申请/专利权人：北京科技大学

申请日：2021-07-06

公开（公告）日：2024-03-22

公开（公告）号：CN113449304B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/213;G06N3/0455;G06N3/0985

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2021.10.22#实质审查的生效;2021.09.28#公开

摘要：本发明公开了一种基于策略梯度降维的恶意软件检测方法及装置，该方法包括：获取待检程序的程序行为数据；对获取的程序行为数据进行独热编码，得到由独热向量组成的行为序列数据；采用预设的基于策略梯度的词向量降维模型对由独热向量组成的行为序列数据进行降维处理，得到降维后的行为序列数据；将降维后的行为序列数据输入预设的深度学习模型，利用深度学习模型对降维后的行为序列数据进行特征分类，判断当前待检程序是否为恶意程序。本发明面向恶意软件检测领域，在经典的文本词嵌入方法中引入了策略梯度技术，提高了恶意软件中API特征的表达能力，增强了深度学习模型的分类性能。

主权项：1.一种基于策略梯度降维的恶意软件检测方法，其特征在于，包括：获取待检程序对应的程序行为数据；对所述程序行为数据进行独热编码，得到由独热向量组成的行为序列数据；采用预设的基于策略梯度的词向量降维模型对由独热向量组成的行为序列数据进行降维处理，得到降维后的行为序列数据；将降维后的行为序列数据输入预设的深度学习模型，利用所述深度学习模型对降维后的行为序列数据进行特征分类，判断所述待检程序是否为恶意程序；所述程序行为数据是由程序运行期间调用的API函数和操作码组成的序列；对所述程序行为数据进行独热编码，包括：对所述程序行为数据中的每一元素分别生成一个维数与预设的word2index字典大小相同，且所有元素值均为0的零向量；其中，所述word2index字典中包括程序在运行期间所有可能调用的API函数及操作码，以及每一API函数及操作码对应的唯一的索引值，所述word2index字典大小指的是所述word2index字典中存在的API函数及操作码的总数；将每一零向量中与其所对应的API函数及操作码的索引值处的元素值分别更改为1，从而得到所述程序行为数据中每一元素对应的独热向量；所述基于策略梯度的词向量降维模型包含编码层、解码层以及策略网络；所述基于策略梯度的词向量降维模型的训练过程如下：设窗口大小为2k+1，每个待降维的行为序列数据的前k个元素的独热向量为w1,w2,…,wk，后k个元素的独热向量为wk+1,wk+2,…,w2k，位于窗口中间的元素的独热向量记为w；策略网络按顺序依次为wi赋予相应的权重zi，其中，1≤i≤2k；然后将独热向量加权求和，并对权重归一化处理；将求和后的结果依次输入编码层和解码层，得到用于预测w的概率分布p，计算公式如下： 其中，是归一化因子，zi是根据策略网络得到的权重因子，E和D分别表示编码层矩阵和解码层矩阵；其中，为了获得第i个位置的权重zi，需要为策略网络定义第i个时刻的状态si，计算公式如下：si＝concathi-1,Ewi其中，concat表示向量的拼接操作，hi-1是第i-1时刻的隐层状态向量；隐层状态向量由下式计算得到：hi＝hi-1+ziEwi在初始时刻，将h0初始化为零向量；在第i时刻，策略网络读取状态si，输出一个具有三个分量的概率分布，其中每个分量都与一个权重值对应，实际训练过程中使用随机策略进行权重选择；为了更新编码层和解码层的网络参数，采用交叉熵损失函数计算参数梯度；其中，交叉熵损失函数计算公式如下：L＝-wTlogp为了更新策略网络的参数，奖励值计算如下： 其中，C表示word2index字典的大小；λ是需要预先设置的超参数；根据得到的概率分布计算交叉熵损失和奖励值，然后使用随机梯度下降算法更新编码层、解码层和策略网络的参数值；训练完成后，将最后得到的编码层矩阵E进行保存；所述采用预设的基于策略梯度的词向量降维模型对由独热向量组成的行为序列数据进行降维处理，得到降维后的行为序列数据，具体为：将待降维的由独热向量组成的行为序列数据与E相乘，得到降维后的行为序列数据。

全文数据：

权利要求：

百度查询： 北京科技大学 一种基于策略梯度降维的恶意软件检测方法及装置

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD