[发明专利]基于深度学习的多层次攻击特征提取及恶意行为识别方法

权利要求书

1.一种基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，包括：

利用深度学习方法对攻击行为数据库中的恶意代码进行训练，以构建恶意代码的攻击数据模型；

基于攻击数据模型对网络层中的待测代码进行处理，得到待测代码的网络层数据特征；

对所述网络层数据特征进行匹配处理，并根据匹配结果将待测代码划分为正常代码、恶意代码以及未知代码；

对物理层中的待测代码进行特征提取，得到待测代码的物理层数据特征，具体包括：

在防御等级要求高且防御实时性要求低时，采用基于主动机的攻击特征提取方法对所述正常代码的物理层数据和所述未知代码的物理层数据进行特征提取，分别得到正常代码的物理层数据特征和未知代码的物理层数据特征；

在防御等级要求高且防御实时性要求高时，采用基于主动机的攻击特征提取方法对所述未知代码的物理层数据进行特征提取，得到未知代码的物理层数据特征；

结合网络层数据特征和物理层数据特征，确定待测代码是否为恶意代码，具体包括：

在防御等级要求和防御实时性要求都低时，将所述待测代码的网络层数据特征与攻击特征数据库中的攻击特征进行比较；

在待测代码的网络层数据特征与攻击特征数据库中的攻击特征相匹配时，确定所述待测代码是否为恶意代码。

2.如权利要求1所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，所述利用深度学习方法对攻击行为数据库中的恶意代码进行训练，以构建恶意代码的攻击数据模型，包括：

将所述攻击行为数据库中的恶意代码的必要攻击特征转换为约束条件；

根据约束条件构建恶意代码的攻击目标函数；

利用非线性迭代算法对攻击目标函数进行求解，得到恶意代码的攻击向量；

根据恶意代码的攻击向量构建所述攻击数据模型。

3.如权利要求1所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，所述基于攻击数据模型对网络层中的待测代码进行处理，得到待测代码的网络层数据特征，包括：

将所述待测代码作为所述攻击数据模型的输入，得到所述待测代码对应的网络层攻击向量；

将网络层攻击向量作为预先构建的神经网络模型的输入，得到网络层数据特征。

4.如权利要求3所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，所述预先构建的神经网络模型的构建过程包括：

将k个有限的波尔兹曼机堆叠成一个深度信念网络，k是正整数；

通过无监督方式对深度信念网络的第一层受限的波尔兹曼机中每个神经单元的数据特征分类参数进行训练；

将第一层受限的波尔兹曼机的隐藏层作为第二层的可视化层以对第二层受限的波尔兹曼机中每个神经单元的数据特征分类参数进行训练，依次向顶层完成对每层受限的波尔兹曼机参数的训练，得到神经网络模型的初始参数；

利用具有诱捕特征标签的数据对所述初始参数进行监督训练，确定每层受限的波尔兹曼机中神经单元的权重参数及相邻网络层之间的亲密度，构建所述神经网络模型。

5.如权利要求4所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，所述将网络层攻击向量作为预先构建的神经网络模型的输入，得到网络层数据特征，包括：

在所述神经网络模型中，遍历待测代码中的可疑代码序列与系统中记录的恶意代码序列，对两序列中的每个字符进行匹配，得到匹配结果；

遍历匹配结果，将最长的公共子序列作为网络层数据特征。

6.如权利要求1所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，所述结合网络层数据特征和物理层数据特征，确定待测代码是否为恶意代码，包括：

将网络层数据特征和物理层数据特征分别与攻击特征数据库中的特征进行比较，该特征数据库中攻击特征为所述攻击行为数据库中恶意代码的特征；

判断网络层数据特征是否与所述攻击特征数据库中的特征相匹配，以及判断物理层数据特征是否与所述攻击特征数据库中的特征相匹配；

在至少一个比较结果为相匹配时，确定待测代码是否为恶意代码。

7.一种如权利要求1-6任一项所述的基于深度学习的多层次攻击特征提取及恶意行为识别方法，其特征在于，在确定所述待测代码为恶意代码时，还包括：

将确定为恶意代码的所述待测代码作为新增数据，添加至所述攻击行为数据库中，对所述攻击行为数据库进行更新；

利用深度学习方法对更新后的攻击行为数据库中的恶意代码进行训练，以对攻击数据模型进行更新。