沈阳计算机软件检测报告

    特征之间存在部分重叠，但特征类型间存在着互补，融合这些不同抽象层次的特征可更好的识别软件的真正性质。且恶意软件通常伪造出和良性软件相似的特征，逃避反**软件的检测，但恶意软件很难同时伪造多个抽象层次的特征逃避检测。基于该观点，本发明实施例提出一种基于多模态深度学习的恶意软件检测方法，以实现对恶意软件的有效检测，提取了三种模态的特征(dll和api信息、pe格式结构信息和字节码3-grams)，提出了通过前端融合、后端融合和中间融合这三种融合方式集成三种模态的特征，有效提高恶意软件检测的准确率和鲁棒性，具体步骤如下：步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示，生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图；统计当前软件样本的导入节中引用的dll和api，提取得到当前软件样本的二进制可执行文件的dll和api信息的特征表示。对当前软件样本的二进制可执行文件进行格式结构解析，并按照格式规范提取**该软件样本的格式结构信息，得到该软件样本的二进制可执行文件的pe格式结构信息的特征表示。可靠性评估连续运行72小时出现2次非致命错误。沈阳计算机软件检测报告

    不*可以用于回归测试，也可以为以后的测试提供参考。[4](8)错误不可避免原则。在测试时不能首先假设程序中没有错误。[4]软件测试方法分类编辑软件测试方法的分类有很多种，以测试过程中程序执行状态为依据可分为静态测试（StaticTesting，ST）和动态测试（DynamicTesting，DT）;以具体实现算法细节和系统内部结构的相关情况为根据可分黑盒测试、白盒测试和灰盒测试三类;从程序执行的方式来分类，可分为人工测试（ManualTesting，MT）和自动化测试（AutomaticTesting，AT）。[5]软件测试方法静态测试和动态测试（1）静态测试。静态测试的含义是被测程序不运行，只依靠分析或检查源程序的语句、结构、过程等来检查程序是否有错误。即通过对软件的需求规格说明书、设计说明书以及源程序做结构分析和流程图分析，从而来找出错误。例如不匹配的参数，未定义的变量等。[5]（2）动态测试。动态测试与静态测试相对应，其是通过运行被测试程序，对得到的运行结果与预期的结果进行比较分析，同时分析运行效率和健壮性能等。这种方法可简单分为三个步骤:构造测试实例、执行程序以及分析结果。[5]软件测试方法黑盒测试、白盒测试和灰盒测试（1）黑盒测试。软件测试报价代码审计发现2处潜在内存泄漏风险，建议版本迭代修复。

    **小化对数损失基本等价于**大化分类器的准确度，对于完美的分类器，对数损失值为0。对数损失函数的计算公式如下：其中，y为输出变量即输出的测试样本的检测结果，x为输入变量即测试样本，l为损失函数，n为测试样本(待检测软件的二进制可执行文件)数目，yij是一个二值指标，表示与输入的第i个测试样本对应的类别j，类别j指良性软件或恶意软件，pij为输入的第i个测试样本属于类别j的概率，m为总类别数，本实施例中m＝2。分类器的性能也可用roc曲线(receiveroperatingcharacteristic)评价，roc曲线的纵轴是检测率(true****itiverate)，横轴是误报率(false****itiverate)，该曲线反映的是随着检测阈值变化下检测率与误报率之间的关系曲线。roc曲线下面积(areaunderroccurve，auc)的值是评价分类器比较综合的指标，auc的值通常介于，较大的auc值一般表示分类器的性能较优。(3)特征提取提取dll和api信息特征视图dll(dynamiclinklibrary)文件为动态链接库文件，执行某一个程序时，相应的dll文件就会被调用。一个应用程序可使用多个dll文件，一个dll文件也可能被不同的应用程序使用。api(applicationprogramminginterface)函数是windows提供给用户作为应用程序开发的接口。

