[VIP第1年] 指数:3
特征之间存在部分重叠,但特征类型间存在着互补,融合这些不同抽象层次的特征可更好的识别软件的真正性质。且恶意软件通常伪造出和良性软件相似的特征,逃避反**软件的检测,但恶意软件很难同时伪造多个抽象层次的特征逃避检测。基于该观点,本发明实施例提出一种基于多模态深度学习的恶意软件检测方法,以实现对恶意软件的有效检测,提取了三种模态的特征(dll和api信息、pe格式结构信息和字节码3-grams),提出了通过前端融合、后端融合和中间融合这三种融合方式集成三种模态的特征,有效提高恶意软件检测的准确率和鲁棒性,具体步骤如下:步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示,生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图;统计当前软件样本的导入节中引用的dll和api,提取得到当前软件样本的二进制可执行文件的dll和api信息的特征表示。对当前软件样本的二进制可执行文件进行格式结构解析,并按照格式规范提取**该软件样本的格式结构信息,得到该软件样本的二进制可执行文件的pe格式结构信息的特征表示。网络延迟测评显示亚太地区响应时间超欧盟2倍。太原第三方软件评测中心
先将当前软件样本件的二进制可执行文件转换为十六进制字节码序列,然后采用n-grams方法在十六进制字节码序列中滑动,产生大量的连续部分重叠的短序列特征,提取得到当前软件样本的二进制可执行文件的字节码n-grams的特征表示。生成软件样本的dll和api信息特征视图,是先统计所有类别已知的软件样本的pe可执行文件引用的dll和api信息,从中选取引用频率**高的多个dll和api信息;然后判断当前的软件样本的导入节里是否存在选择出的某个引用频率**高的dll和api信息,如存在,则将当前软件样本的该dll或api信息以1表示,否则将其以0表示,从而对当前软件样本的所有dll和api信息进行表示形成当前软件样本的dll和api信息特征视图。生成软件样本的格式信息特征视图,是从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征,形成当前软件样本的格式信息特征视图。从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征,是从当前软件样本的pe格式结构信息中确定存在特定格式异常的pe格式结构特征以及存在明显的统计差异的格式结构特征。特定格式异常包括:(1)代码从**后一节开始执行,(2)节头部可疑的属性,。太原第三方软件检测单位数据安全与合规:艾策科技的最佳实践。
3)pe可选头部有效尺寸的值不正确,(4)节之间的“间缝”,(5)可疑的代码重定向,(6)可疑的代码节名称,(7)可疑的头部***,(8)来自,(9)导入地址表被修改,(10)多个pe头部,(11)可疑的重定位信息,(12)把节装入到vmm的地址空间,(13)可选头部的sizeofcode域取值不正确,(14)含有可疑标志。存在明显的统计差异的格式结构特征包括:(1)无证书表;(2)调试数据明显小于正常文件,(3).text、.rsrc、.reloc和.rdata的characteristics属性异常,(4)资源节的资源个数少于正常文件。生成软件样本的字节码n-grams特征视图,是统计了每个短序列特征的词频(termfrequency,tf),即该短序列特征在软件样本中出现的频率。先从当前软件样本的所有短序列特征中选取词频tf**高的多个短序列特征;然后计算选取的每个短序列特征的逆向文件频率idf与词频tf的乘积,并将其作为选取的每个短序列特征的特征值,,表示该短序列特征表示其所在软件样本的能力越强;**后在选取的词频tf**高的多个短序列特征中选取,生成字节码n-grams特征视图。:=tf×idf;tf(termfrequency)是词频,定义如下:其中,ni,j是短序列特征i在软件样本j中出现的次数,∑knk,j指软件样本j中所有短序列特征出现的次数之和。
