[发明专利]一种基于多模态特征融合的恶意代码检测方法及系统

说明书

本发明涉及恶意代码检测技术领域，公开了一种基于多模态特征融合的恶意代码检测方法及系统，所述方法包括：获取训练代码样本集；对每个所述代码样本进行关键词推荐和词嵌入；根据关键词嵌入矩阵，得到语义表示向量；基于关键词提取算法构建代码权重向量；基于卡方检验构建代码统计向量；基于文档主题分类算法构建主题表示向量；将代码权重向量、代码统计向量和代码主题表示向量进行加权融合，得到多模态特征向量；将语义表示向量和多模态特征向量进行拼接，得到多模态融合特征；基于训练代码样本集的多模态融合特征，进行模型训练，用于恶意代码检测。本发明从多维度进行代码特征提取，可有效挖掘代码中的有效特征信息，提高检测准确度。

技术领域

本发明属于恶意代码检测技术领域，尤其涉及一种基于多模态特征融合的恶意代码检测方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

随着互联网与信息技术的高速发展，其背后隐藏的网络安全风险却不容小觑。其中，最令网络安全从业者头疼的当属恶意代码，一旦中招被计算机调用执行，则将会导致系统或网络出现严重的问题。最常见的有特洛伊木马、蠕虫病毒、后门入口等。恶意代码从产生到现在一直不断变化更新，截至目前已呈现出变种数量巨大、传播速度迅速、影响范围不可控的特点。而且恶意代码的幕后操纵者们往往会使用一些复杂的加壳、变形等手法进行一系列巧妙地伪装来躲避追踪检测，从而导致用户主机受到攻击。

为了有效实现恶意代码的检测，目前主要存在四种方法：基于规则或文本匹配、基于沙箱技术结合机器学习方法、基于特征提取与知识库以及基于深度学习的方法。其中，基于规则或文本匹配是通过进行文本相似度匹配或采用关键词命中的方式来判断是否为恶意代码，该方法适用于同一类别恶意代码的检测。基于沙箱技术结合机器学习方法是通过模拟运行环境进行代码的特征提取，结合机器学习方法如随机森林构建模型从而达到检测恶意代码的目的。基于特征提取与知识库是通过机器学习等技术完成对于代码的特征提取，并结合数据挖掘方法从而提取同族恶意代码的共同行为。基于深度学习的方法是利用代码转换为字节码的N-gram序列作为特征，结合深度学习方法构建网络模型来实现恶意代码检测。

随着恶意代码数量和变体逐渐增多，使用传统规则或通过文本匹配来检测恶意代码已经逐渐淘汰，而利用沙箱结合机器学习的方法往往只从单一尺度获取恶意代码特征为主，且无法高效和自动的提取出特征，依赖人工操作，再加之提取的浅层特征又不足以精准描述恶意代码，进而导致其检测的准确率偏低。并且，由于代码区别于普通文本，代码中存在语义稀疏的问题，使用传统机器学习或通过字节码提取特征往往不能完整表示代码的语义信息。

发明内容

为克服上述现有技术的不足，本发明提供了一种基于多模态特征融合的恶意代码检测方法及系统，从多维度进行代码特征提取，并进行特征融合，可有效挖掘代码中的有效特征信息，提高检测准确度。

为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

一种基于多模态特征融合的恶意代码检测方法，包括以下步骤：

获取训练代码样本集，所述代码样本包括良性代码和恶性代码；

对每个所述代码样本进行关键词推荐和词嵌入，得到关键词嵌入矩阵；

根据所述关键词嵌入矩阵，进行语义特征提取，得到语义表示向量；

基于关键词提取算法对每个关键词进行权重提取，连接得到所述代码样本的代码权重向量；基于卡方检验对每个关键词进行统计量计算，连接得到代码统计向量；基于文档主题分类算法得到代码-主题矩阵和主题-词嵌入矩阵，二者相乘得到主题表示向量；

将所述代码权重向量、代码统计向量和代码主题表示向量进行加权融合，得到多模态特征向量；

将所述语义表示向量和多模态特征向量进行拼接，得到多模态融合特征；