嘗試了前端融合、后端融合和中間融合三種融合方法對進(jìn)行有效融合,，有效提高了惡意軟件的準(zhǔn)確率,，具備較好的泛化性能和魯棒性。實驗結(jié)果顯示,，相對**且互補的特征視圖和不同深度學(xué)習(xí)融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能,，其中較優(yōu)的中間融合方法取得了％的準(zhǔn)確率，對數(shù)損失為，auc值為,。有效解決了現(xiàn)有采用二進(jìn)制可執(zhí)行文件的單一特征類型進(jìn)行惡意軟件檢測的檢測方法檢測結(jié)果準(zhǔn)確率不高,、可靠性低、泛化性和魯棒性不佳的問題,。另外,，惡意軟件很難同時偽造良性軟件的多個抽象層次的特征以逃避檢測，本發(fā)明實施例同時融合軟件的二進(jìn)制可執(zhí)行文件的多個抽象層次的特征,，可準(zhǔn)確檢測出偽造良性軟件特征的惡意軟件,，解決了現(xiàn)有采用二進(jìn)制可執(zhí)行文件的單一特征類型進(jìn)行惡意軟件檢測的檢測方法難以檢測出偽造良性軟件特征的惡意軟件的問題。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,，顯而易見地，下面描述中的附圖**是本發(fā)明的一些實施例,，對于本領(lǐng)域普通技術(shù)人員來講,，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖,。圖1是前端融合方法的流程圖,。可靠性評估連續(xù)運行72小時出現(xiàn)2次非致命錯誤,。山東cma軟件測試

    降低成本對每個階段都進(jìn)行測試,，包括文檔，便于控制項目過程缺點依賴文檔,，沒有文檔的項目無法使用,，復(fù)雜度很高，實踐需要很強的管理H模型把測試活動完全**出來,，將測試準(zhǔn)備和測試執(zhí)行體現(xiàn)出來測試準(zhǔn)備-測試執(zhí)行就緒點其他流程----------設(shè)計等v模型適用于中小企業(yè)需求在開始必須明確,，不適用變更需求w模型適用于中大企業(yè)包括文檔也需要測試（需求分析文檔概要設(shè)計文檔詳細(xì)設(shè)計文檔代碼文檔）測試和開發(fā)同步進(jìn)行H模型對公司參與人員技能和溝通要求高測試階段單元測試-集成測試-系統(tǒng)測試-驗證測試是否覆蓋代碼白盒測試-黑盒測試-灰盒測試是否運行靜態(tài)測試-動態(tài)測試測試手段人工測試-自動化測試其他測試回歸測試-冒*測試功能測試一般功能測試-界面測試-易用性測試-安裝測試-兼容性測試性能測試穩(wěn)定性測試-負(fù)載測試-壓力測試-時間性能-空間性能負(fù)載測試確定在各種工作負(fù)載下，系統(tǒng)各項指標(biāo)變化情況壓力測試:通過確定一個系統(tǒng)的剛好不能接受的性能點,。獲得系統(tǒng)能夠提供的**大服務(wù)級別測試用例為特定的目的而設(shè)計的一組測試輸入,，執(zhí)行條件和預(yù)期結(jié)果，以便測試是否滿足某個特定需求,。通過大量的測試用例來檢測軟件的運行效果,，它是指導(dǎo)測試工作進(jìn)行的依據(jù),。軟件測試中的安全測試安全掃描確認(rèn)軟件通過ISO 27001標(biāo)準(zhǔn),，無高危漏洞記錄。

    特征之間存在部分重疊,，但特征類型間存在著互補,，融合這些不同抽象層次的特征可更好的識別軟件的真正性質(zhì)。且惡意軟件通常偽造出和良性軟件相似的特征，逃避反**軟件的檢測,，但惡意軟件很難同時偽造多個抽象層次的特征逃避檢測,。基于該觀點,，本發(fā)明實施例提出一種基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測方法,，以實現(xiàn)對惡意軟件的有效檢測，提取了三種模態(tài)的特征(dll和api信息,、pe格式結(jié)構(gòu)信息和字節(jié)碼3-grams),，提出了通過前端融合、后端融合和中間融合這三種融合方式集成三種模態(tài)的特征,，有效提高惡意軟件檢測的準(zhǔn)確率和魯棒性,，具體步驟如下：步驟s1、提取軟件樣本的二進(jìn)制可執(zhí)行文件的dll和api信息,、pe格式結(jié)構(gòu)信息以及字節(jié)碼n-grams的特征表示,，生成軟件樣本的dll和api信息特征視圖、格式信息特征視圖以及字節(jié)碼n-grams特征視圖,；統(tǒng)計當(dāng)前軟件樣本的導(dǎo)入節(jié)中引用的dll和api,，提取得到當(dāng)前軟件樣本的二進(jìn)制可執(zhí)行文件的dll和api信息的特征表示。對當(dāng)前軟件樣本的二進(jìn)制可執(zhí)行文件進(jìn)行格式結(jié)構(gòu)解析,，并按照格式規(guī)范提取**該軟件樣本的格式結(jié)構(gòu)信息,，得到該軟件樣本的二進(jìn)制可執(zhí)行文件的pe格式結(jié)構(gòu)信息的特征表示。