步骤s2、将软件样本中的类别已知的软件样本作为训练样本,基于多模态数据融合方法,将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入深度神经网络,训练多模态深度集成模型;步骤s3、将软件样本中的类别未知的软件样本作为测试样本,并将测试样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入步骤s2训练得到的多模态深度集成模型中,对测试样本进行检测并得出检测结果。进一步的,所述提取软件样本的二进制可执行文件的dll和api信息的特征表示,是统计当前软件样本的导入节中引用的dll和api;所述提取软件样本的二进制可执行文件的pe格式结构信息的特征表示,是先对当前软件样本的二进制可执行文件进行格式结构解析,然后按照格式规范提取**该软件样本的格式结构信息;所述提取软件样本的二进制可执行文件的字节码n-grams的特征表示,是先将当前软件样本件的二进制可执行文件转换为十六进制字节码序列,然后采用n-grams方法在十六进制字节码序列中滑动,产生大量的连续部分重叠的短序列特征。进一步的,采用3-grams方法在十六进制字节码序列中滑动产生连续部分重叠的短序列特征。进一步的。2025 年 IT 趋势展望:深圳艾策的五大技术突破。
它已被扩展成与软件生命周期融为一体的一组已定义的活动。测试活动遵循软件生命周期的V字模型。测试人员在需求分析阶段便开始着手制订测试计划,并根据用户或客户需求建立测试目标,同时设计测试用例并制订测试通过准则。在集成级上,应成立软件测试**,提供测试技术培训,关键的测试活动应有相应的测试工具予以支持。在该测试成熟度等级上,没有正式的评审程序,没有建立质量过程和产品属性的测试度量。集成级要实现4个成熟度目标,它们分别是:建立软件测试**,制订技术培训计划,软件全寿命周期测试,控制和监视测试过程。(I)建立软件测试**软件测试的过程及质量对软件产品质量有直接影响。由于测试往往是在时间紧,压力大的情况下所完成的一系列复杂的活动,因此应由训练有素的人员组成测试组。测试组要完成与测试有关的多种活动,包括负责制订测试计划,实施测试执行,记录测试结果,制订与测试有关的标准和测试度量,建立铡试数据库,测试重用,测试**以及测试评价等。建立软件测试**要实现4个子目标:1)建立全**范围内的测试组,并得到上级管理层的领导和各方面的支持,包括经费支持。2)定义测试组的作用和职责。3)由训练有素的人员组成测试组。艾策医疗检测中心为体外诊断试剂提供全流程合规性验证服务。太原第三方软件评测中心
艾策检测针对智能穿戴设备开发动态压力测试系统,确保人机交互的舒适性与安全性。太原第三方软件评测中心
先将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图分别输入至一个深度神经网络中抽取高等特征表示,然后合并抽取的高等特征表示并将其作为下一个深度神经网络的输入进行模型训练,得到多模态深度集成模型。进一步的,所述多模态深度集成模型的隐藏层的***函数采用relu,输出层的***函数采用sigmoid,中间使用dropout层进行正则化,优化器采用adagrad。进一步的,所述训练得到的多模态深度集成模型中,用于抽取dll和api信息特征视图的深度神经网络包含3个隐含层,且3个隐含层中间间隔设置有dropout层;用于抽取格式信息特征视图的深度神经网络包含2个隐含层,且2个隐含层中间设置有dropout层;用于抽取字节码n-grams特征视图的深度神经网络包含4个隐含层,且4个隐含层中间间隔设置有dropout层;用于输入合并抽取的高等特征表示的深度神经网络包含2个隐含层,且2个隐含层中间设置有dropout层;所述dropout层的dropout率均等于。本发明实施例的有益效果是,提出了一种基于多模态深度学习的恶意软件检测方法,应用了多模态深度学习方法来融合dll和api、格式结构信息、字节码n-grams特征。太原第三方软件评测中心
文章来源地址: http://swfw.aqfhjgsb.chanpin818.com/jiancefuwu/deta_27241978.html
免责声明: 本页面所展现的信息及其他相关推荐信息,均来源于其对应的用户,本网对此不承担任何保证责任。如涉及作品内容、 版权和其他问题,请及时与本网联系,我们将核实后进行删除,本网站对此声明具有最终解释权。
