[发明专利]一种基于卷积神经网络的恶意软件识别方法及系统有效
| 申请号: | 201810730246.2 | 申请日: | 2018-07-05 |
| 公开(公告)号: | CN109002715B | 公开(公告)日: | 2020-09-15 |
| 发明(设计)人: | 赵立超;史闻博;李丹;黄涛 | 申请(专利权)人: | 东北大学秦皇岛分校 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京科亿知识产权代理事务所(普通合伙) 11350 | 代理人: | 汤东凤 |
| 地址: | 066004 河北*** | 国省代码: | 河北;13 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 卷积 神经网络 恶意 软件 识别 方法 系统 | ||
本发明公开了一种基于卷积神经网络的恶意软件识别方法及系统。该方法包括:获取样本软件的操作码和权限信息;将操作码转换为十进制数;将转换后的操作码进行预处理;将预处理后的操作码与权限信息混合;将混合后的数据作为特征矩阵输入卷积神经网络,对卷积神经网络进行训练;判断卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;如果是,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;如果否,则根据卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。本发明提供的基于卷积神经网络的恶意软件识别方法及系统具有识别精度高、操作简便的特点。
技术领域
本发明涉及恶意软件检测领域,特别是涉及一种基于卷积神经网络的恶意软件识别方法及系统。
背景技术
随着科学技术的发展,恶意软件的种类以及复杂度越来越高,对恶意软件的识别也越来越具有难度,尤其是在移动领域平台。鉴于移动设备和手机应用商店的快速增长。新应用程序的数量太大而无法手动检查每个程序的恶意行为。恶意软件检测传统基于手动检测已知恶意软件行为或编码来手动设计恶意软件签名,这个过程难以检测大量应用程序。而且这种基于签名的静态恶意软件检测意味着新的恶意软件可以被设计来逃避现有的签名。
发明内容
本发明的目的是提供一种基于卷积神经网络的恶意软件识别方法及系统,具有识别精度高、操作简便的特点。
为实现上述目的,本发明提供了如下方案:
一种基于卷积神经网络的恶意软件识别方法,所述方法包括:
获取样本软件的操作码和权限信息,所述样本软件为已知类型的软件,所述类型包括恶意软件和非恶意软件;
将所述操作码转换为十进制数;
将转换后的操作码进行预处理;
将预处理后的操作码与所述权限信息混合;
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,所述卷积神经网络的输出为所述样本软件的恶意概率和非恶意概率;
判断所述卷积神经网络输出的恶意概率或非恶意概率的准确度是否达到设定值;
如果是,则停止训练卷积神经网络,采用训练好的卷积神经网络对待识别软件进行识别;
如果否,则根据所述卷积神经网络输出的恶意概率或非恶意概率的准确度调整训练过程中的权重参数,继续训练卷积神经网络。
可选的,所述将所述操作码转换为十进制数,具体包括:
将所述操作码两两分割;
将每两个代码为一组转换为十进制数。
可选的,所述将转换后的操作码进行预处理,具体包括:
将每个十进制数加2,换行用1代替。
可选的,所述将预处理后的操作码与所述权限信息混合,具体包括:
将预处理后的操作码排在所述权限信息后,得到一个一维矩阵。
可选的,所述对所述卷积神经网络进行训练,具体包括:
将混合后的数据作为特征矩阵输入卷积神经网络,对所述卷积神经网络进行训练,其中,将卷积层的输出矩阵平均分为三份,每份矩阵的每行中选取三个值组成reshape层的输入矩阵,三个值为所在行排前三大的数值。
可选的,所述采用训练好的卷积神经网络对待识别软件进行识别,具体包括:
获取待识别软件的操作码和权限信息;
将所述待识别软件的操作码转换为十进制数;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于东北大学秦皇岛分校,未经东北大学秦皇岛分校许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201810730246.2/2.html,转载请声明来源钻瓜专利网。
