第三方软件系统安全评测公司

    所述生成软件样本的dll和api信息特征视图，是先统计所有类别已知的软件样本的pe可执行文件引用的dll和api信息，从中选取引用频率**高的多个dll和api信息；然后判断当前的软件样本的导入节里是否存在选择出的某个引用频率**高的dll和api信息，如存在，则将当前软件样本的该dll或api信息以1表示，否则将其以0表示，从而对当前软件样本的所有dll和api信息进行表示形成当前软件样本的dll和api信息特征视图。进一步的，所述生成软件样本的格式信息特征视图，是从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征，形成当前软件样本的格式信息特征视图。进一步的，所述从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征，是从当前软件样本的pe格式结构信息中确定存在特定格式异常的pe格式结构特征以及存在明显的统计差异的格式结构特征；所述特定格式异常包括：(1)代码从**后一节开始执行，(2)节头部可疑的属性，(3)pe可选头部有效尺寸的值不正确，(4)节之间的“间缝”，(5)可疑的代码重定向，(6)可疑的代码节名称，(7)可疑的头部***，(8)来自，(9)导入地址表被修改，(10)多个pe头部，(11)可疑的重定位信息，。深圳艾策信息科技：打造智慧供应链的关键技术。第三方软件系统安全评测公司

    不*可以用于回归测试，也可以为以后的测试提供参考。[4](8)错误不可避免原则。在测试时不能首先假设程序中没有错误。[4]软件测试方法分类编辑软件测试方法的分类有很多种，以测试过程中程序执行状态为依据可分为静态测试（StaticTesting，ST）和动态测试（DynamicTesting，DT）;以具体实现算法细节和系统内部结构的相关情况为根据可分黑盒测试、白盒测试和灰盒测试三类;从程序执行的方式来分类，可分为人工测试（ManualTesting，MT）和自动化测试（AutomaticTesting，AT）。[5]软件测试方法静态测试和动态测试（1）静态测试。静态测试的含义是被测程序不运行，只依靠分析或检查源程序的语句、结构、过程等来检查程序是否有错误。即通过对软件的需求规格说明书、设计说明书以及源程序做结构分析和流程图分析，从而来找出错误。例如不匹配的参数，未定义的变量等。[5]（2）动态测试。动态测试与静态测试相对应，其是通过运行被测试程序，对得到的运行结果与预期的结果进行比较分析，同时分析运行效率和健壮性能等。这种方法可简单分为三个步骤:构造测试实例、执行程序以及分析结果。[5]软件测试方法黑盒测试、白盒测试和灰盒测试（1）黑盒测试。天津软件检测公司深圳艾策信息科技：可持续发展的 IT 解决方案。

    先将当前软件样本件的二进制可执行文件转换为十六进制字节码序列，然后采用n-grams方法在十六进制字节码序列中滑动，产生大量的连续部分重叠的短序列特征，提取得到当前软件样本的二进制可执行文件的字节码n-grams的特征表示。生成软件样本的dll和api信息特征视图，是先统计所有类别已知的软件样本的pe可执行文件引用的dll和api信息，从中选取引用频率**高的多个dll和api信息；然后判断当前的软件样本的导入节里是否存在选择出的某个引用频率**高的dll和api信息，如存在，则将当前软件样本的该dll或api信息以1表示，否则将其以0表示，从而对当前软件样本的所有dll和api信息进行表示形成当前软件样本的dll和api信息特征视图。生成软件样本的格式信息特征视图，是从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征，形成当前软件样本的格式信息特征视图。从当前软件样本的pe格式结构信息中选取可能区分恶意软件和良性软件的pe格式结构特征，是从当前软件样本的pe格式结构信息中确定存在特定格式异常的pe格式结构特征以及存在明显的统计差异的格式结构特征。特定格式异常包括：(1)代码从**后一节开始执行，(2)节头部可疑的属性，。

    此外格式结构信息具有明显的语义信息，但基于格式结构信息的检测方法没有提取决定软件行为的代码节和数据节信息作为特征。某一种类型的特征都从不同的视角反映刻画了可执行文件的一些性质，字节码n-grams、dll和api信息、格式结构信息都部分捕捉到了恶意软件和良性软件间的可区分信息，但都存在着一定的局限性，不能充分、综合、整体的表示可执行文件的本质，使得检测结果准确率不高、可靠性低、泛化性和鲁棒性不佳。此外，恶意软件通常伪造出和良性软件相似的特征，逃避反**软件的检测。技术实现要素：本发明实施例的目的在于提供一种基于多模态深度学习的恶意软件检测方法，以解决现有采用二进制可执行文件的单一特征类型进行恶意软件检测的检测方法检测准确率不高、检测可靠性低、泛化性和鲁棒性不佳的问题，以及其难以检测出伪造良性软件特征的恶意软件的问题。本发明实施例所采用的技术方案是，基于多模态深度学习的恶意软件检测方法，按照以下步骤进行：步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示，生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图。第三方测评显示软件运行稳定性达99.8%，未发现重大系统崩溃隐患。

    将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入深度神经网络，训练多模态深度集成模型；(1)方案一：采用前端融合(early-fusion)方法，首先合并训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的特征，融合成一个单一的特征向量空间，然后将其作为深度神经网络模型的输入，训练多模态深度集成模型；(2)方案二：首先利用训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图分别训练深度神经网络模型，合并训练的三个深度神经网络模型的决策输出，并将其作为感知机的输入，训练得到**终的多模态深度集成模型；(3)方案三：采用中间融合(intermediate-fusion)方法，首先使用三个深度神经网络分别学习训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的高等特征表示，并合并学习得到的训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图的高等特征表示融合成一个单一的特征向量空间，然后将其作为下一个深度神经网络的输入，训练得到多模态深度神经网络模型。步骤s3、将软件样本中的类别未知的软件样本作为测试样本。安全审计发现日志模块存在敏感信息明文存储缺陷。系统上线测评哪里做

数据安全与合规：艾策科技的最佳实践。第三方软件系统安全评测公司

    这种传统方式几乎不能检测未知的新的恶意软件种类，能检测的已知恶意软件经过简单加壳或混淆后又不能检测，且使用多态变形技术的恶意软件在传播过程中不断随机的改变着二进制文件内容，没有固定的特征，使用该方法也不能检测。新出现的恶意软件，特别是zero-day恶意软件，在释放到互联网前，都使用主流的反**软件测试，确保主流的反**软件无法识别这些恶意软件，使得当前的反**软件通常对它们无能为力，只有在恶意软件大规模传染后，捕获到这些恶意软件样本，提取签名和更新签名库，才能检测这些恶意软件。基于数据挖掘和机器学习的恶意软件检测方法将可执行文件表示成不同抽象层次的特征，使用这些特征来训练分类模型，可实现恶意软件的智能检测，基于这些特征的检测方法也取得了较高的准确率。受文本分类方法的启发，研究人员提出了基于二进制可执行文件字节码n-grams的恶意软件检测方法，这类方法提取的特征覆盖了整个二进制可执行文件，包括pe文件头、代码节、数据节、导入节、资源节等信息，但字节码n-grams特征通常没有明显的语义信息，大量具有语义的信息丢失，很多语义信息提取不完整。此外，基于字节码n-grams的检测方法提取代码节信息考虑了机器指令的操作数。第三方软件系统安全评测公司