申请/专利权人：玉溪师范学院

申请日：2020-03-27

公开（公告）日：2024-04-23

公开（公告）号：CN111382438B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0464;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.04.23#授权;2020.09.25#实质审查的生效;2020.07.07#公开

摘要：本发明公开了一种基于多尺度卷积神经网络的恶意软件检测方法，先将训练样本的二进制可执行文件转换为固定长度的十六进制字符序列，然后通过词嵌入将固定长度的十六进制字符序列转换为一个低维向量，并将转换生成的低维向量输入多尺度卷积神经网络中，训练基于多尺度卷积神经网络的检测模型，最后依据上述步骤将待检测软件的二进制可执行文件转换为一个低维向量，然后将其输入训练所得的基于多尺度卷积神经网络的检测模型中，对待检测软件进行分类并输出检测结果；所述多尺度卷积神经网络采用多个并行的特征提取通道，每个特征提取通道由依次连接的一维卷积层、池化层和第一Dropout层组成。解决了现有恶意软件检测方法的准确率低的问题。

主权项：1.基于多尺度卷积神经网络的恶意软件检测方法，其特征在于，按照以下步骤进行：步骤S1、将训练样本的二进制可执行文件转换为固定长度的十六进制字符序列；首先，设置字节阈值，并依据设置的字节阈值将训练样本的二进制可执行文件处理成固定长度的二进制可执行文件，对于字节长度大于字节阈值的训练样本的二进制可执行文件，丢弃其后面的字节，对于字节长度小于字节阈值的训练样本的二进制可执行文件，在其后填充空格以使其字节长度达到字节阈值，使得每个训练样本的二进制可执行文件的字节长度均等于字节阈值；然后，对固定长度的训练样本的二进制可执行文件的每个字节的字符进行编码，将其每个字节的字符转换为1到257的整数索引，即得到固定长度的十六进制字符序列；步骤S2、通过词嵌入将固定长度的十六进制字符序列转换为一个低维向量；所述词嵌入采用word2vec模型；所述字节阈值设置为3000；步骤S3、将转换生成的低维向量输入多尺度卷积神经网络中，训练基于多尺度卷积神经网络的检测模型；步骤S4、依据步骤S1～S2将待检测软件的二进制可执行文件转换为一个低维向量，然后将其输入步骤S3训练所得的基于多尺度卷积神经网络的检测模型中，对待检测软件进行分类并输出检测结果，具体为：首先将转换生成的低维向量输入基于多尺度卷积神经网络的检测模型中，3个并行的一维卷积层同时在该低维向量上滑动进行卷积运算，最后将3个并行的卷积层提取的特征依次经池化层、第一Dropout层和拼接层后进行特征拼接，提取得到待检测软件的二进制可执行文件的有效特征；所述一维卷积层均使用56个卷积核，且其卷积核窗口大小分别为9、11、13，步长均为1；所述池化层的步长分别为9、11、13；所述池化层均采用最大池化；然后，使用全连接层对提取的待检测软件的二进制可执行文件的有效特征进行非线性组合，即得到检测结果；所述全连接层和拼接层之间设有第二Dropout层；所述全连接层设有16个神经元。

全文数据：

权利要求：

百度查询： 玉溪师范学院 基于多尺度卷积神经网络的恶意软件检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD