[发明专利]一种恶意软件检测器训练方法及系统、检测方法及系统

权利要求书

1.一种恶意软件检测器训练方法，其特征在于，包括以下步骤：

对软件样本进行预处理，将所述软件样本的每个字节作为一个范围在0到255间的整数，并将所有所述整数按原顺序排列，生成长度为200万的特征向量；每个软件样本经预处理后得到一个特征向量；所述软件样本包括恶意软件样本和非恶意软件样本；

将预处理后的软件样本输入检测器D，初步训练所述检测器D，具体包括：

准备软件样本集；

优化器OptimD随机初始化训练检测器D的参数，参数包括初始权重、学习率、单次正向传播的批大小和训练的周期数；

将软件样本集的特征向量作为训练数据输入检测器D中，检测器D输出反馈；

优化器OptimD调整、优化检测器D的参数，直至检测器D稳定，即恶意软件的值均趋于1并无法再上升，非恶意软件的值均趋于0并无法再下降；

依据所述检测器D的反馈训练生成器G，至所述检测器D的输出趋向于0结束训练，具体包括：

优化器OptimG随机初始化生成器G的参数；

生成训练噪声代码，将所述训练噪声代码插入所述恶意软件样本，并对其中训练噪声代码插入恶意软件样本头部的部分进行修正，形成训练噪声恶意软件样本；

将所述训练噪声恶意软件样本输入初步训练完成的所述检测器D，检测器D输出反馈；

优化器OptimG调整、优化生成器G的参数，重复上述步骤，直至检测器D的输出趋于稳定，且反馈趋向于非恶意软件，即检测器D的输出趋向于0；

所述生成器G训练完成；

生成器G生成噪声代码，所述噪声代码为将一串服从伯努利分布的随机字节输入所述生成器G生成的二进制代码；

将所述噪声代码插入恶意软件样本，形成噪声恶意软件样本；将所述噪声代码插入恶意软件样本包括将所述噪声代码整体插入所述恶意软件样本的中间或末尾；

对所述噪声恶意软件样本进行修正，所述修正为调整所述噪声恶意软件样本头部字段值；

将所述噪声恶意软件样本输入所述检测器D，再次训练所述检测器D；

再次训练后的所述检测器D继续训练生成器G，如此往复；

其中，所述检测器D为生成对抗网络中的判别模型，所述生成器G为生成对抗网络中的生成模型；生成对抗网络为由检测器D和生成器G组成的结构，所述生成对抗网络对检测器D不断进行训练；

所述检测器D输出结果在0-1之间，趋近于0，表示输入的软件样本为非恶意软件；趋近于1，表示输入的软件样本为恶意软件。

2.一种使用权利要求1所述恶意软件检测器训练方法的恶意软件检测器训练系统，其特征在于，包括：

检测器D单元，用于检测软件；

生成器G单元，用于为恶意软件生成噪声代码；

修正器单元，用于将所述噪声代码插入所述恶意软件；

优化器OptimD单元，用于设定和调整检测器D的参数；

优化器OptimG单元，用于设定和调整生成器G的参数；

其中，检测器D为生成对抗网络中的判别数学模型，使用神经网络，用于拟合一个函数F(x)，x是一个二进制可执行文件经过预处理后得到的特征向量，F(x)输出的函数值介于0-1之间，数值越大，代表软件是恶意软件的概率越大。

3.一种恶意软件检测方法，其特征在于，使用权利要求1中训练得到的检测器D进行恶意软件检测。

4.一种恶意软件检测系统，其特征在于，包括检测单元，所述检测单元用于使用权利要求1中训练得到的检测器D进行恶意软件检测。