嘗試了前端融合,、后端融合和中間融合三種融合方法對進行有效融合,,有效提高了惡意軟件的準確率,,具備較好的泛化性能和魯棒性,。實驗結果顯示,,相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能,其中較優(yōu)的中間融合方法取得了%的準確率,,對數(shù)損失為,,auc值為。有效解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測結果準確率不高,、可靠性低,、泛化性和魯棒性不佳的問題。另外,,惡意軟件很難同時偽造良性軟件的多個抽象層次的特征以逃避檢測,,本發(fā)明實施例同時融合軟件的二進制可執(zhí)行文件的多個抽象層次的特征,可準確檢測出偽造良性軟件特征的惡意軟件,,解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法難以檢測出偽造良性軟件特征的惡意軟件的問題,。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,,顯而易見地,,下面描述中的附圖**是本發(fā)明的一些實施例,對于本領域普通技術人員來講,,在不付出創(chuàng)造性勞動的前提下,,還可以根據這些附圖獲得其他的附圖。圖1是前端融合方法的流程圖,。數(shù)據驅動決策:艾策科技如何提升企業(yè)競爭力,。石家莊第三方軟件檢測機構
此外格式結構信息具有明顯的語義信息,但基于格式結構信息的檢測方法沒有提取決定軟件行為的代碼節(jié)和數(shù)據節(jié)信息作為特征,。某一種類型的特征都從不同的視角反映刻畫了可執(zhí)行文件的一些性質,,字節(jié)碼n-grams、dll和api信息,、格式結構信息都部分捕捉到了惡意軟件和良性軟件間的可區(qū)分信息,,但都存在著一定的局限性,不能充分,、綜合,、整體的表示可執(zhí)行文件的本質,使得檢測結果準確率不高,、可靠性低,、泛化性和魯棒性不佳。此外,,惡意軟件通常偽造出和良性軟件相似的特征,,逃避反**軟件的檢測,。技術實現(xiàn)要素:本發(fā)明實施例的目的在于提供一種基于多模態(tài)深度學習的惡意軟件檢測方法,以解決現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測準確率不高,、檢測可靠性低,、泛化性和魯棒性不佳的問題,以及其難以檢測出偽造良性軟件特征的惡意軟件的問題,。本發(fā)明實施例所采用的技術方案是,,基于多模態(tài)深度學習的惡意軟件檢測方法,按照以下步驟進行:步驟s1,、提取軟件樣本的二進制可執(zhí)行文件的dll和api信息,、pe格式結構信息以及字節(jié)碼n-grams的特征表示,生成軟件樣本的dll和api信息特征視圖,、格式信息特征視圖以及字節(jié)碼n-grams特征視圖,。蘭州第三方軟件測試中心企業(yè)數(shù)字化轉型指南:艾策科技的實用建議。
在數(shù)字化轉型加速的,,軟件檢測公司已成為保障各行業(yè)信息化系統(tǒng)穩(wěn)定運行的力量,。深圳艾策信息科技有限公司作為國內軟件檢測公司領域的企業(yè),始終以技術創(chuàng)新為驅動力,,深耕電力能源,、科研教育、政企單位,、研發(fā)科技及醫(yī)療機構等垂直場景,,為客戶提供從需求分析到運維優(yōu)化的全鏈條質量保障服務。以專業(yè)能力筑牢行業(yè)壁壘作為專注于軟件檢測的技術型企業(yè),,艾策科技通過AI驅動的智能檢測平臺,,實現(xiàn)了測試流程的自動化、化與智能化,。其產品一一軟件檢測系統(tǒng),,整合漏洞掃描、壓力測試,、合規(guī)性驗證等20余項功能模塊,,可快速定位代碼缺陷、性能瓶頸及安全風險,,幫助客戶將軟件故障率降低60%以上,。針對電力能源行業(yè),艾策科技開發(fā)了電網調度系統(tǒng)專項檢測方案,,成功保障某省級電力公司百萬級用戶數(shù)據安全,;在科研教育領域,其實驗室管理軟件檢測服務覆蓋全國50余所高校,助力科研數(shù)據存儲與分析的合規(guī)性升級,。此外,公司為政企單位政務云平臺,、研發(fā)科技企業(yè)創(chuàng)新產品,、醫(yī)療機構智慧醫(yī)療系統(tǒng)提供的定制化檢測服務,均獲得客戶高度認可,。差異化服務塑造行業(yè)作為軟件檢測公司,,艾策科技突破傳統(tǒng)檢測模式,推出“檢測+培訓+咨詢”一體化服務體系,。通過定期發(fā)布行業(yè)安全白皮書,、舉辦技術研討會。
