申请/专利权人：深圳市凌晨知识产权运营有限公司

申请日：2021-06-02

公开（公告）日：2024-03-26

公开（公告）号：CN113312621B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0442;G06N3/045;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.03.26#授权;2023.10.27#专利申请权的转移;2023.10.27#专利申请权的转移;2021.09.14#实质审查的生效;2021.08.27#公开

摘要：本发明公开了一种基于增强深度学习的拟态的安卓恶意软件的动态检测方法，该方法中构建了基于增强深度学习的拟态的安卓恶意软件动态检测模型；基于所述模型，所述方法包括：对输入数据进行数据预处理，然后将预处理后的数据输入到异构冗余模型结构中；其中所述异构冗余模型结构包括三个功能等价的异构冗余体，分别为：增强的LongShortTermMermorynetworkLSTM模型，增强的GatedRecurrentUnitGRU模型及增强的胶囊网络模型；本发明提供的方法在基于拟态架构的安卓恶意软件动态检测模型中，利用拟态架构和拟态防御原理，使得模型能够自主防御网络的攻击，增强了模型的防御性能。

主权项：1.基于增强深度学习的拟态的安卓恶意软件的动态检测方法，其特征在于，该方法中构建了基于增强深度学习的拟态的安卓恶意软件动态检测模型；基于所述模型，所述方法包括：对输入数据进行数据预处理，然后将预处理后的数据输入到异构冗余模型结构中；其中所述异构冗余模型结构包括三个功能等价的异构冗余体，分别为：增强的LSTM模型，增强的GRU模型及增强的胶囊网络模型；经过预处理的输入数据通过所述动态检测模型随机分配，随机选择增强的LSTM模型、增强的GRU模型或增强的胶囊网络模型中进行训练，得到输出数据，完成对安卓恶意软件的动态检测；所述增强的LSTM模型通过对输入xt做增强处理xt＝xt+xt-1，对细胞状态ct做增强处理ct＝ct+ct-1，使用增强的LSTM模型来捕捉输入xt和细胞状态ct中API调用序列信息的更多历史情况；当时间步为t时，对增强的LSTM隐藏单元输入xt＝xt+xt-1，这使得在每个时间步t的输入都包括了上一时间步t-1的输入xt-1，增加了ct＝ct+ct-1；所述增强的LSTM隐藏单元还包括隐藏状态ht-1、时间步t-1的细胞状态ct-1，增强的LSTM隐藏单元输出包括时间步t的隐藏状态ht和时间步t的细胞状态ct；所述增强的LSTM模型的信息流动为：1：更新时间步t时增强的LSTM隐藏单元的输入值xt＝xt+xt-1，即将时间步t时增强的LSTM隐藏单元的输入值xt和时间步t-1时增强的LSTM隐藏单元的输入值xt-1相加得到更新后的xt，将更新后的xt作为时间步t时增强的LSTM隐藏单元的输入数据；xt＝xt+xt-142：计算时间步t时增强的LSTM隐藏单元的遗忘值ft；将时间步t时增强的LSTM隐藏单元的输入xt，时间步t-1时增强的LSTM隐藏单元的隐藏状态ht-1和时间步t-1时增强的LSTM隐藏单元的细胞状态值ct-1导入到sigmoid激活函数，得到时间步t时增强的LSTM隐藏单元的遗忘值ft；sigmoid激活函数表达式是：ft＝sigmoidxtWxf+ht-1Whf+ct-1Wcf+bf6其中，Wxf，Whf，Wcf是在计算遗忘值ft时需要的权重矩阵，bf是偏置矩阵；3：将时间步t时增强的LSTM隐藏单元中输入xt，时间步t-1时增强的LSTM隐藏单元的隐藏状态ht-1和将时间步t-1时增强的LSTM隐藏单元的细胞状态值ct-1导入到sigmoid激活函数，得到时间步t时增强的LSTM隐藏单元的输入值it；it＝sigmoidxtWxi+ht-1Whi+ct-1Wci+bi7Wxi，Whi，Wci分别是与xt，ht-1，ct-1所对应的权重矩阵，bi是偏置矩阵；4：将时间步t时增强的LSTM隐藏单元的输入xt和时间步t-1时增强的LSTM隐藏单元的隐藏状态ht-1导入到tanh激活函数，然后得到时间步t时增强的LSTM隐藏单元的候选细胞状态值 