嘗試了前端融合,、后端融合和中間融合三種融合方法對進行有效融合,有效提高了惡意軟件的準確率,,具備較好的泛化性能和魯棒性,。實驗結果顯示,,相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能,,其中較優(yōu)的中間融合方法取得了%的準確率,對數(shù)損失為,,auc值為,。有效解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測結果準確率不高,、可靠性低、泛化性和魯棒性不佳的問題,。另外,,惡意軟件很難同時偽造良性軟件的多個抽象層次的特征以逃避檢測,本發(fā)明實施例同時融合軟件的二進制可執(zhí)行文件的多個抽象層次的特征,,可準確檢測出偽造良性軟件特征的惡意軟件,,解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法難以檢測出偽造良性軟件特征的惡意軟件的問題。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,,顯而易見地,下面描述中的附圖**是本發(fā)明的一些實施例,,對于本領域普通技術人員來講,,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖,。圖1是前端融合方法的流程圖,。用戶體驗測評中界面交互評分低于同類產(chǎn)品均值15.6%。上海第三方軟件測評中心
4)建立與用戶或客戶的聯(lián)系,,收集他們對測試的需求和建議,。(II)制訂技術培訓計劃為高效率地完成好測試工作,測試人員必須經(jīng)過適當?shù)呐嘤�,。制訂技術培訓規(guī)劃有3個子目標:1)制訂**的培訓計劃,,并在管理上提供包括經(jīng)費在內(nèi)的支持。2)制訂培訓目標和具體的培訓計劃,。3)成立培訓組,,配備相應的工具,設備和教材(III)軟件全生命周期測試提高測試成熟度和改善軟件產(chǎn)品質量都要求將測試工作與軟件生命周期中的各個階段聯(lián)系起來,。該目標有4個子目標:1)將測試階段劃分為子階段,,并與軟件生命周期的各階段相聯(lián)系。2)基于已定義的測試子階段,,采用軟件生命周期V字模型,。3)制訂與淵試相關的工作產(chǎn)品的標準。4)建立測試人員與開發(fā)人員共同工作的機制,。這種機制有利于促進將測試活動集成于軟件生命周期中(IV)控制和監(jiān)視測試過程為控制和監(jiān)視測試過程,,軟件**需采取相應措施,如:制訂測試產(chǎn)品的標準,,制訂與測試相關的偶發(fā)事件的處理預案,,確定測試里程碑,確定評估測試效率的度量,,建立測試日志等,�,?刂坪捅O(jiān)視測試過程有3個子目標:1)制訂控制和監(jiān)視測試過程的機制和政策。2)定義,,記錄并分配一組與測試過程相關的基本測量,。3)開發(fā),記錄并文檔化一組糾偏措施和偶發(fā)事件處理預案,。上海第三方軟件測評中心企業(yè)數(shù)字化轉型指南:艾策科技的實用建議,。
這樣做的好處是,融合模型的錯誤來自不同的分類器,,而來自不同分類器的錯誤往往互不相關,、互不影響,不會造成錯誤的進一步累加,。常見的后端融合方式包括**大值融合(max-fusion),、平均值融合(averaged-fusion)、貝葉斯規(guī)則融合(bayes’rulebased)以及集成學習(ensemblelearning)等,。其中集成學習作為后端融合方式的典型**,,被廣泛應用于通信、計算機識別,、語音識別等研究領域,。中間融合是指將不同的模態(tài)數(shù)據(jù)先轉化為高等特征表達,再于模型的中間層進行融合,,如圖3所示,。以深度神經(jīng)網(wǎng)絡為例,神經(jīng)網(wǎng)絡通過一層一層的管道映射輸入,,將原始輸入轉換為更高等的表示,。中間融合首先利用神經(jīng)網(wǎng)絡將原始數(shù)據(jù)轉化成高等特征表達,然后獲取不同模態(tài)數(shù)據(jù)在高等特征空間上的共性,,進而學習一個聯(lián)合的多模態(tài)表征,。深度多模態(tài)融合的大部分工作都采用了這種中間融合的方法,其***享表示層是通過合并來自多個模態(tài)特定路徑的連接單元來構建的,。中間融合方法的一大優(yōu)勢是可以靈活的選擇融合的位置,,但設計深度多模態(tài)集成結構時,確定如何融合,、何時融合以及哪些模式可以融合,,是比較有挑戰(zhàn)的問題。字節(jié)碼n-grams,、dll和api信息,、格式結構信息這三種類型的特征都具有自身的優(yōu)勢。
