[发明专利]一种基于自适应元学习器的恶意代码检测方法

权利要求书

1.一种基于自适应元学习器的恶意代码检测方法，其特征在于：步骤具体如下：

1)获取原始数据，其中原始数据为VirusTotal在线工具获取的原始代码；

2)利用VirusTotal在线工具对获取的原始代码提取特征，并构建数据集；

3)构建基于ResNet18的学习器，并对其进行深拷贝；

4)构建基于自适应元学习器的元学习框架，并利用自适应元学习器进行元学习训练，保存最优模型；

5)利用最优模型进行测试分类，划分出良性代码或者无意代码。

2.如权利要求1所述的一种基于自适应元学习器的恶意代码检测方法，其特征在于：

所述步骤2)的具体方式如下：首先使用VirusTotal在线工具对每条原始数据进行分析，提取相应数据的API作为检测特征构建基于元学习框架下的数据集；然后将数据集划分成训练集和测试集，保证各集合样本互斥；最后从训练集中随机抽样得到支持集和查询集，完成元学习框架下的数据准备。

3.如权利要求1所述的一种基于自适应元学习器的恶意代码检测方法，其特征在于：

所述步骤3)的具体方式如下：首先构建基于ResNet18的学习器，再对模型参数Ψ进行初始化，定义为元学习器，并对其进行深拷贝，最后设定参数为θ，定义为基础学习器。

4.如权利要求1所述的一种基于自适应元学习器的恶意代码检测方法，其特征在于：

所述步骤4)具体的自适应元学习器进行元学习训练过程如下：

首先在支持集中进行基础学习器的参数更新并记录梯度，其目标函数为：

其中，x_s、y_s分别是支持集中的恶意代码和对应标签；根据目标函数(1)对基础学习器进行参数更新，更新后参数为

使用参数对查询集获取梯度，其目标函数为：

其中，x_q,y_q分别为查询集中的恶意代码和对应标签；

将公式(1)和公式(2)的损失函数梯度传给自适应的元学习器，并计算两个梯度的余弦值，

若两个梯度的余弦值大于等于零，则使用两个梯度之和更新，公式如下：

若两个梯度的余弦值小于零，则只使用支持集梯度进行更新，公式如下：

完成元学习的自适应训练过程。

5.如权利要求1所述的一种基于自适应元学习器的恶意代码检测方法，其特征在于：

所述步骤5)的具体方式如下：

将测试集数据输入到最优模型，最优模型最后的分类层输出二分类结果，完成对恶意代码的检测，即该数据为恶意代码还是良性代码。