[发明专利]面向带权异质图的恶意行为识别方法、系统和存储介质

权利要求书

1.面向带权异质图的恶意行为识别方法，其特征在于，包括以下步骤：

构建归纳式图神经网络模型，所述归纳式图神经网络模型的输入为基于恶意行为数据集构建的带权异质图、节点的原始特征向量以及在异质图上定义的多个元路径；所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；所述特征向量生成融合模块包括MalSage层和子图特征融合层；所述分类学习模块包括全连接层和Softmax层；

所述MalSage层包括多个MalConv层，分别作用于多个子图；

在所述MalSage层中，所述子图均由一个MalConv层学习子图中节点的潜在向量表示，对于第i个子图，在对应的第i个MalConv层进行特征向量学习；

对归纳式图神经网络模型进行训练学习，输入训练数据，子图抽取模块根据所述元路径将带权异质图抽取为多个对应的子图；得到的子图经过MalSage层学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，子图特征融合层将多个子图特征向量融合为一个节点特征向量；在特征融合模块多次融合后获得的节点特征向量在分类学习模块进行分类学习；

利用训练完成的归纳式图神经网络模型进行恶意行为识别。

2.根据权利要求1所述的面向带权异质图的恶意行为识别方法，其特征在于，所述带权异质图包括多种节点类型和多种连接关系类型，带权异质图中的边均为带权边，边的权重表示该连接关系类型发生的次数；所述节点的原始特征向量为软件-文件的One-hot向量；所述元路径指节点类型和一种或多种连接关系类型组成的网络模式。

3.根据权利要求2所述的面向带权异质图的恶意行为识别方法，其特征在于，所述多种节点类型具体包括软件节点、文件节点以及模块节点；所述多种连接关系类型具体包括打开、删除以及载入。

4.根据权利要求3所述的面向带权异质图的恶意行为识别方法，其特征在于，所述经过子图抽取模块抽取得到子图只包括一种连接关系类型，为元路径所代表的连接关系类型。

5.根据权利要求1所述的面向带权异质图的恶意行为识别方法，其特征在于，所述特征向量学习具体为：

对于第1层MalConv层中子图i中的节点u，其他的MalConv层进行以下步骤更新其特征向量：

对节点u的邻居节点进行采样，MalConv层对每个节点采样特定数量k的邻居节点，若节点u的邻居节点数量小于k，则进行有放回的采样，否则进行无放回的采样，直至采样出k个邻居节点；

采用加权求平均的方法对邻居节点的特征向量进行聚合，对于采样获得的k个邻居节点，根据其边的权重对其做加权平均，得到节点u的邻居在第1+1层的聚合向量

其中，N′(u)表示表示采样后的邻居节点集合，w_uj表示子图i中节点u与节点j之间所连接的边的边权，表示子图i中节点j在第l层的特征向量，k为给定的采样邻居数；

更新u自身的特征向量，在对邻居特征向量进行聚合后，将与子图i中节点u自身在第1层的特征向量做拼接处理，再经过一层全连接后得到子图i中节点u在第1+1层的特征向量：

其中，W^l+1是第1+1层全连接层的权重矩阵，σ为激活函数，表示节点u在第l层的特征向量。

6.根据权利要求1所述的面向带权异质图的恶意行为识别方法，其特征在于，所述子图特征融合层将多个子图特征向量融合为一个节点特征向量具体为：

采用拼接方法进行融合，对于某个节点u，在第1+1层更新得到最终的节点特征向量为：

其中，W为融合向量时全连接层的权重矩阵，σ为激活函数，为节点u在第K层中子图对应的子图特征向量。

7.根据权利要求1所述的面向带权异质图的恶意行为识别方法，其特征在于，所述分类学习具体为：

采用交叉熵损失函数：

其中，t_i表示样本真实标签，y_i表示模型输出的Softmax值，即：

在反向传播的过程中更新梯度为：