[发明专利]基于NIN神经网络的恶意代码变种检测方法

摘要

本发明公开了基于NIN神经网络的恶意代码变种检测方法，属于信息安全领域的恶意代码防护技术。该方法主要包括恶意代码映射为灰度图像、数据增强、面向灰阶图像检测的NIN神经网络设计。首先，引入将恶意代码的二进制文件通过相应方法映射为无压缩的灰度图像。其次，为了使NIN神经网络能更好提取到恶意代码生成的灰度图像的特征以及解决图像数据规模过小的问题，提出使用数据增强方法提前处理灰度图片。最后，在现有数据的基础上，使用NIN神经网络模型进行训练。

主权项

基于NIN神经网络的恶意代码变种检测方法，首先，引入将恶意代码的二进制文件通过相应方法映射为无压缩的灰度图像；其次，为了使NIN神经网络能更好提取到恶意代码生成的灰度图像的特征以及解决图像数据规模过小的问题，提出使用数据增强方法提前处理灰度图片；最后，在现有数据的基础上，研究使用NIN神经网络模型进行训练；其特征在于：该方法包括以下流程，第一步，使用灰阶图像映射方法，将给定的恶意代码二进制文件，按照每八位顺序二进值组合成一个无符号空间矢量，按照图像设定的高度存储为一个二维数组并可视化为灰阶图像；设B＝(b0,b1,b2,b3,b4,b5,b6,b7)为给定恶意代码的二进制文件中的顺序选择的八位二进值；其中，bi,i∈[0,7]表示一位二进制数，取值为0或者1，B为长度为8的一维数组；则根据B通过如下公式计算得到一个无符号空间矢量I，其中I的范围为[0～255]，空间矢量I为灰度图像中的一个像素点；I＝b0*27+b1*26+b2*25+b3*24+b4*23+b5*22+b6*21+b7*20按照上述方法遍历整个二进制文件按照图像设定的宽度组合成一个二维数组X[totallen/column][column]；其中，column为灰度图像的宽度，取决于二进制文件的大小，totallen为整个二进制文件转化为空间矢量个数；将这个二维数组X[totallen/column][column]可视化为一个灰度图像；灰度图像的宽度是固定的，而灰度图像的高度取决于文件的大小；第二步，使用数据增强技术解决数据过少的问题，避免出现过拟合以及训练不够泛化的问题；面向图像的数据增强技术有很多种，设A＝[a1,a2,...,a7]为数据增强技术的集合，其中，a1为旋转变换、a2为反射变换、a3为翻转变换、a4为缩放变换、a5为平移变换、a6为尺度变换、a7为对比度变换；令Mi＝xm,....,xn代表逐次进行数据增强技术的操作序列；其中，i∈R表示操作序列的顺序，xn∈A,n∈[1,7]代表某一种数据增强技术；M＝x1,x2代表使用旋转变换和反射变换进行数据增强进行分析；定义Mi＝λ1x1+.....+λlxl为带权的数据增强技术的操作序列；结果的加权；其中，λl为每一种数据增强技术分配的权重；则灰阶图像的数据增强总模型操作序列顺序为：y1＝M1(m)y2＝M2(y1)……yk＝Mk(yk‑1)其中，m为输入的灰阶图像数据，yk为通过k次数据增强技术操作序列后得到的结果；定义D(m)＝Mk(yk‑1)，其中D(m)代表输入数据m经历k次数据增强技术操作序列得到的最后结果；通过对多维灰阶图像进行数据增强，最终为恶意代码变种检测提供支撑；第三步，通过使用面向灰度图像的NIN神经网络对上一步经过数据增强之后的灰阶图像数据进行训练，输出一个用于恶意代码变种检测的判别模型；NIN神经网络中由多层的MLP层以及全局均值池化层组成；多层感知器层中每个卷积的局部感受野中还包含了一个微型的多层网络；利用多层MLP的微型网络，对每个局部感受野的神经元进行更加复杂的运算，而以前的卷积层，局部感受野的运算仅仅只是一个单层的神经网络罢了；对于多层感知器层中每张特征图的计算公式如下：fi,j,k11=max(wk11Txi,j+bk1,0).]]>fi,j,knn=max(wknnTfi,jn-1+bkn,0).]]>其中，(i,j)为特征图中的像素坐标，xi,j为(i,j)位置输入中心，k为特征图的通道数下标，n为多层感知器的数量，w为权重，b为偏置；全局均值池化层是在最后一个MLP层后综合空间信息生成健壮的用于分类的特征映射；全局均值池化层用来替代传统CNN中的全连接层；与全连接层不同，对每个特征图一整张图片进行全局均值池化，这样每张特征图都得到一个输出，每张特征图相当于一个输出特征，然后这个特征就表示输出类的特征。