[发明专利]基于应用程序接口语义信息的恶意软件检测方法及系统有效
申请号: | 202310636026.4 | 申请日: | 2023-06-01 |
公开(公告)号: | CN116361801B | 公开(公告)日: | 2023-09-01 |
发明(设计)人: | 杨淑棉;张雨鑫;赵大伟;徐丽娟;李鑫;孙晨宇;徐庆灵;杨永琪 | 申请(专利权)人: | 山东省计算中心(国家超级计算济南中心);齐鲁工业大学(山东省科学院) |
主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F9/54;G06N3/0464;G06N3/08 |
代理公司: | 济南圣达知识产权代理有限公司 37221 | 代理人: | 王雪 |
地址: | 250000 山*** | 国省代码: | 山东;37 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 基于 应用程序 接口 语义 信息 恶意 软件 检测 方法 系统 | ||
1.基于应用程序接口语义信息的恶意软件检测方法,其特征在于,包括:
获取软件API调用序列并进行预处理;
基于预处理后的API调用序列将每个API进行向量化表示,得到API调用序列特征向量,具体为:获取预处理后的API调用序列,利用预先训练好的API调用序列词向量模型调用预处理后的API调用序列对应的低维词向量表示,得到API调用序列特征向量;
所述API调用序列词向量模型的训练过程,具体为:获取API调用序列并进行预处理,得到API调用样本序列,根据API调用样本序列中每个API的索引位置得到的API One-Hot向量,进而得到API调用样本序列API One-Hot向量,利用API调用样本序列API One-Hot向量训练跳字模型中的初始权重矩阵,将API调用样本序列中每个API单词映射到N维空间,得到API调用序列的嵌入矩阵,其中嵌入矩阵的每一行对应一个中心词向量,通过将每个中心词向量与隐藏层矩阵相乘,使用softmax函数将输出层神经元的激活值转换为概率,即每个单词的上下文在词汇表上的概率分布,得到训练好的API调用序列词向量模型;
基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示,得到API调用名称特征向量,具体为:基于预处理后的API调用序列,提取API调用的操作以及对象,得出的操作字典,根据API分类标准获取预处理后的API调用序列中API的类别,根据API调用的操作、对象以及类别,得到调整后的API序列表示,基于调整后的API序列表示,利用预先训练好的API调用名称词向量模型调用调整后的API序列表示中调用名称对应的词向量表示,将调整后的API序列表示中调用名称对应的词向量表示与预处理后的API调用序列中每个API的TF-IDF值组合,得到API调用名称特征向量;
根据API调用序列特征向量和API调用名称特征向量,利用预先训练好的恶意软件检测模型进行软件检测,得到检测结果,具体为:将API调用序列特征向量输入到三个并行的第一卷积层进行卷积操作;将API调用名称特征向量输入到第二卷积层进行卷积操作;将三个并行的第一卷积层的输出特征和第二卷积层的输出特征进行特征拼接,得到拼接特征;基于拼接特征,利用双向门控循环单元层进行降维;根据降维后的特征进行输出分类,得到检测结果;
所述恶意软件检测模型的结构,具体为:三个并行的第一卷积层、第二卷积层、双向门控循环单元层以及输出分类层;所述双向门控循环单元层包括前向学习和后向学习的两个门控循环单元模块;所述输出分类层包括依次连接的两组全连接层和Dropout层以及全连接层。
2.如权利要求1所述的基于应用程序接口语义信息的恶意软件检测方法,其特征在于,所述获取软件API调用序列并进行预处理,具体为:
获取软件API调用序列;
基于软件API调用序列,删除连续重复的API调用,去除冗余特征;
对去除冗余特征的API调用序列进行统一的固定长度,得到预处理后的API调用序列。
3.基于应用程序接口语义信息的恶意软件检测系统,用于实现如权利要求1-2任一项权利要求所述的方法,其特征在于,包括:
序列获取模块,被配置为获取软件API调用序列并进行预处理;
词嵌入模块,被配置为基于预处理后的API调用序列将每个API进行向量化表示,得到API调用序列特征向量;
名称嵌入模块,被配置为基于预处理后的API调用序列中的API调用名称将每个API进行向量化表示,得到API调用名称特征向量;
恶意软件检测模块,被配置为根据API调用序列特征向量和API调用名称特征向量,利用预先训练好的恶意软件检测模型进行软件检测,得到检测结果。
4.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一项所述的基于应用程序接口语义信息的恶意软件检测方法中的步骤。
5.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-2中任一项所述的基于应用程序接口语义信息的恶意软件检测方法中的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于山东省计算中心(国家超级计算济南中心);齐鲁工业大学(山东省科学院),未经山东省计算中心(国家超级计算济南中心);齐鲁工业大学(山东省科学院)许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202310636026.4/1.html,转载请声明来源钻瓜专利网。