    本發(fā)明屬于惡意軟件防護(hù)技術(shù)領(lǐng)域：：,，涉及一種基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測方法,。背景技術(shù)：：：惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，故意編制或設(shè)置的,，對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機軟件,。常見的惡意軟件有計算機**(簡稱**)、特洛伊木馬(簡稱木馬),、計算機蠕蟲(簡稱蠕蟲),、后門、邏輯**等,。惡意軟件可能在用戶不知情的情況下竊取計算機用戶的信息和隱私,，也可能非法獲得計算機系統(tǒng)和網(wǎng)絡(luò)資源的控制，破壞計算機和網(wǎng)絡(luò)的可信性,、完整性和可用性,，從而為惡意軟件控制者謀取非法利益。騰訊安全發(fā)布的《2017年度互聯(lián)網(wǎng)安全報告》顯示,，2017年騰訊電腦管家pc端總計攔截**近30億次,，平均每月攔截木馬**近,，共發(fā)現(xiàn)**或木馬***。這些數(shù)目龐大,、名目繁多的惡意軟件侵蝕著我國的***,、經(jīng)濟、文化,、***等各個領(lǐng)域的信息安全,，帶來了前所未有的挑戰(zhàn)。當(dāng)前的反**軟件主要采用基于特征碼的檢測方法,，這種方法通過對代碼進(jìn)行充分研究,，獲得惡意軟件特征值(即每種惡意軟件所獨有的十六進(jìn)制代碼串)，如字節(jié)序列,、特定的字符串等,，通過匹配查找軟件中是否包含惡意軟件特征庫中的特征碼來判斷其是否為惡意軟件。覆蓋軟件功能與性能的多維度檢測方案設(shè)計與實施,！

    將三種模態(tài)特征和三種融合方法的結(jié)果進(jìn)行了對比,，如表3所示。從表3可以看出,，前端融合和中間融合較基于模態(tài)特征的檢測準(zhǔn)確率更高,，損失率更低。后端融合是三種融合方法中較弱的,，雖然明顯優(yōu)于基于dll和api信息,、pe格式結(jié)構(gòu)特征的實驗結(jié)果，但稍弱于基于字節(jié)碼3-grams特征的結(jié)果,。中間融合是三種融合方法中**好的,，各項性能指標(biāo)都非常接近**優(yōu)值。表3實驗結(jié)果對比本實施例提出了基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測方法,，提取了三種模態(tài)的特征(dll和api信息,、pe格式結(jié)構(gòu)信息和字節(jié)碼3-grams)，提出了通過三種融合方式(前端融合,、后端融合,、中間融合)集成三種模態(tài)的特征，有效提高惡意軟件檢測的準(zhǔn)確率和魯棒性,。實驗結(jié)果顯示,，相對**且互補的特征視圖和不同深度學(xué)習(xí)融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能，其中較優(yōu)的中間融合方法取得了％的準(zhǔn)確率,，對數(shù)損失為,，auc值為，各項性能指標(biāo)已接近**優(yōu)值,?？紤]到樣本集可能存在噪聲，本實施例提出的方法已取得了比較理想的結(jié)果,。由于惡意軟件很難同時偽造多個模態(tài)的特征,，本實施例提出的方法比單模態(tài)特征方法更魯棒。以上所述*為本發(fā)明的較佳實施例而已,，并非用于限定本發(fā)明的保護(hù)范圍,。數(shù)字化轉(zhuǎn)型中的挑戰(zhàn)與應(yīng)對：艾策科技的經(jīng)驗分享。山東省軟件評測

艾策檢測為新能源汽車電池提供安全性能深度解析,。山東cma軟件測試

    程序利用windows提供的接口(windowsapi)實現(xiàn)程序的功能,。通過一個可執(zhí)行程序引用的動態(tài)鏈接庫(dll)和應(yīng)用程序接口(api)可以粗略的預(yù)測該程序的功能和行為。統(tǒng)計所有樣本的導(dǎo)入節(jié)中引用的dll和api的頻率,，留下引用頻率**高的60個dll和500個api,。提取特征時，每個樣本的導(dǎo)入節(jié)里存在選擇出的dll或api,，該特征以1表示,，不存在則以0表示，提取的560個dll和api特征作為***個特征視圖,。提取格式信息特征視圖pe是portableexecutable的縮寫,，初衷是希望能開發(fā)一個在所有windows平臺上和所有cpu上都可執(zhí)行的通用文件格式。pe格式文件是封裝windows操作系統(tǒng)加載程序所需的信息和管理可執(zhí)行代碼的數(shù)據(jù)結(jié)構(gòu),，數(shù)據(jù)**是大量的字節(jié)碼和數(shù)據(jù)結(jié)構(gòu)的有機融合,。pe文件格式被**為一個線性的數(shù)據(jù)流，由pe文件頭,、節(jié)表和節(jié)實體組成,。惡意軟件或被惡意軟件***的可執(zhí)行文件，它本身也遵循格式要求的約束,，但可能存在以下特定格式異常：(1)代碼從**后一節(jié)開始執(zhí)行,；(2)節(jié)頭部可疑的屬性；(3)pe可選頭部有效尺寸的值不正確,；(4)節(jié)之間的“間縫”,；(5)可疑的代碼重定向；(6)可疑的代碼節(jié)名稱,；(7)可疑的頭部***,；(8)來自；(9)導(dǎo)入地址表被修改,；(10)多個pe頭部,；(11)可疑的重定位信息；,。山東cma軟件測試