[发明专利]基于深度学习的多层次攻击特征提取及恶意行为识别方法

说明书

本发明公开了一种基于深度学习的多层次攻击特征提取及恶意行为识别方法，属于网络安全技术领域，包括利用深度学习方法对攻击行为数据库中的恶意代码进行训练，以构建恶意代码的攻击数据模型；基于攻击数据模型对网络层中的待测代码进行处理，得到待测代码的网络层数据特征；对物理层中的待测代码进行特征提取，得到待测代码的物理层数据特征；结合网络层数据特征和物理层数据特征，确定待测代码是否为恶意代码。本发明通过结合网路层数据特征和物理层数据特征对代码进行识别，有效的满足了系统防御性高的要求，保证了系统防御可靠性。有效的提高恶意代码检测准确率的同时有效的控制了系统检测时间的消耗。

技术领域

本发明涉及网络安全技术领域，特别涉及基于深度学习的多层次攻击特征提取及恶意行为识别方法。

背景技术

恶意代码具有破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性等危害作用，成为个人、企业信息泄露的主要原因。

在恶意代码分析方面，现有的动态行为捕获的方法能够角全面地分析僵尸网络的行为操作，但是其系统开销大、分析周期长。现有的静态反汇编方式获取僵尸网络函数调用图，比较指令信息与函数调用相似性的方法，由于一个恶意软件的函数调用图平均有上千个节点，尽管可以通过剪枝方式去掉其中一些无关节点，但仍存在大量噪声，因此其分析结果不够精确，防御性能不可靠。而且，无论是动态行为捕获方式还是静态反汇编方式，分析时所使用的各类特征都是人工预定义的特征，这些特征是否全面、是否正确完全是由人工预定来决定的，主观性较强。

发明内容

本发明的目的在于提供基于深度学习的多层次攻击特征提取及恶意行为识别方法，以兼顾可靠性和实时性的对恶意代码进行识别。

为实现以上目的，本发明采用基于深度学习的多层次攻击特征提取及恶意行为识别方法，包括如下步骤：

利用深度学习方法对攻击行为数据库中的恶意代码进行训练，以构建恶意代码的攻击数据模型，该攻击行为数据库中的恶意代码是事先通过静态分析、动态分析过的恶意代码；

基于攻击数据模型对网络层中的待测代码进行处理，得到待测代码的网络层数据特征；

对物理层中的待测代码进行特征提取，得到待测代码的物理层数据特征；

结合网络层数据特征和物理层数据特征，确定待测代码是否为恶意代码。

优选地，所述利用深度学习方法对攻击行为数据库中的恶意代码进行训练，以构建恶意代码的攻击数据模型，包括：

将所述攻击行为数据库中的恶意代码的必要攻击特征转换为约束条件；

根据约束条件构建恶意代码的攻击目标函数；

利用非线性迭代算法对攻击目标函数进行求解，得到恶意代码的攻击向量；

根据恶意代码的攻击向量构建所述攻击数据模型。

优选地，所述在网络层中，基于攻击数据模型对待测代码进行处理，得到待测代码的网络层数据特征，包括：

将所述待识别恶意代码行为作为所述攻击数据模型的输入，得到所述待识别恶意代码行为对应的网络层攻击向量；

将网络层攻击向量作为预先构建的神经网络模型的输入，得到网络层数据特征。

优选地，还包括：

对所述网络层数据特征进行匹配处理，并根据匹配结果将待测代码划分为正常代码、恶意代码以及未知代码。

优选地，所述在物理层中，对待测代码进行特征提取，得到待测代码的物理层数据特征，包括：