北京軟件評測公司

    先將當前軟件樣本件的二進制可執(zhí)行文件轉換為十六進制字節(jié)碼序列，然后采用n-grams方法在十六進制字節(jié)碼序列中滑動，產(chǎn)生大量的連續(xù)部分重疊的短序列特征，提取得到當前軟件樣本的二進制可執(zhí)行文件的字節(jié)碼n-grams的特征表示。生成軟件樣本的dll和api信息特征視圖，是先統(tǒng)計所有類別已知的軟件樣本的pe可執(zhí)行文件引用的dll和api信息，從中選取引用頻率**高的多個dll和api信息；然后判斷當前的軟件樣本的導入節(jié)里是否存在選擇出的某個引用頻率**高的dll和api信息，如存在，則將當前軟件樣本的該dll或api信息以1表示，否則將其以0表示，從而對當前軟件樣本的所有dll和api信息進行表示形成當前軟件樣本的dll和api信息特征視圖。生成軟件樣本的格式信息特征視圖，是從當前軟件樣本的pe格式結構信息中選取可能區(qū)分惡意軟件和良性軟件的pe格式結構特征，形成當前軟件樣本的格式信息特征視圖。從當前軟件樣本的pe格式結構信息中選取可能區(qū)分惡意軟件和良性軟件的pe格式結構特征，是從當前軟件樣本的pe格式結構信息中確定存在特定格式異常的pe格式結構特征以及存在明顯的統(tǒng)計差異的格式結構特征。特定格式異常包括：(1)代碼從**后一節(jié)開始執(zhí)行，(2)節(jié)頭部可疑的屬性，。創(chuàng)新光譜分析技術賦能艾策檢測，實現(xiàn)食品藥品中微量有害物質的超痕量檢測。北京軟件評測公司

    嘗試了前端融合、后端融合和中間融合三種融合方法對進行有效融合，有效提高了惡意軟件的準確率，具備較好的泛化性能和魯棒性。實驗結果顯示，相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能，其中較優(yōu)的中間融合方法取得了％的準確率，對數(shù)損失為，auc值為。有效解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測結果準確率不高、可靠性低、泛化性和魯棒性不佳的問題。另外，惡意軟件很難同時偽造良性軟件的多個抽象層次的特征以逃避檢測，本發(fā)明實施例同時融合軟件的二進制可執(zhí)行文件的多個抽象層次的特征，可準確檢測出偽造良性軟件特征的惡意軟件，解決了現(xiàn)有采用二進制可執(zhí)行文件的單一特征類型進行惡意軟件檢測的檢測方法難以檢測出偽造良性軟件特征的惡意軟件的問題。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖**是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是前端融合方法的流程圖。賽維軟件測評中心可靠性評估連續(xù)運行72小時出現(xiàn)2次非致命錯誤。

    程序利用windows提供的接口(windowsapi)實現(xiàn)程序的功能。通過一個可執(zhí)行程序引用的動態(tài)鏈接庫(dll)和應用程序接口(api)可以粗略的預測該程序的功能和行為。統(tǒng)計所有樣本的導入節(jié)中引用的dll和api的頻率，留下引用頻率**高的60個dll和500個api。提取特征時，每個樣本的導入節(jié)里存在選擇出的dll或api，該特征以1表示，不存在則以0表示，提取的560個dll和api特征作為***個特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫，初衷是希望能開發(fā)一個在所有windows平臺上和所有cpu上都可執(zhí)行的通用文件格式。pe格式文件是封裝windows操作系統(tǒng)加載程序所需的信息和管理可執(zhí)行代碼的數(shù)據(jù)結構，數(shù)據(jù)**是大量的字節(jié)碼和數(shù)據(jù)結構的有機融合。pe文件格式被**為一個線性的數(shù)據(jù)流，由pe文件頭、節(jié)表和節(jié)實體組成。惡意軟件或被惡意軟件***的可執(zhí)行文件，它本身也遵循格式要求的約束，但可能存在以下特定格式異常：(1)代碼從**后一節(jié)開始執(zhí)行；(2)節(jié)頭部可疑的屬性；(3)pe可選頭部有效尺寸的值不正確；(4)節(jié)之間的“間縫”；(5)可疑的代碼重定向；(6)可疑的代碼節(jié)名稱；(7)可疑的頭部***；(8)來自；(9)導入地址表被修改；(10)多個pe頭部；(11)可疑的重定位信息；。

