江苏第三方软件检测中心 优惠报价 深圳艾策信息科技供应

    此外格式结构信息具有明显的语义信息，但基于格式结构信息的检测方法没有提取决定软件行为的代码节和数据节信息作为特征。某一种类型的特征都从不同的视角反映刻画了可执行文件的一些性质，字节码n-grams、dll和api信息、格式结构信息都部分捕捉到了恶意软件和良性软件间的可区分信息，但都存在着一定的局限性，不能充分、综合、整体的表示可执行文件的本质，使得检测结果准确率不高、可靠性低、泛化性和鲁棒性不佳。此外，恶意软件通常伪造出和良性软件相似的特征，逃避反**软件的检测。技术实现要素：本发明实施例的目的在于提供一种基于多模态深度学习的恶意软件检测方法，以解决现有采用二进制可执行文件的单一特征类型进行恶意软件检测的检测方法检测准确率不高、检测可靠性低、泛化性和鲁棒性不佳的问题，以及其难以检测出伪造良性软件特征的恶意软件的问题。本发明实施例所采用的技术方案是，基于多模态深度学习的恶意软件检测方法，按照以下步骤进行：步骤s1、提取软件样本的二进制可执行文件的dll和api信息、pe格式结构信息以及字节码n-grams的特征表示，生成软件样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图。艾策科技：如何用数据分析重塑企业决策！江苏第三方软件检测中心

    图2是后端融合方法的流程图。图3是中间融合方法的流程图。图4是前端融合模型的架构图。图5是前端融合模型的准确率变化曲线图。图6是前端融合模型的对数损失变化曲线图。图7是前端融合模型的检测混淆矩阵示意图。图8是规范化前端融合模型的检测混淆矩阵示意图。图9是前端融合模型的roc曲线图。图10是后端融合模型的架构图。图11是后端融合模型的准确率变化曲线图。图12是后端融合模型的对数损失变化曲线图。图13是后端融合模型的检测混淆矩阵示意图。图14是规范化后端融合模型的检测混淆矩阵示意图。图15是后端融合模型的roc曲线图。图16是中间融合模型的架构图。图17是中间融合模型的准确率变化曲线图。图18是中间融合模型的对数损失变化曲线图。图19是中间融合模型的检测混淆矩阵示意图。图20是规范化中间融合模型的检测混淆矩阵示意图。图21是中间融合模型的roc曲线图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例**是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。兰州第三方软件测试实验室创新光谱分析技术赋能艾策检测，实现食品药品中微量有害物质的超痕量检测。

    在不知道多长的子序列能更好的表示可执行文件的情况下，只能以固定窗口大小在字节码序列中滑动，产生大量的短序列，由机器学习方法选择可能区分恶意软件和良性软件的短序列作为特征，产生短序列的方法叫n-grams。“080074ff13b2”的字节码序列，如果以3-grams产生连续部分重叠的短序列，将得到“080074”、“0074ff”、“74ff13”、“ff13b2”四个短序列。每个短序列特征的权重表示有多种方法。**简单的方法是如果该短序列在具体样本中出现，就表示为1；如果没有出现，就表示为0，也可以用。本实施例采用3-grams方法提取特征，3-grams产生的短序列非常庞大，将产生224＝(16,777,216)个特征，如此庞大的特征集在计算机内存中存储和算法效率上都是问题。如果短序列特征的tf较小，对机器学习可能没有意义，选取了tf**高的5000个短序列特征，计算每个短序列特征的，每个短序列特征的权重是判断其所在软件样本是否为恶意软件的依据，也是区分每个软件样本的依据。(4)前端融合前端融合的架构如图4所示，前端融合方式将三种模态的特征合并，然后输入深度神经网络，隐藏层的***函数为relu，输出层的***函数是sigmoid，中间使用dropout层进行正则化，防止过拟合，优化器。