Wxc，Whc分别是与xt，ht-1所对应的权重矩阵，bc是偏置矩阵；5：将时间步t-1时增强的LSTM隐藏单元的细胞状态值ct-1和时间步t时增强的LSTM隐藏单元的遗忘值ft做哈达玛积，时间步t时增强的LSTM隐藏单元的候选细胞状态值和时间步t时增强的LSTM隐藏单元的输入值it做哈达玛积，将得到的两个哈达玛积结果相加得到时间步t时增强的LSTM隐藏单元的细胞状态值ct； ct＝ct+ct-1106：时间步t时增强的LSTM隐藏单元的细胞状态值ct＝ct+ct-1，即时间步t时增强的LSTM隐藏单元的细胞状态值ct和时间步t-1时增强的LSTM隐藏单元的细胞状态值ct-1相加的得到更新后的ct；7：将时间步t-1时增强的LSTM隐藏单元的输入xt，时间步t-1时增强的LSTM隐藏单元的隐藏状态ht-1和时间步t时增强的LSTM隐藏单元的细胞状态值ct导入到sigmoid激活函数，然后得到时间步t时增强的LSTM隐藏单元的输出值ot，ot＝sigmoidxtWxo+ht-1Who+ctWco+bo11Wxo，Who，Wco分别是与xt，ht-1，ct所对应的权重矩阵，bo是偏置矩阵；8：将时间步t时增强的LSTM隐藏单元的细胞状态值ct导入到tanh激活函数，得到的结果与时间步t时增强的LSTM隐藏单元的输出值ot做哈达玛积，最后得到时间步t时增强的LSTM隐藏单元的隐藏状态值ht；ht＝ot*tanhct12；所述增强的GRU模型，通过对输入xt做增强处理xt＝xt+xt-1，使得时间步t时的输入数据包括当前时间步的输入和上一时间步t-1时的输入信息；所述增强的GRU模型的信息流动如下所示：1：更新时间步t时增强的GRU模型的输入值xt＝xt+xt-1，即将时间步t时增强的GRU模型的输入值xt和时间步t-1时增强的GRU模型的输入值xt-1相加的得到更新后的xt，将更新后的xt作为时间步t时增强的GRU模型的输入数据；xt＝xt+xt-1132：计算时间步t时增强的GRU模型的重置门rt；将时间步t时增强的GRU模型的输入xt和时间步t-1时增强的GRU模型的隐藏状态ht-1导入到sigmoid激活函数，得到时间步t时增强的GRU模型的重置值rt；rt＝sigmoidWr*[ht-1，xt]14Wr是对应的权重矩阵；3：计算时间步t时增强的GRU模型的更新门ut；将时间步t时增强的GRU模型的输入xt，时间步t-1时增强的GRU模型的隐藏状态ht-1导入到sigmoid激活函数，得到时间步t时增强的GRU模型的更新值ut；ut＝sigmoidWz*[ht-1，xt]154：将时间步t时增强的GRU模型的重置门rt和时间步t-1时增强的GRU模型的隐藏状态ht-1做哈达玛积；再将得到的结果和时间步t时增强的GRU模型的输入值xt导入到tanh激活函数，然后得到时间步t时增强的GRU模型的候选隐藏状态值tanh激活函数表达式是： 5：将1-ut与做哈达玛积，时间步t时增强的GRU模型的更新门ut和ht-1做哈达玛积，将两个哈达玛积结果进行合并，得到时间步t时增强的GRU模型的隐藏状态ht； xt表示时间步t时对输入xt增强处理的GRU细胞的输入值，ht-1是时间步t-1时的隐藏状态值，ht是时间步t时的隐藏状态值，σ代表相应的激活函数，rt为时间步t时的重置门，ut为时间步t时的更新门，为时间步t时的候选隐藏状态值；所述增强的胶囊网络模型用sj+sj-1来更新当前胶囊单元的sj，能够充分学习API调用序列的动态变化情况；所述增强的胶囊网路模型的信息流动如下所示：所需输入包括指明路由迭代次数r，L层胶囊单元的预测向量1：初始化向量bij，在第一次迭代过程中，bij的初始值为零，随着迭代次数r的变化，向量bij动态更新；bij＝0192：对于所有L层胶囊单元i而言，对向量bij进行softmax操作，得到向量ci的值；ci＝softmaxbij203：在得到了所有L层胶囊单元i的耦合系数cij之后，信息流将向上层即L+1层的胶囊单元流通，不同的胶囊单元的输入向量sj是所有可能传入该单元的加权和，即为耦合系数cij与所有可能的预测向量的乘积和； 4：在同一层的不同的神经元之间，后一个神经元的输入sj＝sj+-sj-1，增强了前后胶囊单元之间的联系程度；sj＝sj+sj-1225：对所有进行了增强处理的向量sj进行Squash非线性函数的压缩操作；向量sj进行压缩操作后得到传给上层胶囊单元的向量vj；vj＝squashsj236：对权重bij进行动态更新操作，每一次胶囊网络中的数据完成一次单向流动过程后，均进行权重的更新操作；即利用L+1层的胶囊单元的输出向量vj与从L层胶囊单元的得到的预测向量做点积，加上原权重更新得到新的权重，实现权重的动态更新；步骤6结束之后，跳转到步骤3重新开始这一流程，并重复r次；

全文数据：

权利要求：

百度查询： 深圳市凌晨知识产权运营有限公司 基于增强深度学习的拟态的安卓恶意软件动态检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD