[发明专利]基于协同学习的可视化恶意软件检测方法

说明书

本发明公开了一种基于协同学习的可视化恶意软件检测方法，包括初始化过程和协同训练过程；其中：所述初始化过程具体包括：（1）软件可视化；（2）特征提取；所述的协同训练过程具体包括：（3）多分类器新样本协同训练标记；（4）投票检测过程；本发明能够使用少量已标记的软件样本特征进行建模，并通过大量未标记样本不断优化模型的检测性能，使恶意软件检测模型具有了自学习，自适应的能力，从而减少了对于人工软件样本标记的依赖，解决了恶意软件检测中有标记样本收集困难，导致基于机器学习的恶意软件分类模型难以有效训练的问题。

技术领域

本发明涉及网络空间安全技术领域，特别是一种基于协同学习的可视化恶意软件检测方法。

背景技术

恶意软件是当前网络空间面临的严重安全威胁，具有生成速度快，传播范围广，感染能力强的特点。恶意软件包括木马、病毒、蠕虫和恶意后门等。自上世纪90年代起，研究者开始对恶意软件的检测进行深入研究，现有的恶意软件检测包括静态检测和动态检测两类方法，目前应用广泛的检测方式包括基于签名的检测、基于行为的检测和启发式扫描等。

在传统检测方法中，在对所捕捉到的恶意软件进行分析之前需要人工使用反汇编软件、虚拟机和沙箱等工具对恶意软件进行分析，导致对恶意软件的识别往往严重滞后于软件传播。同时，在实际的检测场景下，由于恶意样本的特征标记需要经过大量的人工解码和分析，导致获取有标记的恶意样本十分困难。而大量的无标记软件样本因缺乏标记而无法被用于传统的恶意软件检测模型训练过程。

传统恶意软件检测方法需要大量的人工解码和分析，以实现对恶意样本的特征提取与样本标记。通过人工进行恶意样本分析代价过高，导致有标记的恶意样本获取困难，而大量无标记的恶意样本无法被用于检测模型训练过程而遗留闲置。因此，设计新型的恶意软件检测方法，避免检测模型对大量人工标记样本的依赖问题对于恶意软件检测具有重要意义。

发明内容

为解决现有技术中存在的问题，本发明的目的是提供一种基于协同学习的可视化恶意软件检测方法，本发明将软件二进制文件通过可视化的处理转化成灰度图像，提取不同的图像特征并结合软件行为特征，进而形成多特征视图；然后在多特征视图下，利用少量的有标记样本和大量无标记样本，利用多个分类器进行基于协同学习的恶意软件检测建模，以持续优化模型的恶意软件检测能力；本发明能够利用图像特征的旋转、平移不变性提升模型对变种恶意软件的检测能力，此外，利用大量未标记样本进行检测模型持续迭代训练，减少了对人工标记样本的依赖。

为实现上述目的，本发明采用的技术方案是：一种基于协同学习的可视化恶意软件检测方法，包括初始化过程和协同训练过程；其中：

所述初始化过程具体包括：

（1）软件可视化：当得到软件的二进制文件后，首先对每个二进制文件进行读取，得到每个二进制文件所对应的二进制字符串，然后将得到的二进制字符串组成二维矩阵，再将所述二维矩阵中的数值转化成像素值，并将每个像素值按照由黑至白过渡的颜色拼接成软件样本的灰度图像；

（2）特征提取：提取所述软件样本的特征，用于在不同的特征视图上训练多个不同的分类器，实现多分类器协同的恶意软件检测；其中，提取的特征包括：软件样本灰度图像局部特征视图、软件样本灰度图像全局特征视图和软件样本的行为特征视图；

所述的协同训练过程具体包括：

（3）多分类器新样本协同训练标记：

在训练的初始化阶段，利用少量有标记软件样本，在三个不同的特征视图下分别训练三个分类器；

之后在迭代训练过程中，对于所得到的分类器,由另两个分类器，为其产生更新样本，且:和随机从未标记软件样本集U中抽取软件样本进行标记，其中和标记结果相同的软件样本集合被认为具有较高置信度，在分类器所在的视图中对中的软件样本进行特征提取，并将提取后的特征连同标记的或作为新的有标记软件样本加入分类器的新标记软件样本集，用于的更新训练；