申请/专利权人：西北工业大学

申请日：2020-11-21

公开（公告）日：2024-04-05

公开（公告）号：CN112464234B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0455;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.05#授权;2021.03.26#实质审查的生效;2021.03.09#公开

摘要：本发明涉及一种云平台上基于SVM的恶意软件检测方法，属于信息安全领域。依次包括以下步骤：基于时序的API调用序列的提取、基于skip‑gram模型的API序列向量化、基于AutoEncoder模型的API向量降维、构建基于SVM的恶意软件检测模型、基于SVM的检测模型的训练。本发明选择的特征向量为软件的所有API调用序列，通过将序列进行压缩的操作尽最大可能地保留了序列特征，再将其输入到SVM模型中，不但有效提升检测效率，检测准确率也得到大幅提升。

主权项：1.一种云平台上基于SVM的恶意软件检测方法，其特征在于步骤如下：步骤1：基于时序的API调用序列的提取为APK文件创建一个dex对象，通过对dex对象的分析，提取出该APK文件的函数调用图，通过对函数调用图中边信息的分析，获得各类内的函数调用关系；在此调用关系的基础上使用深度优先遍历算法完善每条调用序列；此时获得多条完整的类内调用序列，依据序列头节点在内存中的地址信息进行排序；最后按照地址递增的顺序将所有类内调用序列拼接在一起，构建成一条完整的API调用序列；步骤2：基于skip-gram模型的API序列向量化获得API调用序列之后，需要将提取出来的API序列向量化：1首先对每个API函数用特定的整数表示，每个API序列构建成为一个one-hot向量；2然后利用构建的one-hot向量来训练skip-gram网络模型，所述的skip-gram网络模型：输入为构建的one-hot向量；隐藏层没有使用任何激活函数；输出层是一个softmax回归分类器；模型中还需要定义skip_windows的参数，它表示从当前inputword的一侧选取词的数量，另一个参数叫num_skips，它表示从整个窗口中选取多少个不同的词作为outputword；隐藏层的权值矩阵是最终的学习目标，因此权重矩阵每行的维度需要根据具体的训练情况进行设置；输出层的每个节点将会输出一个0-1之间的值，表示当前词是输入样本中outputword的概率大小，这些所有输出层神经元节点的概率之和为1；3训练完成后，取出模型中的Embedding矩阵，用API序列的one-hot向量与Embedding权重矩阵的乘积来表示该序列的Embedding向量；步骤3：基于AutoEncoder模型的API向量降维采用AutoEncoder模型对API序列进行压缩，所述的AutoEncoder模型包含以下十层：一个数据输入层、八个数据压缩层以及一个数据输出层；各层之间通过全连接的方式相连接；将输入样本压缩到隐藏层，然后在输出端重新构建样本，经过不断的训练，当输出端重新构建的样本与输入端输入的样本之间的误差在一定范围内时，认为样本的压缩有效，模型训练结束；步骤4：构建基于SVM的恶意软件检测模型首先将经过降维处理的API序列输入到检测模型中；然后检测模型中的参数会在样本集上进行迭代计算，最终使得测试集上误差低于设定阈值；最后完成训练后的模型用于未知软件的检测，检测结果为良性或恶意的二分类判断；但是经过降维处理的API序列仍然有较高维度，为了获得更好的分类效果，引入高斯核函数；通过核函数，将特征向量映射到一个比较高的维度，从而找到一个可以完全分离的超平面，进而完成分类；步骤5：基于SVM的检测模型的训练本发明将模型构建在云平台上，将模型的训练建立在Spark内核之上，加速模型的训练，Spark集群由Driver,ClusterManager，以及WorkerNode组成；对于每个Spark应用程序，WorkerNode上存在一个Executor进程，Executor进程中包括多个Task线程；Spark上的任务启动后，Driver向ClusterManager申请资源；ClusterManager向某些WorkNode发送征召信号；被征召的WorkNode启动Executor进程响应征召，并向Driver申请任务；Driver将任务的程序代码和不同的数据分片分发给WordNode；每个WorkNode根据拿到的数据进行完整逻辑的任务，完成训练后将任务参数汇总发送给Driver程序；最后再将各参数进行平均化处理。

全文数据：

权利要求：

百度查询： 西北工业大学 一种云平台上基于SVM的恶意软件检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD