本發(fā)明屬于惡意軟件防護(hù)技術(shù)領(lǐng)域：：,，涉及一種基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測方法,。背景技術(shù)：：：惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下,，故意編制或設(shè)置的,，對網(wǎng)絡(luò)或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機(jī)軟件。常見的惡意軟件有計算機(jī)**(簡稱**),、特洛伊木馬(簡稱木馬),、計算機(jī)蠕蟲(簡稱蠕蟲)、后門,、邏輯**等,。惡意軟件可能在用戶不知情的情況下竊取計算機(jī)用戶的信息和隱私，也可能非法獲得計算機(jī)系統(tǒng)和網(wǎng)絡(luò)資源的控制,，破壞計算機(jī)和網(wǎng)絡(luò)的可信性,、完整性和可用性，從而為惡意軟件控制者謀取非法利益,。騰訊安全發(fā)布的《2017年度互聯(lián)網(wǎng)安全報告》顯示,，2017年騰訊電腦管家pc端總計攔截**近30億次，平均每月攔截木馬**近,，共發(fā)現(xiàn)**或木馬***,。這些數(shù)目龐大、名目繁多的惡意軟件侵蝕著我國的***,、經(jīng)濟(jì),、文化、***等各個領(lǐng)域的信息安全,，帶來了前所未有的挑戰(zhàn),。當(dāng)前的反**軟件主要采用基于特征碼的檢測方法,，這種方法通過對代碼進(jìn)行充分研究，獲得惡意軟件特征值(即每種惡意軟件所獨有的十六進(jìn)制代碼串),，如字節(jié)序列,、特定的字符串等，通過匹配查找軟件中是否包含惡意軟件特征庫中的特征碼來判斷其是否為惡意軟件,。覆蓋軟件功能與性能的多維度檢測方案設(shè)計與實施,！廣州第三方軟件測試中心

    針對cma和cnas第三方軟件測試機(jī)構(gòu)的資質(zhì),，客戶在確定合作前需要同時確認(rèn)資質(zhì)的有效期,，因為軟件測試資質(zhì)都是有一定有效期的,，如果軟件測試公司在業(yè)務(wù)開展的過程中有違規(guī)或者不受認(rèn)可的操作和行為,，有可能會被吊銷資質(zhì)執(zhí)照,，這一點需要特別注意,。第三,，軟件測試機(jī)構(gòu)的資質(zhì)所涵蓋的業(yè)務(wù)參數(shù),，通常來講,，軟件測試報告一般針對軟件的八大參數(shù)進(jìn)行測試,，包括軟件功能測試、軟件性能測試,、軟件信息安全測試,、軟件兼容性測試、軟件可靠性測試,、軟件穩(wěn)定性測試,、軟件可移植測試、軟件易用性測試,。這幾個參數(shù)在cma或者cnas的官方網(wǎng)站都可以進(jìn)行查詢和確認(rèn)第四,，軟件測試機(jī)構(gòu)或者公司的本身信用背景，那么用戶可以去檢查一下公司的信用記錄,，是否有不良的投訴或者法律糾紛,，可以確保第三方軟件測試機(jī)構(gòu)出具的軟件測試報告的效力也沒有問題。那么,，總而言之,，找一家靠譜的第三方軟件測試機(jī)構(gòu)還是需要用戶從自己的軟件測試業(yè)務(wù)需求場景出發(fā)，認(rèn)真仔細(xì)比較資質(zhì)許可的正規(guī)性,，然后可以完成愉快的合作和軟件測試報告的交付,。廣州第三方軟件測試中心基于 AI 視覺識別的自動化檢測系統(tǒng)，助力艾策實現(xiàn)生產(chǎn)線上的零缺陷品控目標(biāo),！

