[发明专利]一种基于深度学习的恶意样本检测方法及系统

权利要求书

1.一种基于深度学习的恶意样本检测方法，其特征在于，所述方法包括：

将样本数据转换为二维矩阵数据；

采用CNN(Convolutional Neural Networks，卷积神经网络)训练所述二维矩阵数据，得到全连接层；

对所述全连接层进行特征分类，得到特征分类模型；

基于所述特征分类模型进行恶意样本检测。

2.根据权利要求1所述的方法，其特征在于，在所述将样本数据转换为二维矩阵数据之前，所述方法还包括：

在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

将所述动态行为报告转换为文本文档并提取有效字段，去重得到所述动态行为文本；

为所述动态行为文本中的每一动态行为构造名称及序号，得到所述样本数据。

3.根据权利要求2所述的方法，其特征在于，所述将样本数据转换为二维矩阵数据，包括：

采用预设长度的向量表示所述动态行为词库中的每一动态行为的名称；

综合所述每一动态行为的序号与所述每一动态行为的向量构造二维矩阵，得到二维矩阵数据。

4.根据权利要求1所述的方法，其特征在于，所述采用CNN训练所述二维矩阵数据，得到全连接层，包括：

采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

取每一所述二维矩阵数据对应的列向量中的最大值作为每一所述二维矩阵数据的特征值；

连接每一所述二维矩阵数据的特征值得到全连接层。

5.一种基于深度学习的恶意样本检测系统，其特征在于，所述系统包括：

矩阵转换单元，用于将样本数据转换为二维矩阵数据；

数据训练单元，用于采用CNN训练所述二维矩阵数据，得到全连接层；

特征分类单元，用于对所述全连接层进行特征分类，得到特征分类模型；

样本检测单元，用于基于所述特征分类模型进行恶意样本检测。

6.根据权利要求5所述的系统，其特征在于，所述系统还包括：

样本运行单元，用于在所述矩阵转换单元将样本数据转换为二维矩阵数据之前，在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

文本生成单元，用于将所述动态行为报告转换为文本文档并提取有效字段，去重得到所述动态行为文本；

数据构造单元，用于为所述动态行为文本中的每一动态行为构造名称及序号，得到所述样本数据。

7.根据权利要求6所述的系统，其特征在于，所述矩阵转换单元，包括：

向量表征子单元，用于采用预设长度的向量表示所述动态行为词库中的每一动态行为的名称；

矩阵构造子单元，用于综合所述每一动态行为的序号与所述每一动态行为的向量构造二维矩阵，得到二维矩阵数据。

8.根据权利要求5所述的系统，其特征在于，所述数据训练单元，包括：

卷积子单元，用于采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

特征取值子单元，用于取每一所述二维矩阵数据对应的列向量中的最大值作为每一所述二维矩阵数据的特征值；

特征连接子单元，用于连接每一所述二维矩阵数据的特征值得到全连接层。

9.根据权利要求5～8所述的基于深度学习的恶意样本检测系统，其特征在于，所述系统还包括：

存储有可执行程序代码的存储器；

与所述存储器耦合的处理器；

所述处理器调用所述存储器中存储的所述可执行程序代码，执行权利要求1～4任一项所述的一种基于深度学习的恶意样本检测方法。

10.一种计算机可读存储介质，其存储计算机程序，其中，所述计算机程序使得计算机执行权利要求1～4任一项所述的一种多基于深度学习的恶意样本检测方法。