[发明专利]一种基于深度学习的恶意软件图像格式检测方法及其装置

说明书

一种基于深度学习的恶意软件图像格式的检测方法，包括以下步骤：1)构建恶意软件样本数据集；2)转换为恶意软件图像格式；3)构建卷积神经网络分类器；4)根据样本数据集对分类器进行训练以实现对恶意软件样本的分类。本发明还提供一种实施基于深度学习的恶意软件图像格式的检测方法的装置。本发明有良好的适用性和精度，能够有效地对恶意软件进行检测，取得较好的检测效果。

技术领域

本发明属于网络空间安全技术领域，设计了一种基于深度学习的恶意软件图像格式的检测方法及其装置。

背景技术

随着计算机和互联网的飞速发展，人们之间的沟通越来越便捷，网络信息交流和智能应用在人们日常生活中扮演着至关重要的角色。根据资料显示，到2016年6月为止，全世界使用互联网的人群数量已经达到了36亿以上，用户首次占比过半。同时网络的发展也伴随着许多网络安全问题，恶意软件就是其中一个重要的影响因素。恶意软件 (MaliciousSoftware，Malware)指有目的地实现攻击者破坏计算机、服务器、客户端或计算机网络的软件程序。恶意软件的代表类型有病毒、蠕虫、特洛伊木马、后门、Rootkits、勒索软件、僵尸网络等，通过自行复制、注入、诱惑、隐藏等形式渗透进入网络系统和受害者的计算机，试图破坏网络和计算机系统的正常运转、获取网络和主机资源、盗取机构和个人的敏感信息，对主机工作的安全性、网络传输的安全性和用户隐私的安全性都带来了极大的威胁。恶意软件能够有目的地实现对网络和主机的攻击、窃取信息和隐私、监视网络的使用，对主机的安全性、网络的安全性和隐私的安全性都具有极大的损害，对其进行检测、分析和预防一直是网络与信息安全研究工作的重点和热点之一。

目前存在的恶意软件检测方法有许多，深信服科技股份有限公司首先获取多个恶意软件产生的网络流量，再基于网络流量的统计特征对多个恶意软件粗粒度聚类，得到第一聚类结果，然后基于网络流量的内容特征对第一类聚类结果中的每一类恶意软件细粒度聚类，得到第二聚类结果，最后为第二聚类结果中的每一类恶意软件生成签名，以利用签名进行恶意软件检测。签名是一小段字节序列，它对于每一种已知的恶意软件类型都是独一无二的。这种从软件二进制代码中识别特定的字符串来鉴别恶意性质的方法，虽然一定程度上解决了检测问题，但是其需要域名专家进行手工制作、更新和上传，费时费力且易出错；北京物资学院首先从已知软件类型的软件样本集合中，提取各个软件样本的静态特征和动态特征，再将提取的各个软件样本的静态特征和动态特征有效结合，形成混合特征数据集，根据主成分分析方法和特征权重的选择方法，降低特征维度，去除冗余特征，得到优化后的混合特征数据集，然后运用支持向量机模型对优化后的混合特征集中的特征进行训练，形成分类检测模型，最后根据分类检测模型对待检测软件进行检测，但是基于向量机模型等机器学习的检测技术的泛化性能仍然不够高，且手工提取的待分析特征一旦被攻击者发现，可轻易地修改样本成功逃逸检测。

深度学习作为机器学习中神经网络技术进一步的发展思想，以分布式的结构自动地学习数据的特征表征，利用深度学习算法实现对恶意软件的检测为新趋势。大连理工大学构建卷积神经网络分类器实现对恶意软件的检测，广东工业大学通过循环神经网络得到恶意软件识别器，然而以上方法都是对软件文件进行处理，软件中的数据(字节值)离散，且软件的样本大小差距悬殊，样本数据的处理直接影响到分类器的检测精度以及整体检测的速度，因此，提高软件数据处理办法对于提高恶意软件检测速度和精度至关重要。

发明内容

为了克服恶意软件原始数据离散难处理、传统恶意软件检测精度不高的不足，本发明提供一种精度较高、改善原始样本处理方法的基于深度学习的恶意软件图像格式的检测方法及其装置。

本发明解决其技术问题所采用的技术方案是：

第一方面，本发明提供了一种基于深度学习的恶意软件图像格式检测方法，包括以下步骤：

1)构建恶意软件样本数据集；具体包括：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；