[发明专利]一种基于深度学习的恶意软件图像格式检测方法及其装置

摘要

一种基于深度学习的恶意软件图像格式的检测方法，包括以下步骤：1)构建恶意软件样本数据集；2)转换为恶意软件图像格式；3)构建卷积神经网络分类器；4)根据样本数据集对分类器进行训练以实现对恶意软件样本的分类。本发明还提供一种实施基于深度学习的恶意软件图像格式的检测方法的装置。本发明有良好的适用性和精度，能够有效地对恶意软件进行检测，取得较好的检测效果。

主权项

1.一种基于深度学习的恶意软件图像格式检测方法，包括以下步骤：/n1)构建恶意软件样本数据集；具体包括：/n1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；/n1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比约80％、测试集占比约20％的比例划分；/n2)转换为恶意软件图像格式，具体包括：/n2.1)对于步骤1.1)中的“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；/n2.2)再通过进制转换转化为十进制的数字，恶意软件的长字符串就转化为十进制的长数组；/n2.3)将十进制长数组以一定的方式进行拼接，转换为64×64大小的恶意软件灰度图像；/n2.4)最后获取图像格式的恶意软件样本；/n3)构建卷积神经网络分类器；卷积神经网络作为经典的深度学习网络，被广泛地应用在计算机视觉和图像分类任务中；对输入大小为64×64×1的初始灰度图像，长、宽都为64个像素，灰度图的通道数为1，构建卷积神经网络分类器，具体包括：/n3.1)将步骤2.4)获取的灰度图像依次经过4层卷积层，分别为卷积层1、卷积层2、卷积层3和卷积层4，在初始的4层卷积层中使用长度为2的步幅，快速降低图像在网络训练过程中各层输出的特征图的大小，在各卷积层中，都使用ReLU激活函数来避免Sigmoid等激活函数可能带来的梯度饱和问题，改善网络的训练过程；/n为尽可能多地挖掘图像信息，每层卷积都使用添零补位的操作，使卷积核可遍历输入图的每一个像素点，同时卷积核的大小随网络深度的增加逐渐降低；初始卷积核数为128，随着网络深度的增加而增加，挖掘更多的高维特征信息；/n3.2)在经过4层卷积层后送入1层全连接层，整合前面各层卷积的视野特征，输出N个类别的分类值；/n3.3)最后将步骤3.2)获取的N个类别的分类值通过1层Softmax网络层转化为分类概率，概率最大的类别就是当前样本的分类结果；/n4)根据样本数据集对分类器进行训练，过程如下：/n4.1)获取损失函数；选取的损失函数基于预测分类和样本标签的交叉熵，其格式采用one-hot编码表示，如[0,0,1,0,0,0]表示的样本的标签为6个类别中的第3个；交叉熵表达式如下：/n