[发明专利]一种基于DEAM和DenseNet的恶意软件检测和家族分类方法

说明书

发明公开了一种基于DEAM和DenseNet的恶意软件检测和家族分类方法，结合深度有效注意力模型（Depthwise Efficient Attention Module，DEAM）和密集连接神经网络（DenseNet）模型进行恶意软件检测和家族分类。DEAM是改进后通用的轻量级注意力模块，由改进的有效注意力(Improved Efficient Channel Attention，IECA)子模块和深度空间注意力(Depthwise Spatial Attention，DSA)子模块两部分组成，可以强化对恶意软件特征的关注，提高检测和分类效果。本发明对加密、打包和样本数量少的恶意软件均有较高的鲁棒性，能够可靠地进行恶意软件检测和家族分类，它在提高CNNs效果的同时保持模型计算量不增加。

技术领域

本发明涉及一种恶意软件检测和家族分类方法，具体为涉及一种基于DEAM和DenseNet的恶意软件检测和家族分类方法，属于网络安全技术领域。

背景技术

恶意软件是一种用来访问计算机系统并执行无用或有害操作的人为编制的软件程序。它包括病毒、蠕虫、特洛伊木马、广告软件、间谍软件、勒索软件等多种类型，这些软件会获取保密数据、窃取身份、劫持流量和操作系统、加密数字资产和监视用户，对用户和操作系统构成威胁。恶意软件以其持续提高的增长速度和层出不穷的家族类型不断挑战着网络安全状况，根据《2020年恶意软件威胁态势报告》统计，2019年全球对业务端点的Windows恶意软件检测增加了13％。恶意软件检测和家族分类技术仍是不可忽视的发展方向。

DEAM是改进后通用的轻量级注意力模块，由改进的有效注意力(ImprovedEfficient Channel Attention，IECA)子模块和深度空间注意力(Depthwise SpatialAttention，DSA)子模块两部分组成，可以强化对恶意软件特征的关注，提高检测和分类效果。密集连接神经网络(DenseNet)是在ResNet的基础上发展而来的深度学习模型，近年在图像分类领域取得了不俗的成果。与ResNet相比，它们的基本思路一致，但是DenseNet建立的是前面所有层与后面层的密集连接(dense connection)，以及通过特征在通道上的连接来实现特征重用(feature reuse)。这些特点让DenseNet在参数和计算成本更少的情形下实现比ResNet更优的性能，并缓解了梯度消失的问题。DenseNet为恶意软件检测和家族分类提供了一种新的研究思路。

发明内容

本发明要解决的技术问题是提供一种基于DEAM和DenseNet的恶意软件检测和家族分类方法。

为解决上述技术问题，本发明采用的技术方案是：

技术方案一：一种基于DEAM和DenseNet的恶意软件检测方法，包括如下步骤：

步骤1：将PE软件转换成灰度图像：读取PE文件的每个字节，将其存储在一次存储在二维数组中，所述二维数组的宽W与高H的乘积大于等于PE文件字节数，二维数组中尾部剩余字节用预定字节填充，将所述二维数组转换为灰度图像；

步骤2：搭建基于DEAM和DenseNet的检测模型：所述检测模型包括级连的DenseNet模块和DEAM模块；所述DenseNet模块包括L层DenseBlock层，L1，相邻DenseBlock层之间设有用于降维处理的Transition层；第l DenseBlock层与第1至第l-1DenseBlock层在通道维度上连接在一起，1＜l≤L所述DenseBlock层包括批量归一化BN单元，激活函数ReLU，池化单元Pooling及卷积操作Conv；所述各DenseBlock层中末层卷积操作的核数相同，均为g；所述第lDenseBlock层输出g₀+g(l-1)通道特征图，g₀为第1DenseBlock层输入通道数；DEAM模块包括级联的IECA子模块和DSA子模块；所述IECA子模块由所述DenseNet模块输出的特征图的通道间关系，计算得到一维的通道注意图M_C∈R^C×1×1，计算方法为：