[发明专利]一种基于卷积神经网络的恶意软件流量分类方法

说明书

本发明提供一种基于卷积神经网络的恶意软件流量分类方法，属于恶意软件流量检测技术领域，该基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：恶意代码映射为单通道的信号；信号处理生成信号的语谱图；语谱图转化为恒定大小的灰度图；卷积神经网络实现恶意代码的分类。本发明基于卷积神经网络从恶意软件生成的灰度图像中学习特征，用图像分类方法完成恶意软件分类；因为卷积神经网络可以从原始数据学习特征，不需要预先设计流量特性，不需要复杂的特征工程和较深入的相关领域专业知识，所以这种方法更加高效，适用范围更加广泛；有效的识别恶意软件的全局信息，可以基于全局信息对恶意软件的性质进行分析。

技术领域

本发明属于恶意软件流量检测技术领域，尤其涉及一种基于卷积神经网络的恶意软件流量分类方法。

背景技术

恶意软件指各种形式的恶意或者入侵软件，例如计算机病毒、蠕虫、间谍软件、木马、广告软件等。这些恶意软件通常以可执行程序、脚本等形式存在。在计算机系统安全领域，一个重要问题是进行恶意软件的检测与识别，以便能在恶意软件运行之前将其清除，避免给计算机系统造成破坏或者给用户造成损失。

不仅仅黑帽黑客或者其他怀有恶意的软件作者，即使是信用良好的供应商提供的软件也可能包含恶意代码。一个例子是索尼曾经在其出售的唱片中植入了Rootkit。这是一种特洛伊木马，它静默安装并隐藏在购买者的计算机上，目的是防止唱片被非法复制。它还收集用户的聆听习惯，并无意中创建了可以被其他恶意软件所利用的漏洞。恶意软件检测现今面临的主要挑战是需要对大量有潜在恶意目的的数据和文件进行评估。例如，微软的实时检测反恶意软件产品部署在全球超过1.6亿台计算机上，每天会产生数千万个数据点，需要作为潜在的恶意软件进行分析。

卷积神经网络(ConvolutionalNeuralNetworks,CNN)是一类包含卷积计算且具有深度结构的前馈神经网络(FeedforwardNeuralNetworks)，是深度学习(deeplearning)的代表算法之一。卷积神经网络具有表征学习(representationlearning)能力，能够按其阶层结构对输入信息进行平移不变分类(shift-invariantclassification)，因此也被称为“平移不变人工神经网络(Shift-InvariantArtificialNeuralNetworks,SIANN)。

中国专利公开号为CN110062013A，发明创造的名称为一种针对恶意软件HTTP流量的检测系统，包括：流量捕获模块：用于周期性捕获网络中的HTTP流量；行为建树模块：用于将HTTP流量进行预处后转换为行为树状图；特征提取模块：用于提取行为树状图中的各节点上的统计特征、内容特征和行为特征，再基于提取的统计特征、内容特征和行为特征转换为特征树状图。

但是，现有的反病毒和恶意软件检测产品通常使用特征值扫描技术，这种方法有很大的局限性；越来越多的恶意软件通过加密、混淆或者打包等方法躲避基于特征值的检测，这给传统的恶意软件分析和检测方法带来挑战，目前缺少一种基于卷积神经网络的，安全可靠效率高准确的恶意软件流量分类方法系统。

所以，发明一种基于卷积神经网络的恶意软件流量分类方法显得非常必要。

发明内容

为了解决上述技术问题，本发明提供一种基于卷积神经网络的恶意软件流量分类方法，以解决现有的反病毒和恶意软件检测产品通常使用特征值扫描技术，这种方法有很大的局限性；越来越多的恶意软件通过加密、混淆或者打包等方法躲避基于特征值的检测，这给传统的恶意软件分析和检测方法带来挑战，目前缺少一种基于卷积神经网络的，安全可靠效率高准确的恶意软件流量分类方法系统。

一种基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：

步骤一：恶意代码映射为单通道的信号；

步骤二：信号处理生成信号的语谱图；

步骤三：语谱图转化为恒定大小的灰度图；