[发明专利]基于Two-Head异常检测模型的恶意代码样本筛选器及方法

说明书

本发明公开了基于Two‑Head异常检测模型的恶意代码样本筛选器及方法，筛选器包括特征提取器、第一分类层、第二分类层、softmax函数模块以及不确定性度量模块。特征提取器包括恶意代码检测模型中的特征提取部分。第一分类层和第二分类层采用恶意代码检测模型中的分类层结构，第一分类层和第二分类层并行连接在特征提取器输出端。第一分类层和第二分类层的输出分别经softmax函数模块输出第一分类概率值和第二分类概率值。第一分类概率值和第二分类概率值输入至一个不确定性度量模块中；不确定性度量模块的输出为分类结果标签。并使用训练好的Two‑Head异常检测模型对待输入至恶意代码检测模型的恶意代码检测样本进行筛选。

技术领域

本发明涉及信息安全技术领域，具体涉及基于Two-Head异常检测模型的恶意代码样本筛选器及方法。

背景技术

在网络安全领域中，基于深度学习的恶意代码检测模型不断被提出，其过程首先是对恶意代码提取其静态特征和动态特征，随后将提取到的训练数据导入到模型中进行训练并使模型收敛，以识别在网络中可能存在的恶意软件或者恶意代码。

恶意代码是指在一定环境下被执行的，用于破坏计算机操作系统或者网络系统机密性、完整性、可用性的代码序列。

按照在检测时被执行与否，分析恶意代码的方式通常为静态分析和动态分析。静态分析不需要执行恶意代码，而是通过逆向工程以及获取恶意程序的文件结构特征和字节流特征来判定是否为恶意程序，比较典型的静态特征包括PE文件结构特征、字节流序列特征以及通过反汇编工具得到的操作码序列特征等等；动态分析需要执行恶意代码，通过监控程序在沙箱等虚拟环境中运行时的执行过程、向操作系统请求各种服务以及内存、进程等来判定是否为恶意程序。主要包括函数API调用、操作系统内存镜像等动态行为特征，

将深度学习模型用于进行恶意代码检测是目前较为流行的一种检测方式，深度学习模型是受人类大脑的神经系统启发得到的计算模型，深度学习模型通过模拟人脑的神经系统中的神经元来完成最基本的运算操作。在深度学习模型中，神经元们接受上一层的多个神经元的输入，对所有的输入加权求和后输入激活函数，最后得到神经元的输出。许多神经元互相链接生成的网络理论上可以拟合任意复杂的函数。在网络安全领域中，基于深度学习的恶意代码检测模型不断被提出，其过程首先是对恶意代码提取其静态特征和动态特征，随后将提取到的训练数据导入到模型中进行训练并使模型收敛，以识别在网络中可能存在的恶意软件或者恶意代码。

大多数基于深度学习的恶意代码检测模型能够以高准确率检测出测试样本中的恶意代码，并能节省安全专家的人工分析成本，实现了端到端的检测，但是在实际应用过程中，仍然发现这些模型存在的不足之处：

随着一系列恶意代码对抗检测技术被用于攻防对抗，家族内的恶意代码会随着时间演化出多种变体，这些变体在攻防对抗中会演化为新的恶意代码变种，并具有与原始代码不尽相同的特征分布。基于深度学习的恶意代码检测模型在对这些变种进行预测的时候往往不能识别出这些变种的特征分布，会使得模型在时间维度上的鲁棒性出现下降，即出现时间衰减问题。所谓时间衰减，是指由数据偏移造成的恶意代码检测模型随着时间的推移，在预测新的恶意样本的时候其预测准确率而出现下降的情况。

恶意代码检测技术的时间鲁棒性是指模型经过预训练后，在测试阶段不会出现严重的时间衰减问题，由于恶意代码检测模型在训练阶段存在时间偏差，因此提升恶意代码检测模型的时间鲁棒性对于提升模型的落地性具有重要意义。

对恶意代码检测模型的样本进行异常检测是一种可以预想的手段，异常检测，主要是指通过设计相关算法，发现数据中存在的与事先规定的正常行为不相符的异常行为，这些异常行为对应的数据则被称为异常样本。异常检测的应用方式包括有监督、半监督以及无监督，异常检测的使用场合也非常广泛，比如银行信用卡管理、网络流量入侵检测以及恶意代码检测等。