[发明专利]一种面向多态蠕虫病毒的自动检测方法

权利要求书

1.一种面向多态蠕虫病毒的自动检测方法，其特征在于包括如下步骤：

步骤1、选定训练用多态蠕虫数据序列，利用N-gram平滑算法对训练序列进行平滑，然后提取得到特征序列，具体操作分为以下分步骤：

1.1)首先根据流量规范，将训练序列进行切分；

1.2)利用N-gram平滑算法对切分得序列进行数据平滑；

1.3)对平滑后的数据进行特征提取，得到特征序列；

步骤2、利用Gaussian-Bernoulli RBM算法对步骤1中得到的特征序列进行降噪处理并提取特征形成低噪声条件下的多态蠕虫特征序列，具体操作分为以下分步骤：

2.1)首先利用Gaussian-Bernoulli RBM算法对步骤1中得到的特征序列进行降噪处理得到降噪特征序列；

2.2)利用Gaussian-Bemoulli RBM算法对所述降噪特征序列进行特征提取，得到低噪声条件下多态蠕虫特征序列。

步骤3、重复步骤2，得到一系列多态蠕虫特征序列形成特征库。

2.根据权利要求1所述的一种面向多态蠕虫病毒的自动检测方法，其特征在于分步骤1.2中所述N-gram平滑算法为Laplace N-gram算法或Good-TuringN-gram算法。

3.根据权利要求2所述的一种面向多态蠕虫病毒的自动检测方法，其特征在于所述Laplace N-gram算法的平滑公式为：

其中，P(x_i)为算某个词x_i出现的概率，C(x_i)为词x_i在训练用多态蠕虫数据序列中出现的次数，V表示拉普拉斯平滑参数。

4.根据权利要求3所述的一种面向多态蠕虫病毒的自动检测方法，其特征在于V的取值范围为：1～0.0001。

5.根据权利要求2所述的一种面向多态蠕虫病毒的自动检测方法，其特征在于分步骤1.2中所述Good-Turing N-gram算法的平滑公式为：

其中，P(x_i)为算某个词x_i出现的概率，λ为随机线性差值，λ₁、λ₂、λ₃满足随机分配且和一定为1。

6.根据权利要求1所述的一种面向多态蠕虫病毒的自动检测方法，其特征在于步骤2中Gaussian-Bernoulli RBM算法的构造具体分为以下分步骤：

分步1：构造RBM算法：RBM联合概率分布函数如式(3)所示：

其中，变量v，h是玻尔兹曼机n维二值随机向量x∈{0，1}ⁿ分解的两个子集：可视层层v和隐藏层层h，E和Z分别表示能量函数和配分函数的归一化常数，其公式如式(4)和(5)所示：

E(v，h)＝-v^TWh-b^Tv-c^Th (4)

Z＝∑_v∑_h exp{-E(v，h)} (5)

W是该模型参数的权重矩阵，b、c为偏置向量；

综合式(3)、(4)、(5)可得式(6)：

分步2：构造Bernoulli RBM算法：Bernoulli RBM概率分布函数如(7)所示：

此时，σ表示为x为v或h；

分步3：构造Gaussian-Bemoulli RBM算法：采用精度矩阵参数化高斯分布，则算法的概率分布函数公式如式所示：

其中，