[发明专利]一种基于DEAM和DenseNet的恶意软件检测和家族分类方法

权利要求书

1.一种基于DEAM和DenseNet的恶意软件检测和家族分类方法，其特征在于一种基于DEAM和DenseNet的恶意软件检测方法，包括如下步骤：

步骤1：将PE软件转换成灰度图像：读取PE文件的每个字节，将其存储在一次存储在二维数组中，所述二维数组的宽W与高H的乘积大于等于PE文件字节数，二维数组中尾部剩余字节用预定字节填充，将所述二维数组转换为灰度图像；

步骤2：搭建基于DEAM和DenseNet的检测模型：所述检测模型包括级连的DenseNet模块和DEAM模块；所述DenseNet模块包括L层DenseBlock层，L1，相邻DenseBlock层之间设有用于降维处理的Transition层；第l DenseBlock层与第1至第l-1DenseBlock层在通道维度上连接在一起，1＜l≤L所述DenseBlock层包括批量归一化BN单元，激活函数ReLU，池化单元Pooling及卷积操作Conv；所述各DenseBlock层中末层卷积操作的核数相同，均为g；所述第lDenseBlock层输出g₀+g(l-1)通道特征图，g₀为第1DenseBlock层输入通道数；DEAM模块包括级联的IECA子模块和DSA子模块；所述IECA子模块由所述DenseNet模块输出的特征图的通道间关系，计算得到一维的通道注意图M_C∈R^C×1×1，计算方法为：

其中，M为所述DenseNet模块输出的特征图，C为特征图的通道数，C1D代表一维卷积，+代表逐元素求和，σ表示Sigmoid函数，k代表卷积操作的核数，和分别为对特征图M平均池特征和最大池特征的空间上下文描述符；

所述DSA子模块由经过IECA子模块处理过后的特征图M’计算出三维空间注意图M_S∈R^C×H×W，H代表高，W代表宽，计算方法为：

M_S(M')＝σ(DepthwiseConv2D(M')) (2)

其中，DepthwiseConv2D代表深度卷积，M’代表经过IECA子模块处理过后的特征图；

在DEAM模块中通过计算出的通道注意图和空间注意图对恶意软件的特征和位置进行关注，DEAM中的计算过程如下所示：

其中，M”代表经过DSA子模块处理过后的特征图；

步骤3：训练恶意软件检测网络：训练基于DEAM和DenseNet的模型的恶意软件检测网络；

步骤4：使用步骤3训练的基于DEAM和DenseNet的模型，预测PE软件是否为恶意软件。

2.根据权利要求1所述的一种基于DEAM和DenseNet的恶意软件检测方法，其特征在于：所述IECA子模块中卷积操作的核数k的计算方法为：

其中|t|_odd表示与t最接近的奇数，γ和b为常数。

3.根据权利要求2所述的一种基于DEAM和DenseNet的恶意软件检测方法，其特征在于：常数γ和b分别为2和1。

4.根据权利要求2所述的一种基于DEAM和DenseNet的恶意软件检测方法，其特征在于：所述DenseNet模块包括bottleneck层，所述bottleneck层的结构为BN+ReLU+1×1Conv+BN+ReLU+3×3Conv。

5.根据权利要求4所述的一种基于DEAM和DenseNet的恶意软件检测方法，其特征在于：所述Transition层包括一个1×1的卷积和2×2的平均池化或最大池化操作。

6.根据权利要求5所述的一种基于DEAM和DenseNet的恶意软件检测方法，其特征在于：所述Transition层结构为BN+ReLU+1×1 Conv+2×2 AvgPooling。

7.一种基于DEAM和DenseNet的恶意软件家族分类方法，其特征在于：包括如下步骤：

步骤1：构建训练数据集：选择恶意软件进行家族分类标注；

步骤2：家族分类网络训练：训练基于DEAM和DenseNet的模型的恶意软件家族分类网络参数；所述基于DEAM和DenseNet的模型结构与权利要求1中基于DEAM和DenseNet的模型结构相同；

步骤3：家族分类预测：使用步骤2训练的基于DEAM和DenseNet的模型，预测技术方案一检测出的恶意软件所属的家族。