嘗試了前端融合、后端融合和中間融合三種融合方法對(duì)進(jìn)行有效融合�����,有效提高了惡意軟件的準(zhǔn)確率,具備較好的泛化性能和魯棒性�。實(shí)驗(yàn)結(jié)果顯示,相對(duì)**且互補(bǔ)的特征視圖和不同深度學(xué)習(xí)融合機(jī)制的使用明顯提高了檢測(cè)方法的檢測(cè)能力和泛化性能�����,其中較優(yōu)的中間融合方法取得了%的準(zhǔn)確率���,對(duì)數(shù)損失為�����,auc值為�����。有效解決了現(xiàn)有采用二進(jìn)制可執(zhí)行文件的單一特征類型進(jìn)行惡意軟件檢測(cè)的檢測(cè)方法檢測(cè)結(jié)果準(zhǔn)確率不高�、可靠性低�、泛化性和魯棒性不佳的問(wèn)題。另外����,惡意軟件很難同時(shí)偽造良性軟件的多個(gè)抽象層次的特征以逃避檢測(cè),本發(fā)明實(shí)施例同時(shí)融合軟件的二進(jìn)制可執(zhí)行文件的多個(gè)抽象層次的特征�,可準(zhǔn)確檢測(cè)出偽造良性軟件特征的惡意軟件��,解決了現(xiàn)有采用二進(jìn)制可執(zhí)行文件的單一特征類型進(jìn)行惡意軟件檢測(cè)的檢測(cè)方法難以檢測(cè)出偽造良性軟件特征的惡意軟件的問(wèn)題�。附圖說(shuō)明為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案����,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地�,下面描述中的附圖**是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講����,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖�����。圖1是前端融合方法的流程圖�����。用戶體驗(yàn)測(cè)評(píng)中界面交互評(píng)分低于同類產(chǎn)品均值15.6%�。上海第三方軟件測(cè)評(píng)中心
4)建立與用戶或客戶的聯(lián)系�,收集他們對(duì)測(cè)試的需求和建議。(II)制訂技術(shù)培訓(xùn)計(jì)劃為高效率地完成好測(cè)試工作�,測(cè)試人員必須經(jīng)過(guò)適當(dāng)?shù)呐嘤?xùn)����。制訂技術(shù)培訓(xùn)規(guī)劃有3個(gè)子目標(biāo):1)制訂**的培訓(xùn)計(jì)劃��,并在管理上提供包括經(jīng)費(fèi)在內(nèi)的支持����。2)制訂培訓(xùn)目標(biāo)和具體的培訓(xùn)計(jì)劃。3)成立培訓(xùn)組�����,配備相應(yīng)的工具��,設(shè)備和教材(III)軟件全生命周期測(cè)試提高測(cè)試成熟度和改善軟件產(chǎn)品質(zhì)量都要求將測(cè)試工作與軟件生命周期中的各個(gè)階段聯(lián)系起來(lái)�����。該目標(biāo)有4個(gè)子目標(biāo):1)將測(cè)試階段劃分為子階段��,并與軟件生命周期的各階段相聯(lián)系�����。2)基于已定義的測(cè)試子階段����,采用軟件生命周期V字模型�。3)制訂與淵試相關(guān)的工作產(chǎn)品的標(biāo)準(zhǔn)�。4)建立測(cè)試人員與開(kāi)發(fā)人員共同工作的機(jī)制。這種機(jī)制有利于促進(jìn)將測(cè)試活動(dòng)集成于軟件生命周期中(IV)控制和監(jiān)視測(cè)試過(guò)程為控制和監(jiān)視測(cè)試過(guò)程�,軟件**需采取相應(yīng)措施,如:制訂測(cè)試產(chǎn)品的標(biāo)準(zhǔn)����,制訂與測(cè)試相關(guān)的偶發(fā)事件的處理預(yù)案,確定測(cè)試?yán)锍瘫�,確定評(píng)估測(cè)試效率的度量,建立測(cè)試日志等�����?刂坪捅O(jiān)視測(cè)試過(guò)程有3個(gè)子目標(biāo):1)制訂控制和監(jiān)視測(cè)試過(guò)程的機(jī)制和政策�����。2)定義��,記錄并分配一組與測(cè)試過(guò)程相關(guān)的基本測(cè)量。3)開(kāi)發(fā)�����,記錄并文檔化一組糾偏措施和偶發(fā)事件處理預(yù)案。上海第三方軟件測(cè)評(píng)中心企業(yè)數(shù)字化轉(zhuǎn)型指南:艾策科技的實(shí)用建議�����。
