台山软件检测报告

    此外格式结构信息具有明显的语义信息，但基于格式结构信息的检测方法没有提取决定软件行为的代码节和数据节信息作为特征。某一种类型的特征都从不同的视角反映刻画了可执行文件的一些性质，字节码n-grams、dll和api信息、格式结构信息都部分捕捉到了恶意软件和良性软件间的可区分信息，但都存在着一定的局限性，不能充分、综合、整体的表示可执行文件的本质，使得检测结果准确率不高、可靠性低、泛化性和鲁棒性不佳。此外，恶意软件通常伪造出和良性软件相似的特征，逃避反**软件的检测。技术实现要素：本发明实施例的目的在于提供一种基于多模态深度学习的恶意软件检测方法，以解决现有采用二进制可执行文件的单一特征类型进行恶意软件检测的检测方法检测准确率不高、检测可靠性低、泛化性和鲁棒性不佳的问题，以及其难以检测出伪造良性软件特征的恶意软件的问题。本发明实施例所采用的技术方案是，基于多模态深度学习的恶意软件检测方法，按照以下步骤进行：步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示，生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图。对比分析显示资源占用率高于同类产品均值26%。台山软件检测报告

    将三种模态特征和三种融合方法的结果进行了对比，如表3所示。从表3可以看出，前端融合和中间融合较基于模态特征的检测准确率更高，损失率更低。后端融合是三种融合方法中较弱的，虽然明显优于基于dll和api信息、pe格式结构特征的实验结果，但稍弱于基于字节码3-grams特征的结果。中间融合是三种融合方法中**好的，各项性能指标都非常接近**优值。表3实验结果对比本实施例提出了基于多模态深度学习的恶意软件检测方法，提取了三种模态的特征(dll和api信息、pe格式结构信息和字节码3-grams)，提出了通过三种融合方式(前端融合、后端融合、中间融合)集成三种模态的特征，有效提高恶意软件检测的准确率和鲁棒性。实验结果显示，相对**且互补的特征视图和不同深度学习融合机制的使用明显提高了检测方法的检测能力和泛化性能，其中较优的中间融合方法取得了％的准确率，对数损失为，auc值为，各项性能指标已接近**优值。考虑到样本集可能存在噪声，本实施例提出的方法已取得了比较理想的结果。由于恶意软件很难同时伪造多个模态的特征，本实施例提出的方法比单模态特征方法更鲁棒。以上所述*为本发明的较佳实施例而已，并非用于限定本发明的保护范围。昆明软件检测报告价格企业数字化转型指南：艾策科技的实用建议。

    k为短序列特征总数，1≤i≤k。可执行文件长短大小不一，为了防止该特征统计有偏，使用∑knk,j进行归一化处理。逆向文件频率(inversedocumentfrequency，idf)是一个短序列特征普遍重要性的度量。某一短序列特征的idf，可以由总样本实施例件数目除以包含该短序列特征之样本实施例件的数目，再将得到的商取对数得到：其中，|d|指软件样本j的总数，|{j:i∈j}|指包含短序列特征i的软件样本j的数目。idf的主要思想是：如果包含短序列特征i的软件练样本越少，也就是|{j:i∈j}|越小，idf越大，则说明短序列特征i具有很好的类别区分能力。：如果某一特征在某样本中以较高的频率出现，而包含该特征的样本数目较小，可以产生出高权重的，该特征的。因此，，保留重要的特征。此处选取可能区分恶意软件和良性软件的短序列特征，是因为字节码n-grams提取的特征很多，很多都是无效特征，或者效果非常一般的特征，保持这些特征会影响检测方法的性能和效率，所以要选出有效的特征即可能区分恶意软件和良性软件的短序列特征。步骤s2、将软件样本中的类别已知的软件样本作为训练样本，然后分别采用前端融合方法、后端融合方法和中间融合方法设计三种不同方案的多模态数据融合方法。

    且4个隐含层中间间隔设置有dropout层。用于输入合并抽取的高等特征表示的深度神经网络包含2个隐含层，其***个隐含层的神经元个数是64，第二个神经元的隐含层个数是10，且2个隐含层中间设置有dropout层。且所有dropout层的dropout率等于。本次实验使用了80％的样本训练，20％的样本验证，训练50个迭代以便于找到较优的epoch值。随着迭代数的增加，中间融合模型的准确率变化曲线如图17所示，模型的对数损失变化曲线如图18所示。从图17和图18可以看出，当epoch值从0增加到20过程中，模型的训练准确率和验证准确率快速提高，模型的训练对数损失和验证对数损失快速减少；当epoch值从30到50的过程中，中间融合模型的训练准确率和验证准确率基本保持不变，训练对数损失缓慢下降；综合分析图17和图18的准确率和对数损失变化曲线，选取epoch的较优值为30。确定模型的训练迭代数为30后，进行了10折交叉验证实验。中间融合模型的10折交叉验证的准确率是％，对数损失是，混淆矩阵如图19所示，规范化后的混淆矩阵如图20所示。中间融合模型的roc曲线如图21所示，auc值为，已经非常接近auc的**优值1。(7)实验结果比对为了综合评估本实施例提出融合方案的综合性能。安全扫描确认软件通过ISO 27001标准，无高危漏洞记录。

    特征之间存在部分重叠，但特征类型间存在着互补，融合这些不同抽象层次的特征可更好的识别软件的真正性质。且恶意软件通常伪造出和良性软件相似的特征，逃避反**软件的检测，但恶意软件很难同时伪造多个抽象层次的特征逃避检测。基于该观点，本发明实施例提出一种基于多模态深度学习的恶意软件检测方法，以实现对恶意软件的有效检测，提取了三种模态的特征(dll和api信息、pe格式结构信息和字节码3-grams)，提出了通过前端融合、后端融合和中间融合这三种融合方式集成三种模态的特征，有效提高恶意软件检测的准确率和鲁棒性，具体步骤如下：步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示，生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图；统计当前软件样本的导入节中引用的dll和api，提取得到当前软件样本的二进制可执行文件的dll和api信息的特征表示。对当前软件样本的二进制可执行文件进行格式结构解析，并按照格式规范提取**该软件样本的格式结构信息，得到该软件样本的二进制可执行文件的pe格式结构信息的特征表示。艾策科技：如何用数据分析重塑企业决策！有名的第三方软件测评机构有哪些

代码签名验证确认所有组件均经过可信机构认证。台山软件检测报告

    图2是后端融合方法的流程图。图3是中间融合方法的流程图。图4是前端融合模型的架构图。图5是前端融合模型的准确率变化曲线图。图6是前端融合模型的对数损失变化曲线图。图7是前端融合模型的检测混淆矩阵示意图。图8是规范化前端融合模型的检测混淆矩阵示意图。图9是前端融合模型的roc曲线图。图10是后端融合模型的架构图。图11是后端融合模型的准确率变化曲线图。图12是后端融合模型的对数损失变化曲线图。图13是后端融合模型的检测混淆矩阵示意图。图14是规范化后端融合模型的检测混淆矩阵示意图。图15是后端融合模型的roc曲线图。图16是中间融合模型的架构图。图17是中间融合模型的准确率变化曲线图。图18是中间融合模型的对数损失变化曲线图。图19是中间融合模型的检测混淆矩阵示意图。图20是规范化中间融合模型的检测混淆矩阵示意图。图21是中间融合模型的roc曲线图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例**是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。台山软件检测报告