[发明专利]一种容器内恶意软件静态检测系统及方法有效
| 申请号: | 201910275571.9 | 申请日: | 2019-04-08 |
| 公开(公告)号: | CN110008703B | 公开(公告)日: | 2020-01-24 |
| 发明(设计)人: | 陈兴蜀;金逸灵;王玉龙;王伟;蒋超;金鑫;王启旭 | 申请(专利权)人: | 四川大学 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 51284 成都禾创知家知识产权代理有限公司 | 代理人: | 裴娟 |
| 地址: | 610065 四川*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种容器内恶意软件静态检测系统及方法,包括以下步骤:步骤1:无代理提取容器内待检测软件;步骤2:提取API调用序列;步骤3:构建深度学习检测模型,深度学习检测模型Word2vec网络、LSTM网络和CNN网络;Word2vec网络将API调用序列向量化,LSTM网络提取不定长序列数据的语义特征输出定长语义向量,CNN网络提取定长语义向量的多维局部特征并进行分类,得到分类结果;步骤4:训练深度学习检测模型得到层级恶意软件检测模型;步骤5:将API调用序列输入层级恶意软件检测模型,得到检测结果;本发明分层抽取数据特征来应对插入或修改代码逻辑等混淆攻击,无需修改容器和主机操作系统,可保障容器云平台的可用性和租户的数据安全性。 | ||
| 搜索关键词: | 学习检测 恶意软件检测 静态检测系统 恶意软件 网络提取 语义向量 层级 定长 网络 主机操作系统 长序列数据 待检测软件 数据安全性 可用性 租户 抽取数据 代码逻辑 分类结果 检测结果 局部特征 提取容器 序列输入 语义特征 向量化 云平台 多维 分层 构建 混淆 输出 攻击 代理 分类 | ||
【主权项】:
1.一种容器内恶意软件静态检测方法,其特征在于,包括以下步骤:/n步骤1:无代理提取容器内待检测软件;/n所述步骤1的提取过程如下:/nS11:根据输入的容器镜像或容器的唯一标识,在主机用户层获取待检测容器源数据,从中筛选出Lowerdir和Upperdir路径;/nS12:将Lowerdir和Upperdir按照层次关系进行格式拼接得到拼接Lowerdir,并新建一个空的Upperdir;/nS13:根据Docker系统信息获取存储驱动类型,得到相应的文件系统类型,将拼接的Lowerdir和空的Upperdir联合挂载到一个处于待测容器外部的临时容器视角目录;/nS14:筛选临时容器视角目录下的可执行文件,将其绝对路径传给步骤2;/n步骤2:提取步骤1得到待检测软件的API调用序列;/n所述步骤2具体过程如下:/nS21:划分基本块;/nS22:获取基本块间调用关系有向有环图;/nS23:合并同一函数内的基本块,对步骤S22中的有向有环图进行部分边的合并,得到每个函数内部的函数调用序列有向有环图;/nS24:遍历函数调用序列有向有环图,得到程序整体API调用序列;/n步骤3:构建深度学习检测模型,深度学习检测模型Word2vec网络、LSTM网络和CNN网络;Word2vec网络将API调用序列向量化,LSTM网络提取不定长序列数据的语义特征输出定长语义向量,CNN网络提取定长语义向量的多维局部特征并进行分类,得到分类结果;/nWord2vec网络将每个API都映射为固定较低维度的特征向量,按序拼接这些特征向量形成LSTM的输入;LSTM网络采用读取整个不定长序列后产生单个特征输出的循环网络设计模式,提取序列数据的语义特征,将隐藏层输出的定长语义向量作为CNN的输入;CNN网络将定长语义向量通过卷积核沿序列进行卷积计算生成多个Feature Map,然后通过最大池化选取每个Feature Map中最重要的特征,将池化后的特征全连接后接入softmax回归层得到分类结果;/n步骤4:训练步骤3得到的深度学习检测模型得到层级恶意软件检测模型;/n步骤5:将步骤2得到的API调用序列输入步骤4训练得到的层级恶意软件检测模型,得到检测结果。/n
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于四川大学,未经四川大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201910275571.9/,转载请声明来源钻瓜专利网。
