[发明专利]一种恶意软件的传播预测方法

权利要求书

1.一种恶意软件的传播预测方法，其特征在于，所述方法包括：

获取数据库中用户节点及其交互数据，所述用户节点为恶意软件传播网络中的所有用户节点，所述实时数据包括用户节点信息、用户节点行为特征以及用户节点传播内容；

根据所获取的用户节点交互数据提取出用户节点的传播属性；所述用户节点的传播属性包括用户节点活跃度以及恶意软件感染强度；

所述用户节点活跃度表示为：

AV(u_i)＝log₂(N[twitter(u_i)]+N[comment(u_i)])+N[retweet(u_i)]

其中，AV(u_i)表示用户节点u_i的活跃度；N[twitter(u_i)]表示用户节点u_i在时间段t内主动传播信息的数量，N[comment(u_i)]表示用户节点u_i在时间段t内评论的信息数量，N[retweet(u_i)]表示用户节点u_i在时间段t内转发信息的数量；

所述恶意软件感染强度表示为：

其中，Inf(m_i)表示恶意软件m_i的感染强度；AV(u_j)表示在时段t内，已感染该恶意软件的用户节点u_j的活跃度，Backup(u_j)表示用户节点u_j的潜在用户节点；

采用Doc2vec算法从所述用户节点传播内容组成的段落中学习出用户节点的行为特征向量，具体包括：

提取一段时间内用户节点传播内容组成段落，采用jieba中文分词方式对所述段落进行分词处理，并保留所述用户节点传播内容中的名词和动词，并去除无用词，得到用户节点行为的候选关键词；采用TF-IDF算法计算词频时区分活跃用户节点与普通用户节点的系数；基于所述系数，从所述候选关键词中选择出用户节点行为数据中的关键词，并得到表示用户节点行为的关键词序列；采用Doc2vec算法输出用户节点行为的特征向量T＝n×F^u；

其中，n为恶意软件传播网络中的用户节点数，F^u为用户节点行为特征的表示向量；

采用基于张量分解的向量化算法Tensor2vec从所述恶意软件传播网络中学习出用户节点网络结构特征向量；

根据网络的结构特征，构建出所述恶意软件传播网络中已感染恶意软件的用户节点、未感染恶意软件的用户节点以及用户节点交互强度的三元组之间三维张量；通过Turcker分解的方式进行张量分解，采用不同的模态对各个维度的矩阵展开，并对组成张量的所有阶按交错次序进行采样；利用奇异值分解的方式获取各个模态展开后的近似矩阵，从而获取近似张量；根据所述近似张量提取出用户节点之间的隐含关联度HR(v_i,v_j)，按照所述关联度的大小决定网络结构中用户节点的动态游走方式；按照对应的游走方式进行采样得到每个用户节点产生的序列，将这些用户节点产生的序列导入skip-gram模型中得到每个用户节点的嵌入向量，在满足损失函数的条件下，输出用户节点的网络结构特征向量；

其中，用户节点之间的隐含关联度表示为HR(v_i,v_j)＝A_i,j，A_i,j表示近似张量X中A矩阵对应的第i行第j列的元素值；给定当前用户节点v_i，访问下一个用户节点v_j的条件是：

HR(v_i,v_j)＝max(HR(v_i,v_j),0≤j≤n)

在恶意软件传播网络中，使用Tensor2vec的游走方式进行采样，会得到对于每个节点产生的序列，再将这些序列导入skip-gram模型，即得到每个节点的嵌入向量；Tensor2vec优化的目标是给定每个用户节点的条件下，其关联节点出现的概率最大，其损失函数为：

其中，N_t(v)表示通过张量分解方法采样出的顶点v的关联顶点集合，F(v)是将用户节点即顶点v映射的嵌入向量，Pr(n_i|F(v))表示在用户节点v映射的嵌入向量F(v)下通过张量分解方法采样出的用户节点n_i的概率；

输出作为用户节点的网络结构特征向量表示为：

S＝n×F(v)

其中，F(v)为用户节点的网络结构特征表示向量；

将所述用户节点行为特征向量以及所述用户节点网络结构特征向量输入到图卷积神经网络中，并加入一个dropout中间层，且使用softmax函数将图卷积输出转换成不同节点不同分类的概率值；对恶意软件进行传播预测，并预测出恶意软件是否传播给用户节点以及所述恶意软件的传播趋势；模型输出为y＝P^t+1(n,f|u_i)，概率值较大的类别为预测结果，具体定义如下：

其中，如果对应的Y＝1，则判断潜在用户u_i将在下一时间段转发恶意软件；如果Y＝0，则潜在用户u_i在下一间段内将不转发任何恶意软件；

其中，P^t+1表示t+1时刻传播某类恶意软件的用户节点的概率；W⁰为图卷积神经网络中第零层的权重矩阵；表示用户节点间的邻接矩阵所对应的归一化对称矩阵；W¹为图卷积神经网络中第一层的权重矩阵；表示矩阵的对角矩阵；表示用户节点间的邻接矩阵所对应的增广矩阵；Adj表示用户节点间的邻接矩阵；I表示单位矩阵。

2.根据权利要求1所述的一种恶意软件的传播预测方法，其特征在于，所述获取数据库中用户节点及其交互数据后包括对用户节点实时数据进行数据清洗，将非结构化的实时数据转换为结构化数据。