    在數(shù)字化轉(zhuǎn)型加速的,，軟件檢測公司已成為保障各行業(yè)信息化系統(tǒng)穩(wěn)定運行的力量。深圳艾策信息科技有限公司作為國內(nèi)軟件檢測公司領(lǐng)域的企業(yè),，始終以技術(shù)創(chuàng)新為驅(qū)動力,，深耕電力能源,、科研教育、政企單位,、研發(fā)科技及醫(yī)療機(jī)構(gòu)等垂直場景,，為客戶提供從需求分析到運維優(yōu)化的全鏈條質(zhì)量保障服務(wù)。以專業(yè)能力筑牢行業(yè)壁壘作為專注于軟件檢測的技術(shù)型企業(yè),，艾策科技通過AI驅(qū)動的智能檢測平臺,，實現(xiàn)了測試流程的自動化、化與智能化,。其產(chǎn)品——軟件檢測系統(tǒng),，整合漏洞掃描、壓力測試,、合規(guī)性驗證等20余項功能模塊,，可快速定位代碼缺陷、性能瓶頸及安全風(fēng)險,，幫助客戶將軟件故障率降低60%以上,。針對電力能源行業(yè)，艾策科技開發(fā)了電網(wǎng)調(diào)度系統(tǒng)專項檢測方案,，成功保障某省級電力公司百萬級用戶數(shù)據(jù)安全,；在科研教育領(lǐng)域，其實驗室管理軟件檢測服務(wù)覆蓋全國50余所高校,，助力科研數(shù)據(jù)存儲與分析的合規(guī)性升級,。此外，公司為政企單位政務(wù)云平臺,、研發(fā)科技企業(yè)創(chuàng)新產(chǎn)品、醫(yī)療機(jī)構(gòu)智慧醫(yī)療系統(tǒng)提供的定制化檢測服務(wù),，均獲得客戶高度認(rèn)可,。差異化服務(wù)塑造行業(yè)作為軟件檢測公司，艾策科技突破傳統(tǒng)檢測模式,，推出“檢測+培訓(xùn)+咨詢”一體化服務(wù)體系,。通過定期發(fā)布行業(yè)安全白皮書、舉辦技術(shù)研討會,。

    12)把節(jié)裝入到vmm的地址空間,；(13)可選頭部的sizeofcode域取值不正確；(14)含有可疑標(biāo)志,。此外,，惡意軟件和良性軟件間以下格式特征也存在明顯的統(tǒng)計差異：(1)證書表是軟件廠商的可認(rèn)證的聲明，惡意軟件很少有證書表,，而良性軟件大部分都有軟件廠商可認(rèn)證的聲明,；(2)惡意軟件的調(diào)試數(shù)據(jù)也明顯小于正常文件的,，這是因為惡意軟件為了增加調(diào)試的難度，很少有調(diào)試數(shù)據(jù),；(3)惡意軟件4個節(jié)(.text,、.rsrc、.reloc和.rdata)的characteristics屬性和良性軟件的也有明顯差異,，characteristics屬性通常**該節(jié)是否可讀,、可寫、可執(zhí)行等,，部分惡意軟件的代碼節(jié)存在可寫異常,，只讀數(shù)據(jù)節(jié)和資源節(jié)存在可寫、可執(zhí)行異常等,；(4)惡意軟件資源節(jié)的資源個數(shù)也明顯少于良性軟件的,，如消息表、組圖表,、版本資源等,，這是因為惡意軟件很少使用圖形界面資源，也很少有版本信息,。pe文件很多格式屬性沒有強(qiáng)制限制,，文件完整性約束松散，存在著較多的冗余屬性和冗余空間,，為pe格式惡意軟件的傳播和隱藏創(chuàng)造了條件,。此外，由于惡意軟件為了方便傳播和隱藏,，盡一切可能的減小文件大小,，文件結(jié)構(gòu)的某些部分重疊，同時對一些屬性進(jìn)行了特別設(shè)置以達(dá)到anti-dump,、anti-debug或抗反匯編,。兼容性測試涵蓋35款設(shè)備，通過率91.4%,。

