[发明专利]一种基于注意力机制的多元特征融合恶意软件检测方法

说明书

本发明适用于网络及信息安全技术领域，提供了一种基于注意力机制的多元特征融合恶意软件检测方法，包括如下步骤：步骤S1：建立基于注意力机制的权重生成算法；步骤S2：结合CNN和RNN算法的优势去学习API序列的局部特征与API序列之间的依赖关系步骤S3：将不同通道所提取的特征进行融合，对系统API调用序列进行建模；本发明可以在基于系统API调用序列的恶意软件检测中取得良好的效果，大大提高了恶意程序检测的效率和准确性，在恶意程序检测领域具有广阔的应用前景，此外，可以应用在恶意软件检测领域外，还可以迁移应用于其他的序列数据分类的领域，这对于机器学习内广泛存在的分类问题具有一定的借鉴意义。

技术领域

本发明属于网络及信息安全技术领域，尤其涉及一种基于注意力机制的多元特征融合恶意软件检测方法。

背景技术

恶意软件API序列。API是Windows操作系统在动态连接库中给用户提供系统服务的接口函数，运行在用户模式下或内核模式下。其中在内核模式下运行的API就是NativeAPI，是动态连接库中的内核级系统服务的接口函数，其与用户模式下的API有很大的区别。Native API调用序列能够在内核级层次上反映应用程序的特征，因此能够用来作为异常检测的数据源。动态API调用序列的提取是一个自动化的动态分析过程，它通过在真机分析环境中动态运行和监控每个PE文件得到其真实且完整的API调用序列。由于可移植执行文件对应用程序接口(Application Programming Interface，API)的调用能够反映出文件的行为信息，因此作为基于动态特征的智能恶意代码检测方法使用的最有效的特征之一。

注意力机制(Attention机制)，Attention机制最早是用于对话系统或机器翻译等任务中，主要是受人的注意力的启发，人在阅读时一般只会重点关注能够解决问题的关键信息，模型处理机制是通过合理分配注意力，对关键的部分分配较多的注意力，而对于非关键部分分配较少的注意力。Attention机制能够模仿人的思维方式，其原理是在Decoder阶段计算出输入序列中每个元素对于当前输出y的注意力分布概率，使得对于每个输出，可以计算唯一的对应中间语义编码C，这样模型对于不一样的输入分配了不同的权值，突出权值大的数据，弱化权值小的数据，从而改善分类效果。

卷积神经网络(CNN)，卷积神经网络(CNN)最早应用于计算机视觉中，Yoon Kim首次提出TextCNN。将卷积神经网络CNN应用到文本分类任务，利用多个不同size的kernel来提取句子中的关键信息，从而能够更好地捕捉局部相关性。卷积层已成功地应用于序列分类和文本分类问题。CNN主要通过卷积层和池化层来学习输入的局部特征，对表征的重要信息进行提取与保留。CNN无需过多的预处理工作便能够达到预定效果，显著地减轻了对特征工程的依赖。CNN主要由输入层、卷积层、池化层和全连接层组成。对于应用于自然语言处理及序列处理领域的CNN而言，输入层为词汇的向量表示。

门限循环单元GRU，门限循环单元是对循环神经网络的改进。GRU通过引入更新门与重置门，有效地解决了RNN网络在训练过程的梯度爆炸与梯度弥散问题。相较LSTM而言，GRU精简了网络结构，减少了模型参数，提升了模型训练速度。在序列数据处理任务中，GRU网络可以学习词语在句子中的长期依赖关系，更好地对文本进行表征建模。GRU网络通过记忆单元来记忆存储句子中重要的特征信息，同时能够对不重要信息进行遗忘。

目前，恶意软件成为威胁计算机系统安全和网络发展的重要问题。传统检测方法必须获得恶意软件的签名之后才能对其进行检测，使得计算机感染新型恶意软件的概率增加并且为检测到恶意软件增多困难。随着机器学习被用于恶意软件检测领域，恶意软件检测技术配合使用机器学习可以在一定程度上提高泛化能力，提升恶意样本的识别率，但仍然无法很好的兼顾序列之间的关系，未对API的参数进行合理利用，丢失了大量原始信息，且难于在其他数据集的基础上验证模型的准确性与泛化性。基于深度学习的恶意样本检测成为热点，前向神经网络兴起之后，深度学习模型卷积神经网络(CNN)和循环神经(RNN)以及它们的改进版本成为恶意样本检测的重点。但上述方法都无法很好的同时兼顾API序列间的局部特征与API序列间的依赖关系。