[发明专利]一种基于自适应元学习器的恶意代码检测方法

说明书

本发明公开了一种基于自适应元学习器的恶意代码检测方法，步骤具体如下：1)获取原始数据，其中原始数据为VirusTotal在线工具获取的原始代码；2)利用VirusTotal在线工具对获取的原始代码提取特征，并构建数据集；3)构建基于ResNet18的学习器，并对其进行深拷贝；4)构建基于自适应元学习器的元学习框架，并利用自适应元学习器进行元学习训练，保存最优模型；5)利用最优模型进行测试分类，划分出良性代码或者无意代码，该检测方法缓解了对恶意代码检测过程中鲁棒性差的问题，同时也提高模型的泛化能力。

技术领域

本发明属于计算机的信息安全技术领域，特别是涉及到一种基于自适应元学习器的恶意代码检测方法。

背景技术

在现实生活中，Internet的快速发展大幅提高了人民的生活水平和信息获取效率，然而随着计算机技术的进步和全球网络的发展，危害网络空间安全的事件变得愈加繁多，人们在网络上会遇到无处不在的广告和垃圾邮件，这意味着一些软件可能正危害着用户的隐私，威胁着网民的信息安全。因此，详细地研究恶意代码检测方法是非常有意义的，恶意代码导致的后果最为严重，不但给企业及用户形成了大量的经济损失，且还极其严重的干扰了国家信息安全。面对恶意代码日新月异的更替和发展，传统检测方法不能到达使人想要的成效；除了传统的检测方法外，当今网络安全界也找到了许多通过深度学习分析恶意代码的方法，但现有方法都有鲁棒性差、泛化能力弱的问题。

发明内容

本发明要解决的技术问题在于提供一种基于自适应元学习器的恶意代码检测方法，对其构建自适应元学习器筛选梯度，来缓解对恶意代码检测过程中鲁棒性差及提高模型的泛化能力问题。

为了解决上述技术问题，本发明通过以下方式来实现：

一种基于自适应元学习器的恶意代码检测方法，步骤具体如下：

1)获取原始数据，其中原始数据为VirusTotal在线工具获取的原始代码；

2)利用VirusTotal在线工具对获取的原始代码提取特征，并构建数据集；

3)构建基于ResNet18的学习器，并对其进行深拷贝；

4)构建基于自适应元学习器的元学习框架，并利用自适应元学习器进行元学习训练，保存最优模型；

5)利用最优模型进行测试分类，划分出良性代码或者恶意代码。

进一步的，所述步骤2)的具体方式如下：

首先使用VirusTotal在线工具对每条原始数据进行分析，提取相应数据的API作为检测特征构建基于元学习框架下的数据集；然后将数据集划分成训练集和测试集，保证各集合样本互斥；最后从训练集中随机抽样得到支持集(support set)和查询集(queryset)，完成元学习框架下的数据准备。

进一步的，所述步骤3)的具体方式如下：

首先构建基于ResNet18的学习器，再对模型参数Ψ进行初始化，定义为元学习器，并对其进行深拷贝，最后设定参数为θ，定义为基础学习器。

进一步的，所述步骤4)具体的自适应元学习器进行元学习训练过程如下：

首先在支持集中进行基础学习器的参数更新并记录梯度，其目标函数为：

其中，x_s、y_s分别是支持集中的恶意代码和对应标签；θ表示基础学习器参数，根据目标函数(1)对基础学习器进行参数更新，更新后参数为

使用更新后的参数对查询集获取梯度，其目标函数为：