[发明专利]基于深度学习的云端恶意程序检测系统及方法

说明书

本发明公开了基于深度学习的云端恶意程序检测系统及方法，属于软件安全技术领域，该方案效率更高、准确率更高。该系统包括信息获取模块、数据预处理模块以及训练模型模块。信息获取模块具体为：程序样本集中包含恶意程序检测时所使用的程序样本；程序自动执行样本用于在虚拟机中自动执行程序样本；虚拟机中每次运行一个程序样本，并在运行过程中提取系统实时参数信息和动态链接库信息，程序样本执行完成后，保存虚拟机快照，分析虚拟机快照得到内存取证信息；各信息送入数据预处理模块。数据预处理模块进行数据预处理得到动态链接库特征向量、系统实时参数矩阵以及内存取证矩阵送入到训练模型模块。训练模型模块预先构建并训练神经网络模型。

技术领域

本发明涉及软件安全技术领域，具体涉及基于深度学习的云端恶意程序检测系统及方法。

背景技术

恶意程序检测是指一种能够识别出恶意程序的方法。云计算是目前最流行且最重要的IT趋势之一，云计算是一种通过互联网向计算机或其它设备提供共享计算资源(软件或数据)的服务的过程。如何在云端进行恶意程序检测，目前恶意程序检测的重要发展方向。因此云端恶意程序检测工作十分重要。

深度学习是恶意程序检测领域的重要方法，目前较为流行的恶意程序检测方法大多都使用了深度学习技术，因此深度学习在实践和研究方面都收到了广泛的关注。

目前深度学习在恶意程序检测领域被广泛应用，由于深度学习，特别是卷积神经网络在图像处理领域取得了十分优异的成果，因此在恶意程序检测时通常会借助到深度学习在这方面的成果。通常都会把恶意程序转化为图像或是一个类似于图像的数字矩阵，然后再按照深度学习的步骤进行训练，获得到最终的结果。

将恶意程序转化为图像的方法有很多，常用的是把恶意程序转化为灰度图，这种方法是利用了将二进制文件转化为灰度图的方法，对于一个二进制文件，它的每个字节范围在00到FF之间，可以对应于灰度图的0到255，把二进制文件转化为矩阵，每一位代表一个像素点，即可转化为一个灰度图。对于这些灰度图，通常从图像上的纹理就可以看出恶意程序和良性程序的不同。

将恶意程序转化为灰度图的方法通常用于静态分析，但是对于恶意程序的发展，有时需要通过运行恶意程序才可以完成检测的目的，这时可以通过沙箱等工具对恶意程序进行分析。沙箱可以分析出恶意程序在系统运行时所调用的API序列，将API转化为向量，通常可以将API视为是一段文本，仿照自然语言处理的方法将API转化为词向量，而每个样本运行时获得到的API序列列表就变成了一个矩阵，这个矩阵同样可以作为神经网络的输入。

目前大多数的恶意程序静态分析方法难以适应恶意程序的发展，互联网环境越来越复杂，软件环境变得多样化，而且随着恶意程序的发展，编写恶意程序的人也通常都会使用多态或变形的技术，导致使用传统的标注特征的方式去识别恶意程序的方法已经很难检测出新的恶意程序了，同时也很难检测出许多经过伪装的恶意程序。近几年来恶意程序也在不断进化，一些恶意程序具备反检测和反分析的功能。

动态分析可以更加有效地检测恶意程序，通常需要通过沙箱环境对恶意程序API函数调用进行拦截和分析，不过沙箱环境的环境配置十分复杂，同时还需要对其分析报告进行更细致地处理。

许多动态获取到的恶意程序特征可能会被恶意程序干扰，例如利用沙箱获取到恶意程序的API信息，但这些API信息可能是恶意程序故意调用进行伪装的，去分析这些信息可能会对检测结果造成一定的影响。

目前已经有很多研究开始使用深度学习进行恶意程序检测，不过目前的研究通常都通过加深网络层次、对网络进行调参或一些其他方法优化神经网络的模型，以致于神经网络模型越来越复杂，并且模型训练时间较长。

恶意程序本身转化为适合深度学习训练的数据的方式比较复杂，而将恶意程序转化为数据的方式也有很多种，但其转化方式并不简便，可能需要运用一些复杂的技术(比如沙箱技术)，或是比较严格的环境配置。