這樣做的好處是��,融合模型的錯(cuò)誤來(lái)自不同的分類器�,而來(lái)自不同分類器的錯(cuò)誤往往互不相關(guān)、互不影響���,不會(huì)造成錯(cuò)誤的進(jìn)一步累加��。常見(jiàn)的后端融合方式包括**大值融合(max-fusion)�����、平均值融合(averaged-fusion)��、貝葉斯規(guī)則融合(bayes’rulebased)以及集成學(xué)習(xí)(ensemblelearning)等�。其中集成學(xué)習(xí)作為后端融合方式的典型**���,被廣泛應(yīng)用于通信�����、計(jì)算機(jī)識(shí)別�����、語(yǔ)音識(shí)別等研究領(lǐng)域�����。中間融合是指將不同的模態(tài)數(shù)據(jù)先轉(zhuǎn)化為高等特征表達(dá)�����,再于模型的中間層進(jìn)行融合�,如圖3所示。以深度神經(jīng)網(wǎng)絡(luò)為例�,神經(jīng)網(wǎng)絡(luò)通過(guò)一層一層的管道映射輸入,將原始輸入轉(zhuǎn)換為更高等的表示�。中間融合首先利用神經(jīng)網(wǎng)絡(luò)將原始數(shù)據(jù)轉(zhuǎn)化成高等特征表達(dá),然后獲取不同模態(tài)數(shù)據(jù)在高等特征空間上的共性�,進(jìn)而學(xué)習(xí)一個(gè)聯(lián)合的多模態(tài)表征。深度多模態(tài)融合的大部分工作都采用了這種中間融合的方法��,其***享表示層是通過(guò)合并來(lái)自多個(gè)模態(tài)特定路徑的連接單元來(lái)構(gòu)建的。中間融合方法的一大優(yōu)勢(shì)是可以靈活的選擇融合的位置�,但設(shè)計(jì)深度多模態(tài)集成結(jié)構(gòu)時(shí),確定如何融合���、何時(shí)融合以及哪些模式可以融合,是比較有挑戰(zhàn)的問(wèn)題�����。字節(jié)碼n-grams�、dll和api信息、格式結(jié)構(gòu)信息這三種類型的特征都具有自身的優(yōu)勢(shì)��。
程序利用windows提供的接口(windowsapi)實(shí)現(xiàn)程序的功能���。通過(guò)一個(gè)可執(zhí)行程序引用的動(dòng)態(tài)鏈接庫(kù)(dll)和應(yīng)用程序接口(api)可以粗略的預(yù)測(cè)該程序的功能和行為�。統(tǒng)計(jì)所有樣本的導(dǎo)入節(jié)中引用的dll和api的頻率�����,留下引用頻率**高的60個(gè)dll和500個(gè)api��。提取特征時(shí)����,每個(gè)樣本的導(dǎo)入節(jié)里存在選擇出的dll或api�����,該特征以1表示�,不存在則以0表示�,提取的560個(gè)dll和api特征作為***個(gè)特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫(xiě)���,初衷是希望能開(kāi)發(fā)一個(gè)在所有windows平臺(tái)上和所有cpu上都可執(zhí)行的通用文件格式�。pe格式文件是封裝windows操作系統(tǒng)加載程序所需的信息和管理可執(zhí)行代碼的數(shù)據(jù)結(jié)構(gòu)��,數(shù)據(jù)**是大量的字節(jié)碼和數(shù)據(jù)結(jié)構(gòu)的有機(jī)融合���。pe文件格式被**為一個(gè)線性的數(shù)據(jù)流�,由pe文件頭��、節(jié)表和節(jié)實(shí)體組成�。惡意軟件或被惡意軟件***的可執(zhí)行文件,它本身也遵循格式要求的約束�����,但可能存在以下特定格式異常:(1)代碼從**后一節(jié)開(kāi)始執(zhí)行;(2)節(jié)頭部可疑的屬性���;(3)pe可選頭部有效尺寸的值不正確��;(4)節(jié)之間的“間縫”�����;(5)可疑的代碼重定向;(6)可疑的代碼節(jié)名稱����;(7)可疑的頭部***;(8)來(lái)自�;(9)導(dǎo)入地址表被修改;(10)多個(gè)pe頭部�����;(11)可疑的重定位信息����;。艾策檢測(cè)為新能源汽車(chē)電池提供安全性能深度解析�����。
