[发明专利]一种基于参数优化元学习的恶意软件家族分类方法

说明书

本发明公开了一种基于参数优化元学习的恶意软件家族分类方法，包括恶意软件文件预处理、神经网络模型训练、模型测试和模型微调步骤。本发明将原始恶意软件转化为可视化的灰度图像，将灰度图像进行特征提取并使用基于参数优化的元学习方法加以训练；在训练过程中，对于类精度低的恶意软件家族的灰度图像样本作为困难样本，加入下一轮训练任务继续训练分类器，以便实现所有恶意软件的准确分类。本发明可以在网络模型简单、样本少的情况下实现恶意软件的高精度分类，且具有较高的泛化能力。

技术领域

本发明涉及一种恶意软件家族分类方法，尤其涉及一种基于参数优化元学习的恶意软件家族分类方法，属于网络安全技术领域。

背景技术

随着网络应用的发展和物联网的盛行，恶意软件成了网络安全的主要威胁之一。从2019年到2020年，恶意软件增长了近1亿。同时，攻击者又通过代码变换、代码插入、子程序重构等方法产生了恶意软件的变种来逃避杀毒软件的检测。因此，恶意软件检测与分类成了网络安全领域一个非常重要的课题，尤其随着大数据时代的到来，需要提出一个更简单且有效的方法去分类恶意软件家族。

在恶意软件分类领域，目前主要使用的是以机器学习为代表的方法来分类，通过将原始二进制文件样本可视化为图片，从而把恶意软件分类问题转化为图片分类问题，并且取得了很好的分类精度。但对于模型的复杂度以及样本的数量等问题，这些方法没有考虑率模型的开销以及合适的策略去处理样本不平衡，并且对于新出现的恶意家族的样本，传统的机器学习方法分类效果较差。

发明内容

本发明要解决的技术问题是提供一种基于参数优化元学习的恶意软件家族分类方法。

为了解决上述技术问题，本发明采用的技术方案是：

一种基于参数优化元学习的恶意软件家族分类方法，包括如下步骤：

步骤1：恶意软件文件预处理：将样本恶意软件文件逐一转换为灰度图像样本；所述灰度图像样本随机划分为训练集D_train，验证集D_val，测试集D_test；

步骤2：神经网络模型训练：

步骤2-1：抽取训练数据：从训练集D_train随机抽取样本构成1个以上任务，每个任务包括支撑集D_support和搜索集D_query；

步骤2-2：使用支撑集D_support中的灰度图像样本来计算模型参数，进行第一次梯度更新；损失函数使用交叉熵损失函数，计算方法为：

其中，x^(j)和y^(j)是第j灰度图像样本和标签，f_φ是初始化参数为φ的神经网络模型；l_T(f_φ)是交叉熵损失函数，θ'_i是第i个任务支撑集样本计算的第一次更新参数，α为学习率，是损失函数对初始化参数φ的梯度；

步骤2-3：以第一次更新参数θ'_i为初始参数，使用搜索集D_query中的灰度图像样本学习模型参数，使损失函数之和最小；

步骤2-4：以第一次更新参数θ'_i为模型参数，以任务中灰度图像样本的损失函数总和为目标函数，优化模型参数，模型参数更新方法为：

其中，β为学习率，T_i为第i个任务，为搜索集D^query上的任务对初始参数φ梯度，φ为更新后的参数；