基于空管网络恶意软件多维动态监测技术

技术领域

本发明涉及空管指挥保障信息系统网络安全领域，主要研究恶意软件多维动态检测的方法。

背景技术

关于空管指挥保障信息系统的网络安全，面临着恶意软件检测能力不足、对恶意软件查杀困难等问题，如果攻击者利用恶意软件攻击空管指挥保障系统，没有及时监测到会一系列巨大而严重的后果。

传统的恶意软件检测平台严重依赖于人工经验以及反复的试验验证，既不能监测到变异的恶意软件，对新型的恶意软件更是束手无策，本发明是对恶意软件进行多维动态检测，利用历史样本及模拟样本建立恶意软件检测的网络模型，BP反馈调节机制将其优化，进而快速获得较为准确的检测结果。

发明内容

本发明的目的是针对现有恶意软件动态监测技术的不足，提供恶意软件多维动态检测的方法，包括如下步骤：

步骤S1：根据传统恶意软件的代码及特征，将恶意样本转化为图像或提取恶意软件反汇编获取的指令块、指令序列等作为浅层特征输入；

步骤S2：基于RNN或CNN模型，进行深度学习，给每个特征节点赋予权重，根据权重分布，挑选有用特征，作为深层特征输入；

步骤S3：利用二进制特征建模、软件特征可视化、检测分类器训练、恶意代码实时扫描等技术构建面向恶意软件检测的网络模型；

步骤S4：基于步骤S3，利用BP反馈调节机制，对样本原始类和目标输出之间的误差进行BP反馈微调，优化恶意软件检测的网络模型，使之可以快速得出结论。

作为优选的：所述步骤S1传统恶意软件的代码段及特征，将恶意样本转化为图像或者恶意软件反汇编获取的指令块、指令序列等作为浅层特征输入层。

作为优选的：所述步骤S2，RNN模型擅长顺序处理，用它来处理汇编语言操作代码。RNN可以掌握更具代表性的时序特征，自主研究每个恶意软件的特征，直到掌握大部分特征。

作为优选的：所述步骤S2中的CNN模型主要用于图像分类问题，CNN由卷积层、池化层、完全链接层三部分组成。

作为优选的：所述步骤S2中RNN或CNN模型进行深度学习后的结果作为网络模型的深层特征输入。

作为优选的：所述步骤S3的二进制特征建模的数据输入包括恶意样本转化的图像及恶意软件反汇编获取的指令快、指令序列等。

作为优选的：所述步骤S3隐含层的恶意软件监测网络，软件特征可视化的数据输入包括深度学习的本质特征及恶意样本转化的图像等。

作为优选的：所述步骤S3隐含层的恶意代码实时扫描技术是保证系统被恶意软件入侵时能够及时发现，及时查杀。

作为优选的：所述步骤S4的样本原始类和目标输出之间的误差作为BP反馈调节的输入，来调节网络层数的权值大小，优化恶意软件监测网络。

作为优选的：所述步骤S4的BP反馈微调主要用来降低样本原始类与目标输出间的误差，从而获取较准确的输出结果。

本发明所述方案相比于现有技术的有益效果如下：

传统的恶意软件动态监测，时间复杂度较大，耗费资源较多，并且检测结果也不尽人意，相较于传统检测手段，本发明主要通过建立恶意软件检测网络模型，BP反馈调节减小误差优化网络模型，能够快速得到检测结果，并且准确率较高。

具体实施方式

本发明的目的是针对现有恶意软件动态监测技术的不足，提供恶意软件多维动态检测，包括如下步骤：

步骤S1：根据传统恶意软件的代码及特征，将恶意样本转化为图像或提取恶意软件反汇编获取的指令块、指令序列等作为浅层特征输入；

步骤S2：基于RNN或CNN模型，进行深度学习，给每个特征节点赋予权重，根据权重分布，挑选有用特征，作为深层特征输入；

步骤S3：利用二进制特征建模、软件特征可视化、检测分类器训练、恶意代码实时扫描等技术构建面向恶意软件检测的网络模型；

步骤S4：基于步骤S3，利用BP反馈调节机制，对样本原始类和目标输出之间的误差进行BP反馈微调，优化恶意软件检测的网络模型，使之可以快速得出结论。

如今恶意病毒的种类越来越多，繁殖速度越来越快，破坏力也越来越强，传统的检测手段不能识别恶意软件的变种，也不能监测新型的恶意软件，这对于空管指挥保障信息系统是一个巨大的潜在的隐患。所以本发明是有必要的，也是极其重要的。

本发明是基于威胁感知验证平台的恶意软件多维动态检测根据数据采集和数据处理结果构建基于深度学习的恶意软件动态监测模型

其次结合RNN或CNN模型建立恶意软件多维动态检测的网络模型。RNN模型是将输入的反汇编代码发送到RNN中，这些反汇编代取自于未打标签的数据，恶意软件的反汇编结果是代码块，可以看做恶意软件的局部特征，每个代码块内部都序列化了时序特征。CNN模型主要有三个层次。卷积层：通过从边缘、形状、颜色过滤和提取图像信息。每个子区域使用滤波器计算输入生成单个值转化为一个非线性函数：f(x)＝max(0,x)。池化层：保证卷积层产生的信息减少处理时间，数据大小可以通过计算工具进行管理，从而减少后续网络层学习的参数数量。完全链接层：卷积层和池化层产生的输出的分类是在这个层中执行的。结合RNN或CNN模型，将数据进行深度学习，得出的结果作为该网络模型的深层特征输入。

最后BP反馈调节机制会将样本原始类和目标输出之间的误差进一步缩小，优化该网络模型，最后输出较为准确的结果，本发明相较于传统的动态监测系统更加高效准确。

实施例

本发明的目的是针对现有恶意软件动态监测技术的不足，提供恶意软件多维动态检测，包括如下步骤：

步骤S1：根据传统恶意软件的代码及特征，将恶意样本转化为图像或提取恶意软件反汇编获取的指令块、指令序列等作为浅层特征输入；

步骤S2：基于RNN或CNN模型，进行深度学习，给每个特征节点赋予权重，根据权重分布，挑选有用特征，作为深层特征输入；

步骤S3：利用二进制特征建模、软件特征可视化、检测分类器训练、恶意代码实时扫描等技术构建面向恶意软件检测的网络模型；

步骤S4：基于步骤S3，利用BP反馈调节机制，对样本原始类和目标输出之间的误差进行BP反馈微调，优化恶意软件检测的网络模型，使之可以快速得出结论。

本具体实施例仅仅是对本发明的一种解释，其并不是对本发明的限制，本领域技术人员在阅读完本说明书后可以根据需要对本实施条例做出没有创造性地修改，但只要在本发明的权利要求范围内都受到专利法的保护。