型的恶意软件分类效果较差。
4、上述内容仅用于辅助理解本申请的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
1、本专利技术提供一种恶意软件分类方法及装置;该方法充分提高了恶意软件分类的准确性。
2、为实现上述目的,根据本申请实施例第一方面提供一种恶意软件分类方法,所述方法包括:基于待分类的恶意软件文件,得到所述恶意软件文件的初始图像特征和初始文本特征;
3、将所述初始图像特征和所述初始文本特征输入预训练的软件分类模型进行信息交互,得到目标图像特征和目标文本特征;
4、所述软件分类模型基于所述目标图像特征,得到第一分类结果;以及,所述软件分类模型基于所述目标文本特征
5、基于所述第一分类结果和所述第二分类结果,得到所述恶意软件文件的分类结果。
6、可选的,所述基于待分类的恶意软件文件,得到所述恶意软件文件的初始图像特征和初始文本特征,包括:
7、基于所述恶意软件文件的bytes文件和asm文件,得到所述恶意软件文件的图像表达和文本表达;
8、将所述图像表达输入预训练的图像特征提取模型,得到所述初始图像特征;
9、将所述文本表达输入预训练的文本特征提取模型,得到所述初始文本特征。
10、可选的,所述基于所述恶意软件文件的bytes文件和asm文件,得到所述恶意软件文件的图像表达和文本表达,包括:
11、将bytes文件和所述asm文件分别转换二进制表示,得到bytes文件的二进制文件和asm文件的二进制文件;
12、将所述bytes文件和所述asm文件各自的二进制文件分别以一个字节包含8位二进制数将其转换为0到255十进制数;
13、基于所述bytes文件和所述asm文件各自转换得到的十进制数表示为不同程度图像色度,得到所述bytes文件和所述asm文件各自对应的图像表达;
14、将所述asm文件中的文本段中的操作码按照出现数量进行排序;
15、基于所述排序结果,选择预设个数的出现数量最高的目标操作码;
16、基于所述目标操作码、目标操作码的出现数量和前缀提示语,得到所述恶意软件文件的文本表达。
17、可选的,所述图像特征提取模型为视觉transformer模型,所述文本特征提取模型为bert模型。
18、可选的,所述将所述初始图像特征和所述初始文本特征输入预训练的软件分类模型进行信息交互,得到目标图像特征和目标文本特征,包括:
19、将所述初始图像特征输入所述软件分类模型的图像解码器,将所述初始文本特征输入所述软件分类模型的文本解码器;
20、所述图像解码器和所述文本解码器基于交叉注意力机制,进行所述初始图像特征和所述初始文本特征的信息交互,得到目标图像特征和目标文本特征。
21、可选的,所述图像解码器输出的图像向量和所述文本解码器输出的文本向量利用交叉注意力机制进行信息交互,包括:
22、所述图像解码器输出的图像向量作为key键和value值传递给所述文本解码器的交叉注意力层,以所述文本解码器的输出作为query查询向量;所述文本解码器输出的文本向量作为query查询向量和value值传递给所述图像解码器的交叉注意力层,以所述文本解码器的输出作为key键。
23、可选的,所述软件分类模型基于所述目标图像特征,得到第一分类结果,包括:
24、将所述目标图像特征输入所述软件分类模型的第一分类器,得到第一分类结果;
25、所述软件分类模型基于所述目标文本特征,得到第二分类结果,包括:
26、将所述目标文本特征输入所述软件分类模型的第二分类器,得到第二分类结果。
27、可选的,所述方法还包括:训练所述软件分类模型,其中所述软件分类模型的训练方法包括:
28、基于预设的恶意软件文件,得到初始样本图像特征和初始样本文本特征;
29、将所述初始样本图像特征和所述初始样本文本特征输入待训练的软件分类模型进行信息交互,得到目标样本图像特征和目标样本文本特征;
30、待训练的所述软件分类模型基于所述目标样本图像特征,得到第一样本分类结果;以及,所述软件分类模型基于所述目标样本文本特征,得到第二样本分类结果;
31、基于所述第一样本分类结果、所述第二样本分类结果和交叉熵损失函数,对所述软件分类模型进行训练,其中,在所述交叉熵损失函数中添加l2正则化,使用adamw优化器。
32、为实现上述目的,根据本申请实施例第二方面还提供一种恶意软件分类方法装置,所述装置包括:特征提取模块,用于基于待分类的恶意软件文件,得到所述恶意软件文件的初始图像特征和初始文本特征;
33、信息交互模块,用于将所述初始图像特征和所述初始文本特征输入预训练的软件分类模型进行信息交互,得到目标图像特征和目标文本特征;
34、初步分类模块,用于所述软件分类模型基于所述目标图像特征,得到第一分类结果;以及,所述软件分类模型基于所述目标文本特征,得到第二分类结果;
35、结果输出模块,用于基于所述第一分类结果和所述第二分类结果,得到所述恶意软件文件的分类结果。
36、为实现上述目的,根据本申请实施例第三方面还提供一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如第一方面所述的方法。
37、与现有技术相比,本专利技术实施例提供一种恶意软件分类方法及装置,该包括:首先,基于待分类的恶意软件文件,得到恶意软件文件的初始图像特征和初始文本特征。其次,将初始图像特征和初始文本特征输入预训练的软件分类模型进行信息交互,得到目标图像特征和目标文本特征。之后,软件分类模型基于目标图像特征,得到第一分类结果;以及,软件分类模型基于目标文本特征,得到第二分类结果。最后,基于第一分类结果和第二分类结果,得到恶意软件文件的分类结果。由此,通过将恶意软件文件转换为图像表示形式和文本表示形式,对两种表达形式进行特征提取过程中进行两者的信息交互,充分考虑了对分包含本文档来自技高网...
【技术保护点】
1.一种恶意软件分类方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于待分类的恶意软件文件,得到所述恶意软件文件的初始图像特征和初始文本特征,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述恶意软件文件的bytes文件和asm文件,得到所述恶意软件文件的图像表达和文本表达,包括:
4.根据权利要求2所述的方法,其特征在于,所述图像特征提取模型为视觉Transformer模型,所述文本特征提取模型为BERT模型。
5.根据权利要求1所述的方法,其特征在于,所述将所述初始图像特征和所述初始文本特征输入预训练的软件分类模型进行信息交互,得到目标图像特征和目标文本特征,包括:
6.根据权利要求5所述的方法,其特征在于,所述图像解码器输出的图像向量和所述文本解码器输出的文本向量利用交叉注意力机制进行信息交互,包括:
7.根据权利要求1所述的方法,其特征在于,所述软件分类模型基于所述目标图像特征,得到第一分类结果,包括:
8.根据权利要求1所述的方法,其特征在于
9.一种恶意软件分类装置,其特征在于,所述装置包括:
10.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求1-8中任一项所述的方法。
...【技术特征摘要】
1.一种恶意软件分类方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于待分类的恶意软件文件,得到所述恶意软件文件的初始图像特征和初始文本特征,包括:
3.根据权利要求2所述的方法,其特征在于,所述基于所述恶意软件文件的bytes文件和asm文件,得到所述恶意软件文件的图像表达和文本表达,包括:
4.根据权利要求2所述的方法,其特征在于,所述图像特征提取模型为视觉transformer模型,所述文本特征提取模型为bert模型。
5.根据权利要求1所述的方法,其特征在于,所述将所述初始图像特征和所述初始文本特征输入预训练的软件分类模型进行信息交互...
【专利技术属性】
技术研发人员:王湖,尹鹏,赵濛,侯方圆,宋雨浓,姚春宇,郭琳哲,
申请(专利权)人:军工保密资格审查认证中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。