在不知道多長(zhǎng)的子序列能更好的表示可執(zhí)行文件的情況下,只能以固定窗口大小在字節(jié)碼序列中滑動(dòng)���,產(chǎn)生大量的短序列���,由機(jī)器學(xué)習(xí)方法選擇可能區(qū)分惡意軟件和良性軟件的短序列作為特征,產(chǎn)生短序列的方法叫n-grams�。“080074ff13b2”的字節(jié)碼序列�����,如果以3-grams產(chǎn)生連續(xù)部分重疊的短序列�����,將得到“080074”���、“0074ff”�����、“74ff13”��、“ff13b2”四個(gè)短序列�。每個(gè)短序列特征的權(quán)重表示有多種方法。**簡(jiǎn)單的方法是如果該短序列在具體樣本中出現(xiàn)����,就表示為1;如果沒(méi)有出現(xiàn)�����,就表示為0�����,也可以用�����。本實(shí)施例采用3-grams方法提取特征���,3-grams產(chǎn)生的短序列非常龐大,將產(chǎn)生224=(16,777,216)個(gè)特征��,如此龐大的特征集在計(jì)算機(jī)內(nèi)存中存儲(chǔ)和算法效率上都是問(wèn)題����。如果短序列特征的tf較小�,對(duì)機(jī)器學(xué)習(xí)可能沒(méi)有意義��,選取了tf**高的5000個(gè)短序列特征�����,計(jì)算每個(gè)短序列特征的����,每個(gè)短序列特征的權(quán)重是判斷其所在軟件樣本是否為惡意軟件的依據(jù),也是區(qū)分每個(gè)軟件樣本的依據(jù)���。(4)前端融合前端融合的架構(gòu)如圖4所示�,前端融合方式將三種模態(tài)的特征合并�,然后輸入深度神經(jīng)網(wǎng)絡(luò),隱藏層的***函數(shù)為relu�����,輸出層的***函數(shù)是sigmoid�,中間使用dropout層進(jìn)行正則化,防止過(guò)擬合,優(yōu)化器�。深圳艾策信息科技:可持續(xù)發(fā)展的 IT 解決方案。石家莊軟件評(píng)測(cè)公司
整合多學(xué)科團(tuán)隊(duì)的定制化檢測(cè)方案�,體現(xiàn)艾策服務(wù)于制造的技術(shù)深度。上海第三方軟件測(cè)評(píng)中心
將三種模態(tài)特征和三種融合方法的結(jié)果進(jìn)行了對(duì)比����,如表3所示。從表3可以看出�,前端融合和中間融合較基于模態(tài)特征的檢測(cè)準(zhǔn)確率更高,損失率更低�����。后端融合是三種融合方法中較弱的���,雖然明顯優(yōu)于基于dll和api信息、pe格式結(jié)構(gòu)特征的實(shí)驗(yàn)結(jié)果�����,但稍弱于基于字節(jié)碼3-grams特征的結(jié)果�����。中間融合是三種融合方法中**好的�,各項(xiàng)性能指標(biāo)都非常接近**優(yōu)值�。表3實(shí)驗(yàn)結(jié)果對(duì)比本實(shí)施例提出了基于多模態(tài)深度學(xué)習(xí)的惡意軟件檢測(cè)方法���,提取了三種模態(tài)的特征(dll和api信息���、pe格式結(jié)構(gòu)信息和字節(jié)碼3-grams),提出了通過(guò)三種融合方式(前端融合�����、后端融合�����、中間融合)集成三種模態(tài)的特征���,有效提高惡意軟件檢測(cè)的準(zhǔn)確率和魯棒性��。實(shí)驗(yàn)結(jié)果顯示�,相對(duì)**且互補(bǔ)的特征視圖和不同深度學(xué)習(xí)融合機(jī)制的使用明顯提高了檢測(cè)方法的檢測(cè)能力和泛化性能��,其中較優(yōu)的中間融合方法取得了%的準(zhǔn)確率�,對(duì)數(shù)損失為,auc值為,各項(xiàng)性能指標(biāo)已接近**優(yōu)值�。考慮到樣本集可能存在噪聲����,本實(shí)施例提出的方法已取得了比較理想的結(jié)果。由于惡意軟件很難同時(shí)偽造多個(gè)模態(tài)的特征�����,本實(shí)施例提出的方法比單模態(tài)特征方法更魯棒�����。以上所述*為本發(fā)明的較佳實(shí)施例而已�����,并非用于限定本發(fā)明的保護(hù)范圍����。上海第三方軟件測(cè)評(píng)中心
