申请/专利权人：河北师范大学

申请日：2021-09-18

公开（公告）日：2024-03-19

公开（公告）号：CN113836530B

主分类号：G06F21/56

分类号：G06F21/56;G06F21/55;G06F18/2415;G06N3/048;G06N3/084;G06N3/0464

优先权：

专利状态码：有效-授权

法律状态：2024.03.19#授权;2022.01.11#实质审查的生效;2021.12.24#公开

摘要：本发明涉及一种基于MAAM和CliqueNet的恶意软件检测和家族分类方法，恶意软件检测方法包括：将PE软件转换成灰度图像的步骤、搭建基于MAAM和CliqueNet的检测模型的步骤、训练恶意软件检测网络的步骤和预测PE软件是否为恶意软件的步骤，家族分类方法包括构建训练数据集的步骤、家族分类网络训练的步骤以及家族分类预测的步骤；本发明可在空间域上结合局部和全局的多尺度关键信息，并能自适应地选择通道和空间注意力模块的排列方式，以强化对恶意软件特征的关注，在减少特征工程的同时改善了恶意软件家族分类样本不平衡的问题，对于混淆攻击可靠有效。

主权项：1.一种基于MAAM和CliqueNet的恶意软件检测方法，其特征在于采用如下步骤：步骤1：将PE软件转换成灰度图像：读取PE文件的每个字节，将其存储在二维数组中，所述二维数组的宽W与高H的乘积大于等于PE文件字节数，二维数组中尾部剩余字节用预定字节填充，将所述二维数组转换为灰度图像；步骤2：搭建基于MAAM和CliqueNet的检测模型：所述检测模型包括结合的CliqueNet模型和MAAM模块；所述CliqueNet模型包括4个CliqueBlock块，相邻CliqueBlock块之间设有用于降维处理的Transition块；所述Transition块带有改进后通用的高效注意力模块MAAM；所述CliqueBlock块包括向前更新的stage-I和反向更新的stage-II；所述CliqueBlock块包括批量归一化BN单元、激活函数ReLU、池化单元Pooling以及卷积操作Conv；对于stage-II中的第i层和第k个stage，交替更新的表达式为： 式中：k＝2，k表示stage的次数，2个stage为一次循环；W*X表示卷积核在输入特征图上做卷积运算，g为非线性激活函数；每一个CliqueBlock块的输出被分为两部分，一部分是反向精炼后每一层输出的结合，被称作transit_feature，另一部分是输入层和反向精炼后每一层输出的结合，被称作block_feature；transit_feature经过带有MAAM的Transition块被传输给下一个CliqueBlock块；block_feature经过全局平均池化被压缩成特征向量，将每一个CliqueBlock块得到的特征向量拼接在一起输入到Softmax函数中以进行最后的概率预测；所述MAAM模块包括IECA子模块和MSA子模块；所述IECA子模块由输入的特征图M的通道间关系，计算得到一维的通道注意图MC∈RC×1×1，计算方法为： 式中：C为特征图的通道数，conv1D表示一维卷积，+表示逐元素求和，σ表示Sigmoid函数，k表示一维卷积的卷积核数， 和分别为对特征图M平均池特征和最大池特征的空间上下文描述符；所述MSA子模块对输入的特征图M计算出三维的局部空间注意图MS1∈RC×H×W和二维的全局空间注意图MS2∈R1×H×W，最后将三维的局部空间注意图MS1∈RC×H×W和二维的全局空间注意图MS2∈R1×H×W逐元素相加得到三维空间注意图MS∈RC×H×W，H表示高，W表示宽，计算方法为： 式中，表示element-wisemultiplication，DepthwiseConv2D表示深度卷积，[；]表示张量拼接， 和分别表示特征图M的平均池空间信息和最大池空间信息，W3,W4∈RC×H×W是用于决定局部关键信息和全局关键信息占比的可学习矩阵；在MAAM模块中使用一种自适应的方法来确定通道和空间注意子模块的排列，并通过计算出的通道注意图和空间注意图对恶意软件的特征和位置进行关注，MAAM中的计算过程如下所示： 式中：M′表示输出特征图，可学习矩阵W1,W2∈RC×H×W，是用来实现自适应的方法的辅助分类器；步骤3：训练恶意软件检测网络：训练基于MAAM和CliqueNet的模型的恶意软件检测网络；步骤4：使用步骤3训练的基于MAAM和CliqueNet的模型，预测PE软件是否为恶意软件。

全文数据：

权利要求：

百度查询： 河北师范大学 一种基于MAAM和CliqueNet的恶意软件检测和家族分类方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD