[发明专利]一种基于深度学习的恶意软件识别方法

权利要求书

1.一种基于深度学习的恶意软件识别方法，其特征在于，

S100、数据获取：采集Malimg数据集；

S200、数据图像化：将数据转换为灰度图像；

S300、数据预处理：对图像数据进行归一化处理；

S400、数据集划分：将数据按照一定比例划分为训练集、验证集与测试集；

S500、模型构建：基于VGG-19进行恶意软件识别模型的构建，并将SENEet模块融入VGGNet的CNN模块部分；

S600、模型训练：使用训练集数据，用优化器、学习率、损失函数、batch_size、epoch参数对模型进行训练，利用验证集数据进行验证，得到识别模型；

S700、模型评价：采用模型对测试集数据进行识别，并对识别结果进行评价。

2.根据权利要求1所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S100数据获取中，使用的Malimg数据集为恶意软件二进制数据，数据集包括9342个恶意软件样本代码，共有恶意软件25个类别，最大的类别包含2950个样本，最小的类别包含81个样本，所有数据都为PE文件。

3.根据权利要求1所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S200数据图像化中，恶意软件二进制文件被转换成图像，将二进制PE文件转换成一个8位矢量二进制，每个8位矢量代表一个数字，在恶意软件图像中可以转换为像素，以此得到恶意软件灰度图像数据。

4.根据权利要求1所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S300数据预处理中，转换后得到的图像数据为像素范围为[0，255]的灰度图像，对数据进行归一化处理，将所有数据归一化到[0,1]范围内，方式为对每条数据除以灰度图像像素点的最大值255。

5.根据权利要求1所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S400数据集划分中，以7：2：1的比例将恶意软件数据划分为训练集、验证集与测试集，其中训练集用于网络的参数迭代训练，获取恶意软件识别模型；验证集用于验证网络训练结果是否达到最优状态，测试集用于评价模型识别效果。

6.根据权利要求1所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S500模型构建中，基于VGG-19进行构建，并融合SENet模块对网络的识别速度与识别性能进行提升，VGG-19网络包含16个CNN层与3个全连接层，其中16个CNN层分为5个部分；

第一个部分为卷积核大小为3*3的两次卷积运算，filter数为64，运算完成进行一次Max Pooling；

第二个部分为卷积核大小为3*3的两次卷积运算，第一次卷积的filter数为64，运算完成进行一次Max Pooling，第二次卷积的filter数为128，运算完成进行一次Max Pooling；

第三个部分为卷积核大小为3*3的4次卷积运算，filter数为256，运算完成进行一次Max Pooling；

第四个部分为卷积核大小为3*3的4次卷积运算，filter数为512，运算完成进行一次Max Pooling；

第五个部分为卷积核大小为3*3的4次卷积运算，filter数为512，运算完成进行一次Max Pooling；卷积运算完成后，使用3个全连接层进行数据的分类，最后使用softmax将分类结果输出。

7.根据权利要求1或6所述的一种基于深度学习的恶意软件识别方法，其特征在于，所述S500模型构建中，将SENet模块融入VGG-19的每个CNN模块中，对每个CNN模块都加入SE模块，即在每个CNN模块输出feature map后，添加一个Pooling-FC-ReLU-FC-Sigmoid的组合，采用Max Pooling的方式，通过两次全连接对数据通道进行先降后升，进一步提取数据特征，最后将SE模块输出的结果与CNN模块输出的结果进行ADD，得到SE-CNN的feature map，传入到下一模块。