程序利用windows提供的接口(windowsapi)實現(xiàn)程序的功能,。通過一個可執(zhí)行程序引用的動態(tài)鏈接庫(dll)和應用程序接口(api)可以粗略的預測該程序的功能和行為,。統(tǒng)計所有樣本的導入節(jié)中引用的dll和api的頻率,,留下引用頻率**高的60個dll和500個api,。提取特征時,,每個樣本的導入節(jié)里存在選擇出的dll或api,該特征以1表示,,不存在則以0表示,,提取的560個dll和api特征作為***個特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫,,初衷是希望能開發(fā)一個在所有windows平臺上和所有cpu上都可執(zhí)行的通用文件格式,。pe格式文件是封裝windows操作系統(tǒng)加載程序所需的信息和管理可執(zhí)行代碼的數(shù)據(jù)結構,數(shù)據(jù)**是大量的字節(jié)碼和數(shù)據(jù)結構的有機融合,。pe文件格式被**為一個線性的數(shù)據(jù)流,,由pe文件頭、節(jié)表和節(jié)實體組成,。惡意軟件或被惡意軟件***的可執(zhí)行文件,,它本身也遵循格式要求的約束,但可能存在以下特定格式異常:(1)代碼從**后一節(jié)開始執(zhí)行,;(2)節(jié)頭部可疑的屬性,;(3)pe可選頭部有效尺寸的值不正確;(4)節(jié)之間的“間縫”,;(5)可疑的代碼重定向,;(6)可疑的代碼節(jié)名稱;(7)可疑的頭部***,;(8)來自,;(9)導入地址表被修改;(10)多個pe頭部,;(11)可疑的重定位信息,;。艾策檢測為新能源汽車電池提供安全性能深度解析,。
在不知道多長的子序列能更好的表示可執(zhí)行文件的情況下,,只能以固定窗口大小在字節(jié)碼序列中滑動,產(chǎn)生大量的短序列,,由機器學習方法選擇可能區(qū)分惡意軟件和良性軟件的短序列作為特征,,產(chǎn)生短序列的方法叫n-grams�,!�080074ff13b2”的字節(jié)碼序列,,如果以3-grams產(chǎn)生連續(xù)部分重疊的短序列,將得到“080074”,、“0074ff”,、“74ff13”,、“ff13b2”四個短序列。每個短序列特征的權重表示有多種方法,。**簡單的方法是如果該短序列在具體樣本中出現(xiàn),,就表示為1;如果沒有出現(xiàn),,就表示為0,,也可以用。本實施例采用3-grams方法提取特征,,3-grams產(chǎn)生的短序列非常龐大,,將產(chǎn)生224=(16,777,216)個特征,如此龐大的特征集在計算機內(nèi)存中存儲和算法效率上都是問題,。如果短序列特征的tf較小,,對機器學習可能沒有意義,選取了tf**高的5000個短序列特征,,計算每個短序列特征的,,每個短序列特征的權重是判斷其所在軟件樣本是否為惡意軟件的依據(jù),也是區(qū)分每個軟件樣本的依據(jù),。(4)前端融合前端融合的架構如圖4所示,,前端融合方式將三種模態(tài)的特征合并,然后輸入深度神經(jīng)網(wǎng)絡,,隱藏層的***函數(shù)為relu,,輸出層的***函數(shù)是sigmoid,中間使用dropout層進行正則化,,防止過擬合,,優(yōu)化器。深圳艾策信息科技:可持續(xù)發(fā)展的 IT 解決方案,。石家莊軟件評測公司
整合多學科團隊的定制化檢測方案,,體現(xiàn)艾策服務于制造的技術深度。上海第三方軟件測評中心
將三種模態(tài)特征和三種融合方法的結果進行了對比,,如表3所示,。從表3可以看出,前端融合和中間融合較基于模態(tài)特征的檢測準確率更高,,損失率更低,。后端融合是三種融合方法中較弱的,雖然明顯優(yōu)于基于dll和api信息,、pe格式結構特征的實驗結果,,但稍弱于基于字節(jié)碼3-grams特征的結果。中間融合是三種融合方法中**好的,各項性能指標都非常接近**優(yōu)值,。表3實驗結果對比本實施例提出了基于多模態(tài)深度學習的惡意軟件檢測方法,,提取了三種模態(tài)的特征(dll和api信息、pe格式結構信息和字節(jié)碼3-grams),,提出了通過三種融合方式(前端融合,、后端融合、中間融合)集成三種模態(tài)的特征,,有效提高惡意軟件檢測的準確率和魯棒性,。實驗結果顯示,,相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能,,其中較優(yōu)的中間融合方法取得了%的準確率,對數(shù)損失為,,auc值為,,各項性能指標已接近**優(yōu)值�,?紤]到樣本集可能存在噪聲,,本實施例提出的方法已取得了比較理想的結果。由于惡意軟件很難同時偽造多個模態(tài)的特征,,本實施例提出的方法比單模態(tài)特征方法更魯棒,。以上所述*為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍,。上海第三方軟件測評中心
