[发明专利]面向带权异质图的恶意行为识别方法、系统和存储介质

说明书

本发明公开了一种面向带权异质图的恶意行为识别方法、系统和存储介质，方法包括以下步骤：构建归纳式图神经网络模型，所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；对归纳式图神经网络模型进行训练学习，子图抽取，学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，多个子图特征向量融合，融合获得的节点特征向量在分类学习模块进行分类学习；利用训练完成的归纳式图神经网络模型进行恶意行为识别。本发明充分结合和利用异质图所包含的丰富的拓扑特征信息和属性信息，在此基础上设计归纳式学习的图神经网络模型完成异质图中的特征抽取和表示学习，最终实现恶意行为的识别。

技术领域

本发明属于网络安全技术领域，具体涉及一种面向带权异质图的恶意行为识别方法、系统和存储介质。

背景技术

随着互联网的飞速发展，恶意软件的技术不断更新迭代，恶意软件的数量与日俱增，种类和传播方式日新月异，对个人、企业和国家安全的威胁日渐增大。随着恶意软件攻防技术的不断对抗和升级，恶意软件逐渐趋向多变种、高隐蔽、数量多、更新快的形态，面对此种网络安全形势，学术界和工业界都在不断寻求传统恶意软件检测技术与机器学习的结合，以期高效率、高精度地实现对数量庞大的恶意软件攻击的预防和检测，这些方法和技术大致可以分为三种：

(1)基于自然语言处理技术的恶意软件识别；这类方法将恶意软件数据中的文本字段，如日志记录、系统运行时的WindowsAPI调用等，作为机器学习的训练数据，结合自然语言处理技术(NaturalLanguageProcessing，NLP)技术，如TF-IDF(term frequency–inverse document frequency)、Word2Vec等，对其进行特征提取，再利用传统机器学习模型进行恶意软件分类。

(2)基于图像处理技术的恶意软件识别；这类方法将恶意软件的可执行代码段或二进制格式等转换为图像，在此基础上应用图像处理技术如CNN(ConvolutionalNeuralNetwork，卷积神经网络)等，利用神经网络进行特征自动提取和分类。

(3)基于图挖掘技术的恶意软件识别；

现有的基于NLP或图像处理的恶意行为识别技术主要是基于单个样本的自身属性特征进行学习和识别，忽略样本之间由于同类型或同源而可能存在的潜在关联；虽然有部分研究开始利用图领域的相关技术挖掘这些潜在关联的特征信息，但是它们构造的图结构没有充分利用图结构的关系属性，可能会降低恶意行为识别任务的精度；另外，现有技术和系统模型大多属于直推式学习，对于新加入的样本往往需要重新训练模型参数，可能导致模型的更新速度慢和泛化能力差。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提出一种面向带权异质图的恶意行为识别方法、系统和存储介质，该方法将恶意软件在执行过程中的行为特征建模而成的带权异质图作为训练数据，分别从根据不同元路径所抽取出的多个子图中学习节点对应的特征向量，然后将学到的不同特征进行融合并用于分类学习，最终将模型用于恶意行为的识别。

为了达到上述目的，本发明采用以下技术方案：

本发明提供的一种面向带权异质图的恶意行为识别方法，包括以下步骤：

构建归纳式图神经网络模型，所述归纳式图神经网络模型的输入为基于恶意行为数据集构建的带权异质图、节点的原始特征向量以及在异质图上定义的多个元路径；所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；所述特征向量生成融合模块包括MalSage层和子图特征融合层；所述分类学习模块包括全连接层和Softmax层；