先将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图分别输入至一个深度神经网络中抽取高等特征表示,然后合并抽取的高等特征表示并将其作为下一个深度神经网络的输入进行模型训练,得到多模态深度集成模型。进一步的,所述多模态深度集成模型的隐藏层的***函数采用relu,输出层的***函数采用sigmoid,中间使用dropout层进行正则化,优化器采用adagrad。进一步的,所述训练得到的多模态深度集成模型中,用于抽取dll和api信息特征视图的深度神经网络包含3个隐含层,且3个隐含层中间间隔设置有dropout层;用于抽取格式信息特征视图的深度神经网络包含2个隐含层,且2个隐含层中间设置有dropout层;用于抽取字节码n-grams特征视图的深度神经网络包含4个隐含层,且4个隐含层中间间隔设置有dropout层;用于输入合并抽取的高等特征表示的深度神经网络包含2个隐含层,且2个隐含层中间设置有dropout层;所述dropout层的dropout率均等于。本发明实施例的有益效果是,提出了一种基于多模态深度学习的恶意软件检测方法,应用了多模态深度学习方法来融合dll和api、格式结构信息、字节码n-grams特征。可靠性评估连续运行72小时出现2次非致命错误。北京软件检测报告多少钱
生成取值表。3把取值表与选择的正交表进行映射控件数Ln(取值数)3个控件5个取值5的3次幂混合正交表当控件的取值数目水平不一致时候,使用allp**rs工具生成1等价类划分法划分值2边界值分析法边界值3错误推断法经验4因果图分析法关系5判定表法条件和结果6流程图法流程路径梳理7场景法主要功能和业务的事件8正交表先关注主要功能和业务流程,业务逻辑是否正确实现,考虑场景法需要输入数据的地方,考虑等价类划分法+边界值分析法,发现程序错误的能力**强存在输入条件的组合情况,考虑因果图判定表法多种参数配置组合情况,正交表排列法采用错误推断法再追加测试用例。需求分析场景法分析主要功能输入的等价类边界值输入的各种组合因果图判定表多种参数配置正交表错误推断法经验软件缺陷软件产品中存在的问题,用户所需要的功能没有完全实现。软件 系统压力测试隐私合规检测确认用户数据加密符合GDPR标准要求。
12)把节装入到vmm的地址空间;(13)可选头部的sizeofcode域取值不正确;(14)含有可疑标志。此外,恶意软件和良性软件间以下格式特征也存在明显的统计差异:(1)证书表是软件厂商的可认证的声明,恶意软件很少有证书表,而良性软件大部分都有软件厂商可认证的声明;(2)恶意软件的调试数据也明显小于正常文件的,这是因为恶意软件为了增加调试的难度,很少有调试数据;(3)恶意软件4个节(.text、.rsrc、.reloc和.rdata)的characteristics属性和良性软件的也有明显差异,characteristics属性通常**该节是否可读、可写、可执行等,部分恶意软件的代码节存在可写异常,只读数据节和资源节存在可写、可执行异常等;(4)恶意软件资源节的资源个数也明显少于良性软件的,如消息表、组图表、版本资源等,这是因为恶意软件很少使用图形界面资源,也很少有版本信息。pe文件很多格式属性没有强制限制,文件完整性约束松散,存在着较多的冗余属性和冗余空间,为pe格式恶意软件的传播和隐藏创造了条件。此外,由于恶意软件为了方便传播和隐藏,尽一切可能的减小文件大小,文件结构的某些部分重叠,同时对一些属性进行了特别设置以达到anti-dump、anti-debug或抗反汇编。
步骤s2、将软件样本中的类别已知的软件样本作为训练样本,基于多模态数据融合方法,将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入深度神经网络,训练多模态深度集成模型;步骤s3、将软件样本中的类别未知的软件样本作为测试样本,并将测试样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入步骤s2训练得到的多模态深度集成模型中,对测试样本进行检测并得出检测结果。进一步的,所述提取软件样本的二进制可执行文件的dll和api信息的特征表示,是统计当前软件样本的导入节中引用的dll和api;所述提取软件样本的二进制可执行文件的pe格式结构信息的特征表示,是先对当前软件样本的二进制可执行文件进行格式结构解析,然后按照格式规范提取**该软件样本的格式结构信息;所述提取软件样本的二进制可执行文件的字节码n-grams的特征表示,是先将当前软件样本件的二进制可执行文件转换为十六进制字节码序列,然后采用n-grams方法在十六进制字节码序列中滑动,产生大量的连续部分重叠的短序列特征。进一步的,采用3-grams方法在十六进制字节码序列中滑动产生连续部分重叠的短序列特征。进一步的。数字化转型中的挑战与应对:艾策科技的经验分享。
所述生成软件样本的dll和api信息特征视图,是先统计所有类别已知的软件样本的pe可执行文件引用的dll和api信息,从中选取引用频率**高的多个dll和api信息;然后判断当前的软件样本的导入节里是否存在选择出的某个引用频率**高的dll和api信息,如存在,则将当前软件样本的该dll或api信息以1表示,否则将其以0表示,从而对当前软件样本的所有dll和api信息进行表示形成当前软件样本的dll和api信息特征视图。进一步的,所述生成软件样本的格式信息特征视图,是从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征,形成当前软件样本的格式信息特征视图。进一步的,所述从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征,是从当前软件样本的pe格式结构信息中确定存在特定格式异常的pe格式结构特征以及存在明显的统计差异的格式结构特征;所述特定格式异常包括:(1)代码从**后一节开始执行,(2)节头部可疑的属性,(3)pe可选头部有效尺寸的值不正确,(4)节之间的“间缝”,(5)可疑的代码重定向,(6)可疑的代码节名称,(7)可疑的头部***,(8)来自,(9)导入地址表被修改,(10)多个pe头部,(11)可疑的重定位信息,。艾策检测团队采用多模态传感器融合技术,构建智能工厂设备状态健康监测体系。乌海软件验收测试公司
功能完整性测试发现3项宣传功能未完全实现。北京软件检测报告多少钱
此外格式结构信息具有明显的语义信息,但基于格式结构信息的检测方法没有提取决定软件行为的代码节和数据节信息作为特征。某一种类型的特征都从不同的视角反映刻画了可执行文件的一些性质,字节码n-grams、dll和api信息、格式结构信息都部分捕捉到了恶意软件和良性软件间的可区分信息,但都存在着一定的局限性,不能充分、综合、整体的表示可执行文件的本质,使得检测结果准确率不高、可靠性低、泛化性和鲁棒性不佳。此外,恶意软件通常伪造出和良性软件相似的特征,逃避反**软件的检测。技术实现要素:本发明实施例的目的在于提供一种基于多模态深度学习的恶意软件检测方法,以解决现有采用二进制可执行文件的单一特征类型进行恶意软件检测的检测方法检测准确率不高、检测可靠性低、泛化性和鲁棒性不佳的问题,以及其难以检测出伪造良性软件特征的恶意软件的问题。本发明实施例所采用的技术方案是,基于多模态深度学习的恶意软件检测方法,按照以下步骤进行:步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示,生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图。北京软件检测报告多少钱