    optimizer)采用的是adagrad，batch_size是40。深度神經(jīng)網(wǎng)絡模型訓練基本都是基于梯度下降的，尋找函數(shù)值下降速度**快的方向，沿著下降方向迭代，迅速到達局部**優(yōu)解的過程就是梯度下降的過程。使用訓練集中的全部樣本訓練一次就是一個epoch，整個訓練集被使用的總次數(shù)就是epoch的值。epoch值的變化會影響深度神經(jīng)網(wǎng)絡的權重值的更新次數(shù)。本次實驗使用了80％的樣本訓練，20％的樣本驗證，訓練50個迭代以便于找到較優(yōu)的epoch值。隨著迭代數(shù)的增加，前端融合模型的準確率變化曲線如圖5所示，模型的對數(shù)損失變化曲線如圖6所示。從圖5和圖6可以看出，當epoch值從0增加到5過程中，模型的驗證準確率和驗證對數(shù)損失有一定程度的波動；當epoch值從5到50的過程中，前端融合模型的訓練準確率和驗證準確率基本不變，訓練和驗證對數(shù)損失基本不變；綜合分析圖5和圖6的準確率和對數(shù)損失變化曲線，選取epoch的較優(yōu)值為30。確定模型的訓練迭代數(shù)為30后，進行了10折交叉驗證實驗。前端融合模型的10折交叉驗證的準確率是％，對數(shù)損失是，混淆矩陣如圖7所示，規(guī)范化后的混淆矩陣如圖8所示。前端融合模型的roc曲線如圖9所示，該曲線反映的是隨著檢測閾值變化下檢測率與誤報率之間的關系曲線。數(shù)據(jù)安全與合規(guī)：艾策科技的最佳實踐。

    本發(fā)明屬于惡意軟件防護技術領域：：，涉及一種基于多模態(tài)深度學習的惡意軟件檢測方法。背景技術：：：惡意軟件是指在未明確提示用戶或未經(jīng)用戶許可的情況下，故意編制或設置的，對網(wǎng)絡或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機軟件。常見的惡意軟件有計算機**(簡稱**)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、后門、邏輯**等。惡意軟件可能在用戶不知情的情況下竊取計算機用戶的信息和隱私，也可能非法獲得計算機系統(tǒng)和網(wǎng)絡資源的控制，破壞計算機和網(wǎng)絡的可信性、完整性和可用性，從而為惡意軟件控制者謀取非法利益。騰訊安全發(fā)布的《2017年度互聯(lián)網(wǎng)安全報告》顯示，2017年騰訊電腦管家pc端總計攔截**近30億次，平均每月攔截木馬**近，共發(fā)現(xiàn)**或木馬***。這些數(shù)目龐大、名目繁多的惡意軟件侵蝕著我國的***、經(jīng)濟、文化、***等各個領域的信息安全，帶來了前所未有的挑戰(zhàn)。當前的反**軟件主要采用基于特征碼的檢測方法，這種方法通過對代碼進行充分研究，獲得惡意軟件特征值(即每種惡意軟件所獨有的十六進制代碼串)，如字節(jié)序列、特定的字符串等，通過匹配查找軟件中是否包含惡意軟件特征庫中的特征碼來判斷其是否為惡意軟件。艾策檢測以智能算法驅動分析，為工業(yè)產(chǎn)品提供全生命周期質量管控解決方案！軟件檢測收費標準

對比分析顯示資源占用率高于同類產(chǎn)品均值26%。北京軟件評測公司

    生成取值表。3把取值表與選擇的正交表進行映射控件數(shù)Ln(取值數(shù))3個控件5個取值5的3次冪混合正交表當控件的取值數(shù)目水平不一致時候，使用allp**rs工具生成1等價類劃分法劃分值2邊界值分析法邊界值3錯誤推斷法經(jīng)驗4因果圖分析法關系5判定表法條件和結果6流程圖法流程路徑梳理7場景法主要功能和業(yè)務的事件8正交表先關注主要功能和業(yè)務流程，業(yè)務邏輯是否正確實現(xiàn)，考慮場景法需要輸入數(shù)據(jù)的地方，考慮等價類劃分法+邊界值分析法，發(fā)現(xiàn)程序錯誤的能力**強存在輸入條件的組合情況，考慮因果圖判定表法多種參數(shù)配置組合情況，正交表排列法采用錯誤推斷法再追加測試用例。需求分析場景法分析主要功能輸入的等價類邊界值輸入的各種組合因果圖判定表多種參數(shù)配置正交表錯誤推斷法經(jīng)驗軟件缺陷軟件產(chǎn)品中存在的問題，用戶所需要的功能沒有完全實現(xiàn)。北京軟件評測公司