    本发明属于恶意软件防护技术领域：：，涉及一种基于多模态深度学习的恶意软件检测方法。背景技术：：：恶意软件是指在未明确提示用户或未经用户许可的情况下，故意编制或设置的，对网络或系统会产生威胁或潜在威胁的计算机软件。常见的恶意软件有计算机**(简称**)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑**等。恶意软件可能在用户不知情的情况下窃取计算机用户的信息和隐私，也可能非法获得计算机系统和网络资源的控制，破坏计算机和网络的可信性、完整性和可用性，从而为恶意软件控制者谋取非法利益。腾讯安全发布的《2017年度互联网安全报告》显示，2017年腾讯电脑管家pc端总计拦截**近30亿次，平均每月拦截木马**近，共发现**或木马***。这些数目庞大、名目繁多的恶意软件侵蚀着我国的***、经济、文化、***等各个领域的信息安全，带来了前所未有的挑战。当前的反**软件主要采用基于特征码的检测方法，这种方法通过对代码进行充分研究，获得恶意软件特征值(即每种恶意软件所独有的十六进制代码串)，如字节序列、特定的字符串等，通过匹配查找软件中是否包含恶意软件特征库中的特征码来判断其是否为恶意软件。第三方验证实际启动速度较厂商宣称慢0.7秒。

    比黑盒适用性广的优势就凸显出来了。[5]软件测试方法手动测试和自动化测试自动化测试，顾名思义就是软件测试的自动化，即在预先设定的条件下运行被测程序，并分析运行结果。总的来说，这种测试方法就是将以人驱动的测试行为转化为机器执行的一种过程。对于手动测试，其在设计了测试用例之后，需要测试人员根据设计的测试用例一步一步来执行测试得到实际结果，并将其与期望结果进行比对。[5]软件测试方法不同阶段测试编辑软件测试方法单元测试单元测试主要是对该软件的模块进行测试，通过测试以发现该模块的实际功能出现不符合的情况和编码错误。由于该模块的规模不大，功能单一，结构较简单，且测试人员可通过阅读源程序清楚知道其逻辑结构，首先应通过静态测试方法，比如静态分析、代码审查等，对该模块的源程序进行分析，按照模块的程序设计的控制流程图，以满足软件覆盖率要求的逻辑测试要求。另外，也可采用黑盒测试方法提出一组基本的测试用例，再用白盒测试方法进行验证。若用黑盒测试方法所产生的测试用例满足不了软件的覆盖要求，可采用白盒法增补出新的测试用例，以满足所需的覆盖标准。其所需的覆盖标准应视模块的实际具体情况而定。第三方实验室验证数据处理速度较上代提升1.8倍。第三方软件检测公司排名榜

企业数字化转型指南：艾策科技的实用建议。沈阳计算机软件检测报告

    并将测试样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入步骤s2训练得到的多模态深度集成模型中，对测试样本进行检测并得出检测结果。实验结果与分析(1)样本数据集选取实验评估使用了不同时期的恶意软件和良性软件样本，包含了7871个良性软件样本和8269个恶意软件样本，其中4103个恶意软件样本是2011年以前发现的，4166个恶意软件样本是近年来新发现的；3918个良性软件样本是从全新安装的windowsxpsp3系统中收集的，3953个良性软件样本是从全新安装的32位windows7系统中收集的。所有的恶意软件样本都是从vxheavens网站中收集的，所有的样本格式都是windowspe格式的，样本数据集构成如表1所示。表1样本数据集类别恶意软件样本良性软件样本早期样本41033918近期样本41663953合计82697871(2)评价指标及方法分类性能主要用两个指标来评估：准确率和对数损失。准确率测量所有预测中正确预测的样本占总样本的比例，*凭准确率通常不足以评估预测的鲁棒性，因此还需要使用对数损失。对数损失(logarithmicloss)，也称交叉熵损失(cross-entropyloss)，是在概率估计上定义的，用于测量预测类别与真实类别之间的差距大小。沈阳计算机软件检测报告