本發(fā)明屬于惡意軟件防護技術領域::,,涉及一種基于多模態(tài)深度學習的惡意軟件檢測方法,。背景技術:::惡意軟件是指在未明確提示用戶或未經用戶許可的情況下,故意編制或設置的,,對網絡或系統(tǒng)會產生威脅或潛在威脅的計算機軟件,。常見的惡意軟件有計算機**(簡稱**)、特洛伊木馬(簡稱木馬),、計算機蠕蟲(簡稱蠕蟲),、后門、邏輯**等,。惡意軟件可能在用戶不知情的情況下竊取計算機用戶的信息和隱私,,也可能非法獲得計算機系統(tǒng)和網絡資源的控制,破壞計算機和網絡的可信性,、完整性和可用性,,從而為惡意軟件控制者謀取非法利益。騰訊安全發(fā)布的《2017年度互聯(lián)網安全報告》顯示,,2017年騰訊電腦管家pc端總計攔截**近30億次,,平均每月攔截木馬**近,共發(fā)現(xiàn)**或木馬***,。這些數(shù)目龐大,、名目繁多的惡意軟件侵蝕著我國的***、經濟,、文化,、***等各個領域的信息安全,帶來了前所未有的挑戰(zhàn),。當前的反**軟件主要采用基于特征碼的檢測方法,,這種方法通過對代碼進行充分研究,獲得惡意軟件特征值(即每種惡意軟件所獨有的十六進制代碼串),如字節(jié)序列,、特定的字符串等,,通過匹配查找軟件中是否包含惡意軟件特征庫中的特征碼來判斷其是否為惡意軟件。兼容性測試涵蓋35款設備,,通過率91.4%,。
以備實際測試嚴重偏離計劃時使用。在TMM的定義級,,測試過程中引入計劃能力,,在TMM的集成級,測試過程引入控制和監(jiān)視活動,。兩者均為測試過程提供了可見性,,為測試過程持續(xù)進行提供保證。第四級管理和測量級在管理和測量級,,測試活動除測試被測程序外,,還包括軟件生命周期中各個階段的評審,審查和追查,,使測試活動涵蓋了軟件驗證和軟件確認活動,。根據管理和測量級的要求,軟件工作產品以及與測試相關的工作產品,,如測試計劃,,測試設計和測試步驟都要經過評審。因為測試是一個可以量化并度量的過程,。為了測量測試過程,,測試人員應建立測試數(shù)據庫。收集和記錄各軟件工程項目中使用的測試用例,,記錄缺陷并按缺陷的嚴重程度劃分等級,。此外,所建立的測試規(guī)程應能夠支持軟件組終對測試過程的控制和測量,。管理和測量級有3個要實現(xiàn)的成熟度目標:建立**范圍內的評審程序,,建立測試過程的測量程序和軟件質量評價。(I)建立**范圍內的評審程序軟件**應在軟件生命周期的各階段實施評審,,以便盡早有效地識別,,分類和消除軟件中的缺陷。建立評審程序有4個子目標:1)管理層要制訂評審政策支持評審過程,。2)測試組和軟件質量保證組要確定并文檔化整個軟件生命周期中的評審目標,,評審計劃。代碼審計發(fā)現(xiàn)2處潛在內存泄漏風險,,建議版本迭代修復,。蘭州第三方軟件測試中心
跨設備測試報告指出平板端UI元素存在比例失調問題,。石家莊第三方軟件檢測機構
在不知道多長的子序列能更好的表示可執(zhí)行文件的情況下,只能以固定窗口大小在字節(jié)碼序列中滑動,,產生大量的短序列,,由機器學習方法選擇可能區(qū)分惡意軟件和良性軟件的短序列作為特征,產生短序列的方法叫n-grams,�,!�080074ff13b2”的字節(jié)碼序列,如果以3-grams產生連續(xù)部分重疊的短序列,,將得到“080074”、“0074ff”,、“74ff13”,、“ff13b2”四個短序列。每個短序列特征的權重表示有多種方法,。**簡單的方法是如果該短序列在具體樣本中出現(xiàn),,就表示為1;如果沒有出現(xiàn),,就表示為0,,也可以用。本實施例采用3-grams方法提取特征,,3-grams產生的短序列非常龐大,,將產生224=(16,777,216)個特征,如此龐大的特征集在計算機內存中存儲和算法效率上都是問題,。如果短序列特征的tf較小,,對機器學習可能沒有意義,選取了tf**高的5000個短序列特征,,計算每個短序列特征的,,每個短序列特征的權重是判斷其所在軟件樣本是否為惡意軟件的依據,也是區(qū)分每個軟件樣本的依據,。(4)前端融合前端融合的架構如圖4所示,,前端融合方式將三種模態(tài)的特征合并,然后輸入深度神經網絡,,隱藏層的***函數(shù)為relu,,輸出層的***函數(shù)是sigmoid,中間使用dropout層進行正則化,,防止過擬合,,優(yōu)化器。石家莊第三方軟件檢測機構
