[发明专利]一种基于参数优化元学习的恶意软件家族分类方法

权利要求书

1.一种基于参数优化元学习的恶意软件家族分类方法，其特征在于：包括如下步骤：

步骤1：恶意软件文件预处理：将样本恶意软件文件逐一转换为灰度图像样本；所述灰度图像样本随机划分为训练集D_train，验证集D_val，测试集D_test；

步骤2：神经网络模型训练：

步骤2-1：抽取训练数据：从训练集D_train随机抽取样本构成1个以上任务，每个任务包括支撑集D_support和搜索集D_query；

步骤2-2：使用支撑集D_support中的灰度图像样本来计算模型参数，进行第一次梯度更新；损失函数使用交叉熵损失函数，计算方法为：

其中，x^(j)和y^(j)是第j个灰度图像样本和标签，是初始化参数为的神经网络模型；是交叉熵损失函数，θ′_i是第i个任务支撑集样本计算的第一次更新参数，α为学习率，是损失函数对初始化参数的梯度；

步骤2-3：以第一次更新参数θ′_i为初始参数，使用搜索集D_query中的灰度图像样本学习模型参数，使损失函数之和最小；

步骤2-4：以第一次更新参数θ′_i为模型参数，以任务中灰度图像样本的损失函数总和为目标函数，优化模型参数，模型参数更新方法为：

其中，β为学习率，T_i为第i个任务，为搜索集D_query上的任务对初始参数梯度，为更新后的参数；

步骤2-5：计算任务中灰度图像样本在当前模型参数条件下各恶意软件家族的训练精度，并根据训练精度进行恶意软件家族排序，对于准确率低于预设阈值的恶意软件家族将所使用的灰度图像样本作为困难样本加入下一轮训练的任务中；

步骤2-6：判断本次与上次训练的模型参数对各恶意软件家族分类的训练精度之差是否小于收敛阈值或是否为最后一个任务，如果是，结束转向步骤3，否则转向步骤2-2；

步骤3：模型测试：在测试集D_test中随机选择1批以上任务进行模型测试，计算各恶意软件家族分类的准确率、精确率、召回率、F1-score指标；

步骤4：模型微调：随机在训练集中抽取1个以上任务，用任务中支撑集D_support中的灰度图像样本对步骤3训练好的模型进行微调，微调方法与步骤2相同，用D_query集去测试模型输出准确率。

2.根据权利要求1所述的基于参数优化元学习的恶意软件家族分类方法，其特征在于：所述神经网络模型包含四个结构相同的神经块，各神经块包括一个卷积层，一个BatchNorm层和一个ReLu非线性层；各神经块的输出经2×2的最大池化层后进入分类层Linear，输出分类概率。

3.根据权利要求1所述的基于参数优化元学习的恶意软件家族分类方法，其特征在于：第一个卷积块中卷积核的大小为3×3×6，输出的特征图的大小为40×40×6；第二个卷积块中卷积核的大小为3×3×16，输出的特征图的大小为20×20×16；第三个卷积块中卷积核的大小为3×3×32，输出特征图的大小为10×10×32；第四个卷积块中卷积核的大小为3×3×32，输出特征图的大小为5×5×32。