[发明专利]基于深度学习的云端恶意程序检测系统及方法

权利要求书

1.基于深度学习的云端恶意程序检测系统，其特征在于，所述系统包括信息获取模块、数据预处理模块以及训练模型模块；

所述信息获取模块包含虚拟机、程序自动执行脚本和程序样本集；所述程序样本集中包含恶意程序检测时所使用的程序样本；所述程序自动执行脚本用于在虚拟机中自动执行所述程序样本；虚拟机中每次运行一个程序样本，并在运行过程中提取系统实时状态参数信息和动态链接库信息，程序样本执行完成后，保存虚拟机内存快照，分析虚拟机快照得到内存取证信息；每个程序样本执行时得到的系统实时状态参数信息、动态链接库信息以及内存取证信息送入所述数据预处理模块；

所述数据预处理模块进行如下数据预处理：将所述动态链接库信息转化为动态链接库特征向量，将所述系统实时状态参数信息转化为系统实时参数矩阵，提取所述内存取证信息中的数字特征信息转化为内存取证矩阵；动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵送入到所述训练模型模块；

所述训练模型模块预先构建并训练神经网络模型；所述神经网络模型由第一特征提取部，第二特征提取部、特征融合模块以及全连接层组成；第一和第二特征提取部均由卷积层和池化层组成；所述第一特征提取部的输入为系统实时参数矩阵，输出为系统实时参数矩阵的特征信息；所述第二特征提取部的输入为内存取证矩阵，输出为内存取证矩阵的特征信息；所述特征融合模块用于对第一和第二特征提取部的输出、以及动态链接库特征向量进行特征融合，得到融合特征；所述融合特征经所述全连接层后得到所述神经网络模型的分类输出，即为目标虚拟机中是否存在恶意程序的判别结果。

2.如权利要求1所述的系统，其特征在于，所述恶意程序检测系统包括模型训练模式以及实测模式；

所述模型训练模式下，所述程序样本集中为收集获得的程序训练样本；

所述程序训练样本包括已知类别程序及其类别标签，所述类别标签包括正常程序和恶意程序；

所述已知类别程序经所述信息获取模块和所述数据预处理模块得到的动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵，结合所述类别标签，对所述训练模型模块中的神经网络模型进行训练，获得训练好的神经网络模型；

所述实测模式下，所述程序样本集中为程序测试样本，所述程序测试样本为未知类别的程序；所述未知类别的程序经所述信息获取模块和所述数据预处理模块得到的动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵，利用所述训练好的神经网络模型获得目标虚拟机中是否存在恶意程序的判别结果。

3.如权利要求1或2所述的系统，其特征在于，所述信息获取模块，采用Python相关模块提取系统实时状态参数信息；

所述信息获取模块，利用Volatility工具分析虚拟机快照得到内存取证信息。

4.如权利要求1或2所述的系统，其特征在于，所述数据预处理模块中，系统实时参数矩阵以及内存取证矩阵的每一行对应程序样本执行时的一个进程，行内数据为对应进程中产生的系统实时参数或者内存取证信息中的数字特征；

所述将所述动态链接库信息转化为动态链接库特征向量，具体为：

所述动态链接库信息包括：程序样本执行时的每个进程中不同动态链接库的出现次数；利用TF-IDF算法计算每个动态链接库对当前进程判别的贡献程度，筛选得到贡献程度大于设定阈值的动态链接库；取筛选的动态链接库在当前进程中的出现次数构成初始向量，进一步利用k-means算法对不同进程的初始向量进行聚类，得到不同进程的初步类别标签；所有进程的初步类别标签组成一个一维向量即为动态链接库特征向量。

5.如权利要求1或2所述的系统，其特征在于，所述特征融合模块首先采用连接concat方式或者添加add方式将系统实时参数矩阵的特征信息和内存取证矩阵的特征信息进行融合，得到中间融合结果，然后将所述中间融合结果以连接concat方式与所述动态链接库特征向量进行融合，得到融合特征。