    保留了較多信息,，同時由于操作數(shù)比較隨機(jī)，某種程度上又沒有抓住主要矛盾,，干擾了主要語義信息的提取,。pe文件即可移植文件導(dǎo)入節(jié)中的動態(tài)鏈接庫(dll)和應(yīng)用程序接口(api)信息能大致反映軟件的功能和性質(zhì)，通過一個可執(zhí)行程序引用的dll和api信息可以粗略的預(yù)測該程序的功能和行為,。belaoued和mazouzi應(yīng)用統(tǒng)計khi2檢驗分析了pe格式的惡意軟件和良性軟件的導(dǎo)入節(jié)中的dll和api信息,，分析顯示惡意軟件和良性軟件使用的dll和api信息統(tǒng)計上有明顯的區(qū)別。后續(xù)的研究人員提出了挖掘dll和api信息的惡意軟件檢測方法,，該類方法提取的特征語義信息豐富,，但*從二進(jìn)制可執(zhí)行文件的導(dǎo)入節(jié)提取特征,，忽略了整個可執(zhí)行文件的大量信息。惡意軟件和被***二進(jìn)制可執(zhí)行文件格式信息上存在一些異常,，這些異常是檢測惡意軟件的關(guān)鍵,。研究人員提出了基于二進(jìn)制可執(zhí)行文件格式結(jié)構(gòu)信息的惡意軟件檢測方法，這類方法從二進(jìn)制可執(zhí)行文件的pe文件頭,、節(jié)頭部,、資源節(jié)等提取特征，基于這些特征使用機(jī)器學(xué)習(xí)分類算法處理,，取得了較高的檢測準(zhǔn)確率,。這類方法通常不受變形或多態(tài)等混淆技術(shù)影響，提取特征只需要對pe文件進(jìn)行格式解析,，無需遍歷整個可執(zhí)行文件,，提取特征速度較快。用戶體驗測評中界面交互評分低于同類產(chǎn)品均值15.6%,。北京軟件檢測機(jī)構(gòu)

自動化測試發(fā)現(xiàn)7個邊界條件未處理的異常情況,。廣州第三方軟件測試中心

    將三種模態(tài)特征和三種融合方法的結(jié)果進(jìn)行了對比，如表3所示,。從表3可以看出,，前端融合和中間融合較基于模態(tài)特征的檢測準(zhǔn)確率更高，損失率更低,。后端融合是三種融合方法中較弱的,，雖然明顯優(yōu)于基于dll和api信息、pe格式結(jié)構(gòu)特征的實驗結(jié)果,，但稍弱于基于字節(jié)碼3-grams特征的結(jié)果,。中間融合是三種融合方法中**好的，各項性能指標(biāo)都非常接近**優(yōu)值,。表3實驗結(jié)果對比本實施例提出了基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測方法,，提取了三種模態(tài)的特征(dll和api信息、pe格式結(jié)構(gòu)信息和字節(jié)碼3-grams),，提出了通過三種融合方式(前端融合、后端融合,、中間融合)集成三種模態(tài)的特征,，有效提高惡意軟件檢測的準(zhǔn)確率和魯棒性。實驗結(jié)果顯示,，相對**且互補(bǔ)的特征視圖和不同深度學(xué)習(xí)融合機(jī)制的使用明顯提高了檢測方法的檢測能力和泛化性能,，其中較優(yōu)的中間融合方法取得了％的準(zhǔn)確率，對數(shù)損失為,，auc值為,，各項性能指標(biāo)已接近**優(yōu)值,。考慮到樣本集可能存在噪聲,，本實施例提出的方法已取得了比較理想的結(jié)果,。由于惡意軟件很難同時偽造多個模態(tài)的特征，本實施例提出的方法比單模態(tài)特征方法更魯棒,。以上所述*為本發(fā)明的較佳實施例而已,，并非用于限定本發(fā)明的保護(hù)范圍。廣州第三方軟件測試中心