    步骤s2、将软件样本中的类别已知的软件样本作为训练样本，基于多模态数据融合方法，将训练样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入深度神经网络，训练多模态深度集成模型；步骤s3、将软件样本中的类别未知的软件样本作为测试样本，并将测试样本的dll和api信息特征视图、格式信息特征视图以及字节码n-grams特征视图输入步骤s2训练得到的多模态深度集成模型中，对测试样本进行检测并得出检测结果。进一步的，所述提取软件样本的二进制可执行文件的dll和api信息的特征表示，是统计当前软件样本的导入节中引用的dll和api；所述提取软件样本的二进制可执行文件的pe格式结构信息的特征表示，是先对当前软件样本的二进制可执行文件进行格式结构解析，然后按照格式规范提取**该软件样本的格式结构信息；所述提取软件样本的二进制可执行文件的字节码n-grams的特征表示，是先将当前软件样本件的二进制可执行文件转换为十六进制字节码序列，然后采用n-grams方法在十六进制字节码序列中滑动，产生大量的连续部分重叠的短序列特征。进一步的，采用3-grams方法在十六进制字节码序列中滑动产生连续部分重叠的短序列特征。进一步的。用户体验测评中界面交互评分低于同类产品均值15.6%。

    之所以被称为黑盒测试是因为可以将被测程序看成是一个无法打开的黑盒，而工作人员在不软件测试方法考虑任何程序内部结构和特性的条件下，根据需求规格说明书设计测试实例，并检查程序的功能是否能够按照规范说明准确无误的运行。其主要是对软件界面和软件功能进行测试。对于黑盒测试行为必须加以量化才能够有效的保证软件的质量。[5]（2）白盒测试。其与黑盒测试不同，它主要是借助程序内部的逻辑和相关信息，通过检测内部动作是否按照设计规格说明书的设定进行，检查每一条通路能否正常工作。白盒测试是从程序结构方面出发对测试用例进行设计。其主要用于检查各个逻辑结构是否合理，对应的模块**路径是否正常以及内部结构是否有效。常用的白盒测试法有控制流分析、数据流分析、路径分析、程序变异等，其中逻辑覆盖法是主要的测试方法。[5]（3）灰盒测试。灰盒测试则介于黑盒测试和白盒测试之间。灰盒测试除了重视输出相对于出入的正确性，也看重其内部表现。但是它不可能像白盒测试那样详细和完整。它只是简单的靠一些象征性的现象或标志来判断其内部的运行情况，因此在内部结果出现错误，但输出结果正确的情况下可以采取灰盒测试方法。因为在此情况下灰盒比白盒**。整合多学科团队的定制化检测方案，体现艾策服务于制造的技术深度。重庆第三方软件检测机构

数据安全与合规：艾策科技的最佳实践。江苏第三方软件检测中心

    将三种模态特征和三种融合方法的结果进行了对比，如表3所示。从表3可以看出，前端融合和中间融合较基于模态特征的检测准确率更高，损失率更低。后端融合是三种融合方法中较弱的，虽然明显优于基于dll和api信息、pe格式结构特征的实验结果，但稍弱于基于字节码3-grams特征的结果。中间融合是三种融合方法中**好的，各项性能指标都非常接近**优值。表3实验结果对比本实施例提出了基于多模态深度学习的恶意软件检测方法，提取了三种模态的特征(dll和api信息、pe格式结构信息和字节码3-grams)，提出了通过三种融合方式(前端融合、后端融合、中间融合)集成三种模态的特征，有效提高恶意软件检测的准确率和鲁棒性。实验结果显示，相对**且互补的特征视图和不同深度学习融合机制的使用明显提高了检测方法的检测能力和泛化性能，其中较优的中间融合方法取得了％的准确率，对数损失为，auc值为，各项性能指标已接近**优值。考虑到样本集可能存在噪声，本实施例提出的方法已取得了比较理想的结果。由于恶意软件很难同时伪造多个模态的特征，本实施例提出的方法比单模态特征方法更鲁棒。以上所述*为本发明的较佳实施例而已，并非用于限定本发明的保护范围。江苏第三方软件检测中心