[发明专利]使用人工神经网络的恶意软件检测和分类

说明书

本公开涉及使用人工神经网络的恶意软件检测和分类。呈现了一种用于计算的装置。在实施例中，该装置可以包括用来接收二进制文件并且将二进制文件转换成多维数组的转换器，该二进制文件要在该装置或另一装置上执行。该装置可以进一步包括耦合到转换器的分析器，该分析器用来处理多维数组以使用具有输入层、输出层以及在输入层与输出层之间的多个隐藏层的至少一个经部分地重新训练的人工神经网络对嵌入在多维数组内的恶意软件进行检测和分类。分析器可以进一步输出分类结果，并且该分类结果可以用于防止二进制文件在该装置上或另一装置上的执行。

技术领域

本公开的实施例涉及计算的技术领域，并且特别地涉及恶意软件检测和分类。

背景技术

常规的计算系统可以包括自动化的恶意软件检测系统。一些恶意软件检测系统可以由机器学习算法提供动力，使用签名来实现高分类结果。然而，签名的接近指数的快速增加使得签名匹配机器学习难以或不能跟上。其他方法包括静态分析和动态分析，其二者都具有优点和缺点。虽然静态分析可以对正在分析的代码进行反汇编，但其性能可能因代码混淆而受到损害。另一方面，能够对未知或可疑代码进行拆包的动态分析可能是耗时的。此外，在具有大量维度的数据集中，如果在没有数据的完全知识的情况下实现降维，则分类结果可能显著降级。

附图说明

图1图示了依照各种实施例的具有本公开的恶意软件检测和分类技术的系统的概观。

图1A图示了依照各种实施例的训练系统概观。

图2图示了依照各种实施例的描绘“集成（ensemble）”系统的替代系统概观。

图3图示了依照各种实施例的迁移学习的使用。

图4A至图4L图示了依照各种实施例的示例经部分地重新训练的深度神经网络分类器。

图5图示了依照各种实施例的用于对恶意软件进行检测和分类的过程的操作流程的概观。

图6图示了依照各种实施例的用于使用两个人工神经网络的集成对恶意软件进行检测和分类的替代过程的操作流程的概观。

图7图示了依照各种实施例的用于训练和验证恶意软件检测和分类系统的过程的操作流程的概观。

图8图示了依照各种实施例的适合于实践本公开的计算机设备的框图。

图9图示了依照各种实施例的示例计算机可读存储介质，其具有被配置成实践图5-7的过程的各方面的指令。

具体实施方式

在实施例中，一种用于计算的装置可以包括用来接收二进制文件并且将二进制文件转换成多维数组的转换器，该二进制文件要在该装置或另一装置上执行，以及耦合到该转换器的分析器，所述分析器用来处理多维数组以对嵌入在多维数组内的恶意软件进行检测和分类。在实施例中，转换器可以使用具有输入层、输出层以及在输入层与输出层之间的多个隐藏层的至少一个经部分地重新训练的人工神经网络。在实施例中，转换器可以进一步输出分类结果，其中该分类结果用于防止二进制文件在该装置或另一装置上的执行。

在实施例中，多维数组可以是2D数组。在实施例中，转换器可以首先将二进制文件转换成8位无符号整数的向量，并且然后可以将向量转换成2D数组。进一步地，在一些实施例中，转换器可以首先将向量转换成内部2D数组，并且然后在输出2D数组之前对内部2D数组调整大小。在这样的实施例中，经调整大小的2D数组可以具有例如224乘224或299乘299的大小。在其中转换器输出两个2D数组以分别由两个人工神经网络分析的替代实施例中，经调整大小的数组可以具有例如224乘224或299乘299的第一2D数组，以及例如28乘28的第二2D数组。