[发明专利]一种基于深度学习的恶意样本检测方法及系统

说明书

本发明实施例涉及网络安全技术领域，公开了一种基于深度学习的恶意样本检测方法及系统，该方法包括：将样本数据转换为二维矩阵数据；采用CNN训练二维矩阵数据，得到全连接层；对全连接层进行特征分类，得到特征分类模型；基于特征分类模型进行恶意样本检测。本发明实施例采用卷积神经网络对构造的正常样本及恶意样本的样本数据进行训练，得到可明确鉴别正常样本与恶意样本的特征分类模型，从而摒弃了传统的鉴定正常样本并对正常样本放行的方式，更为准确地检测出恶意样本，在确保了安全性的前提下提高了检测准确性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于深度学习的恶意样本检测方法及系统。

背景技术

在网络访问中，相对于数据量巨大的正常访问流量，与网络入侵相关的恶意样本数据量稀少，这使得网络安全工作难以从恶意样本本身入手，往往是通过分析大量正常样本建立正常样本模型，将与正常样本模型不符的样本视为恶意样本来作为恶意样本检测手段。这一方法对正常样本设定了较多的限制条件，可能将部分较为特殊的正常样本误检测为恶意样本，安全性有余，但准确性不足。

发明内容

本发明实施例公开一种基于深度学习的恶意样本检测方法及系统，能从恶意样本本身入手，通过卷积神经网络对样本数据进行训练，得到可明确鉴别正常样本与恶意样本的特征分类模型，从而摒弃了传统的鉴定正常样本并对正常样本放行的方式，更为准确地检测出恶意样本，在确保了安全性的前提下提高了检测准确性。

本发明实施例第一方面公开一种基于深度学习的恶意样本检测方法，所述方法包括：

将样本数据转换为二维矩阵数据；

采用CNN(Convolutional Neural Networks，卷积神经网络)训练所述二维矩阵数据，得到全连接层；

对所述全连接层进行特征分类，得到特征分类模型；

基于所述特征分类模型进行恶意样本检测。

作为一种可选的实施方式，在本发明实施例第一方面中，在所述将样本数据转换为二维矩阵数据之前，所述方法还包括：

在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

将所述动态行为报告转换为文本文档并提取有效字段，去重得到所述动态行为文本；

为所述动态行为文本中的每一动态行为构造名称及序号，得到所述样本数据。

作为一种可选的实施方式，在本发明实施例第一方面中，所述将样本数据转换为二维矩阵数据，包括：

采用预设长度的向量表示所述动态行为词库中的每一动态行为的名称；

综合所述每一动态行为的序号与所述每一动态行为的向量构造二维矩阵，得到二维矩阵数据。

作为一种可选的实施方式，在本发明实施例第一方面中，所述采用CNN训练所述二维矩阵数据，得到全连接层，包括：

采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

取每一所述二维矩阵数据对应的列向量中的最大值作为每一所述二维矩阵数据的特征值；

连接每一所述二维矩阵数据的特征值得到全连接层。

本发明实施例第二方面公开一种恶意样本检测系统，所述恶意样本检测系统包括：

矩阵转换单元，用于将样本数据转换为二维矩阵数据；

数据训练单元，用于采用CNN训练所述二维矩阵数据，得到全连接层；

特征分类单元，用于对所述全连接层进行特征分类，得到特征分类模型；