[发明专利]基于Two-Head异常检测模型的恶意代码样本筛选器及方法

权利要求书

1.基于Two-Head异常检测模型的恶意代码样本筛选器，用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选，其特征在于，所述筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块；

所述特征提取器包括所述恶意代码检测模型中的特征提取部分；

所述第一分类层和所述第二分类层采用所述恶意代码检测模型中的分类层结构，第一分类层和第二分类层并行连接在所述特征提取器输出端；

所述第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值；

所述第一分类概率值和第二分类概率值输入至一个不确定性度量模块中；所述不确定性度量模块的输出为分类结果标签。

2.如权利要求1所述的样本筛选器，其特征在于，所述特征提取器、第一分类层、第二分类层的超参数设置为与所述恶意代码检测模型相同的超参数。

3.基于Two-Head异常检测模型的恶意代码样本筛选方法，其特征在于，该方法用于对基于卷积神经网络模型构建的恶意代码检测模型进行样本筛选，包括：

步骤1)取恶意代码检测模型的训练集中的恶意代码检测训练样本，进行数据特征提取，构建异常检测训练样本；

步骤2)所述恶意代码检测模型基于卷积神经网络模型构建，基于此构建Two-Head异常检测模型，具体为：

取所述恶意代码检测模型中的特征提取部分作为特征提取器，在所述特征提取器后并行添加第一分类层C1和第二分类层C2；所述第一分类层C1和第二分类层C2的输出分别经归一化指数函数即softmax函数输出第一分类概率值和第二分类概率值；第一分类概率值和第二分类概率值输入至一个不确定性度量函数中；所述不确定性度量函数的输出为分类结果标签；

步骤3)采用所述恶意代码训练样本对所构建的Two-Head异常检测模型进行训练，使得Two-Head异常检测模型的损失值达到收敛，获得训练好的Two-Head异常检测模型；

步骤4)使用所述训练好的Two-Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。

4.如权利要求3所述的样本筛选器，其特征在于，所述特征提取器、第一分类层、第二分类层的超参数设置为与所述恶意代码检测模型相同的超参数。

5.如权利要求3所述的方法，其特征在于，所述步骤4)具体包括如下步骤：

步骤401)取恶意代码检测模型的测试集中的恶意代码检测测试样本；将所述恶意代码检测测试样本输入至所述训练好的Two-Head异常检测模型，获得针对恶意代码检测测试样本的分类结果标签；

步骤402)选取分类结果标签为设定值的恶意代码检测测试样本为正常样本，即为恶意代码样本筛选结果。

6.如权利要求3或5所述的方法，其特征在于，所述步骤1)包括如下具体步骤：

S101)取恶意代码检测模型的训练集中的恶意代码检测训练样本，提取恶意代码检测训练样本的二进制字节流特征得到二进制字节序列；

S102)将所述二进制字节序列转换成0-255区间内的10进制整数，得到整数序列；

S103)对每个恶意代码检测训练样本对应的整数序列进行长度归一化处理得到数据特征提取结果，构建为异常检测训练样本。

7.如权利要求3或5所述的方法，其特征在于，所述步骤3)中，Two-Head异常检测模型的损失值为

其中x_i为第i分类层的输入，y_i为第i分类层的输出；i取值为1和2；p_i(y_i|x_i)为第i分类层的输入为x_i时，输出为y_i的概率，即p₁(y₁|x₁)为第一分类概率值；p₂(y₂|x₂)为第二分类概率值；X_N为异常检测训练样本的集合。

8.如权利要求3或5所述的方法，其特征在于，所述步骤2)中的不确定性度量函数具体为：

score＝|max(p₁(y₁|x₁))-max(p₂(y₂|x₂))|

其中x_i∈X_N，i＝1或2；x_i为第i分类层的输入，y_i为第i分类层的输出；i取值为1和2；p_i(y_i|x_i)为第i分类层的输入为x_i时，输出为y_i的概率，即p₁(y₁|x₁)为第一分类概率值；p₂(y₂|x₂)为第二分类概率值；X_N为异常检测训练样本的集合；score为不确定性度量结果；

设定分类阈值δ，δ依据经验设定；

所述Two-Head异常检测模型分类结果标签为y：