【技术实现步骤摘要】
本专利技术涉及计算机处理,尤其涉及一种基于动态多专家卷积网络的恶意代码识别方法和系统。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、随着信息技术的快速发展,恶意代码(如病毒、木马、蠕虫等)已经成为网络安全中最为严重的威胁之一。传统的恶意代码检测方法主要基于签名匹配、行为分析和启发式检测。签名匹配技术通过比对已知恶意代码的特征库进行检测,然而这种方法对于未知的恶意代码无法有效识别。行为分析通过监控程序的执行行为来判断是否为恶意行为,但这要求系统对程序进行高负载的实时监控,且容易受到加密或混淆技术的干扰。启发式检测则依赖于对程序行为的规则和特征进行分析,但其精度和可靠性常常受限于规则的全面性和精准度。因此,传统的恶意代码检测方法面临较大的局限性,特别是在面对新型和变种恶意代码时。
3、开集识别是一种能够应对未知类别的机器学习任务。传统的分类模型通常假设所有测试数据都来自已知类别(即闭集识别),但在现实世界中,尤其是在恶意代码检测中,攻击者常常通过不断变化或加密的方式制造新的、未知的恶意代码样本,这些样本无法被现有模型识别。开集识别技术的目标是不仅能够对已知类别进行准确分类,还能有效识别未知类别的数据。现有的开集识别方法,如基于能量模型、深度神经网络的模型等,已经取得了一定进展,但它们仍然存在一些挑战,如对未知类别的误识别、模型鲁棒性不足以及对训练数据分布的依赖。因此,如何有效提升开集识别模型在恶意代码检测中的应用效果,提高识别准确度,降低误识别率,仍然是当前
技术实现思路
1、针对现有技术存在的不足,本专利技术的目的是提供一种基于动态多专家卷积网络的恶意代码识别方法和系统,基于深度学习,利用开集识别技术和多专家决策技术针对未知的恶意软件实现自动分类。
2、为了实现上述目的,本专利技术是通过如下的技术方案来实现:
3、本专利技术第一方面提供了一种基于动态多专家卷积网络的恶意代码识别方法,包括以下步骤:
4、获取待检测的数据,对待检测的数据进行预处理;
5、构建恶意代码检测模型,其中,恶意代码检测模型包括多个并联的专家分支,并且能够动态选择不同专家分支的输出组合;
6、利用已知数据集对恶意代码检测模型进行训练;
7、利用训练好的恶意代码检测模型对待检测的数据进行恶意代码识别。
8、进一步的,对待检测的数据进行预处理的具体步骤为:
9、将待检测的数据转换为灰度图,在转换过程中,字节被映射为十进制值,并存储在一维数组中,每个值对应灰度图中的一个像素点;
10、根据文件大小,数组将重新排列为固定宽度和可变高度的图像。
11、进一步的,构建恶意代码检测模型的具体步骤包括:
12、利用特征提取器对输入的恶意代码样本进行初步特征提取,得到提取的初步特征图;
13、利用多个专家分支分别对初步特征图进行进一步特征提取;
14、对不同分支输出的经过动态的加权融合后得到最终的特征图,其中,利用门控网络动态调整不同专家分支的输出权重。
15、更进一步的,恶意代码检测模型包括三个专家分支,专家分支1用于提取恶意代码图像中的局部信息,专家分支2用于采用空洞卷积来扩大感受野,捕捉跨多个指令的全局特征,专家分支3使用深度可分离卷积来提取特征。
16、进一步的,利用已知数据集对恶意代码检测模型进行训练的具体步骤为:
17、获取恶意代码二进制样本,并对恶意代码二进制样本进行预处理;
18、将预处理后的恶意代码二进制样本划分为已知类别样本集和未知类别样本集;
19、利用已知类别样本集对构建的恶意代码检测模型进行训练,并利用最小化总损失函数来优化参数;
20、利用未知类别样本集对训练好的样本集进行测试。
21、进一步的,总损失函数包括交叉熵损失函数和注意力多样性损失函数。
22、进一步的,采用logit值对输入的代码进行分类,并且引入动态阈值选择策略对未知类别的代码进行拒绝。
23、本专利技术第二方面提供了一种基于动态多专家卷积网络的恶意代码识别系统,包括:
24、数据获取模块,被配置为获取待检测的数据,对待检测的数据进行预处理;
25、模型构建模块,被配置为构建恶意代码检测模型,其中,恶意代码检测模型包括多个并联的专家分支,并且能够动态选择不同专家分支的输出组合;
26、模型训练模块,被配置为利用已知数据集对恶意代码检测模型进行训练;
27、恶意代码识别模块,被配置为利用训练好的恶意代码检测模型对待检测的数据进行恶意代码识别。
28、本专利技术第三方面提供了一种介质,其上存储有程序,该程序被处理器执行时实现如本专利技术第一方面所述的基于动态多专家卷积网络的恶意代码识别方法中的步骤。
29、本专利技术第四方面提供了一种设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如本专利技术第一方面所述的基于动态多专家卷积网络的恶意代码识别方法中的步骤。
30、以上一个或多个技术方案存在以下有益效果:
31、本专利技术公开了一种基于动态多专家卷积网络的恶意代码识别方法和系统,首先,本专利技术通过开集识别技术,能够不仅准确识别已知类别,还能有效区分未知类别样本,最大限度规避了传统方法引起的误分类问题。其次,采用动态多专家卷积网络结构,结合不同专家分支能够从不同特征维度提取信息,并通过门控网络动态调整各分支的贡献,提高对复杂恶意代码的识别性能和鲁棒性。此外,本专利技术引入的多样性损失函数确保了各专家分支特征的互补性,避免冗余特征,提升了分类精度与特征多样性。
32、本专利技术附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本专利技术的实践了解到。
本文档来自技高网...【技术保护点】
1.基于动态多专家卷积网络的恶意代码识别方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,对待检测的数据进行预处理的具体步骤为:
3.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,构建恶意代码检测模型的具体步骤包括:
4.如权利要求3所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,恶意代码检测模型包括三个专家分支,专家分支1用于提取恶意代码图像中的局部信息,专家分支2用于采用空洞卷积来扩大感受野,捕捉跨多个指令的全局特征,专家分支3使用深度可分离卷积来提取特征。
5.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,利用已知数据集对恶意代码检测模型进行训练的具体步骤为:
6.如权利要求5所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,总损失函数包括交叉熵损失函数和注意力多样性损失函数。
7.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,采用Logit值对
8.基于动态多专家卷积网络的恶意代码识别系统,其特征在于,包括:
9.一种计算机可读存储介质,其特征在于,其中存储有多条指令,所述指令适于由终端设备的处理器加载并执行权利要求1-7中任一项所述的基于动态多专家卷积网络的恶意代码识别方法。
10.一种终端设备,其特征在于,包括处理器和计算机可读存储介质,处理器用于实现各指令;计算机可读存储介质用于存储多条指令,所述指令适于由处理器加载并执行权利要求1-7中任一项所述的基于动态多专家卷积网络的恶意代码识别方法。
...【技术特征摘要】
1.基于动态多专家卷积网络的恶意代码识别方法,其特征在于,包括以下步骤:
2.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,对待检测的数据进行预处理的具体步骤为:
3.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,构建恶意代码检测模型的具体步骤包括:
4.如权利要求3所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,恶意代码检测模型包括三个专家分支,专家分支1用于提取恶意代码图像中的局部信息,专家分支2用于采用空洞卷积来扩大感受野,捕捉跨多个指令的全局特征,专家分支3使用深度可分离卷积来提取特征。
5.如权利要求1所述的基于动态多专家卷积网络的恶意代码识别方法,其特征在于,利用已知数据集对恶意代码检测模型进行训练的具体步骤为:
6.如权利要求5所述的基...
【专利技术属性】
技术研发人员:李鑫,胡家睿,杨淑棉,赵大伟,徐丽娟,仝丰华,宋维钊,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。