基于多模态特征对齐的轻量化恶意软件威胁检测方法
摘要文本
本发明公开了一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,包括以下步骤:给定待检测软件的程序样本的日志信息和恶意软件标签表;分析待检测软件的日志信息,初步输出待检测软件不同的概率标签;引入恶意软件标签构建词汇表,得到嵌入向量;将图内的节点划分为若干个簇;通过集群投票提示重新对齐算法得到待检测软件的分类投票标签;建立学生编码器,得到待检测软件预测标签;针对弱标签和预测标签,使用真实样本标签和最大化边界方法计算样本的损失;根据样本的损失得出决策结果;本方法具有识别和检测恶意软件威胁、实现高效率和轻量化的威胁检测、降低威胁对用户数据和隐私风险的特点。
申请人信息
- 申请人:南京众智维信息科技有限公司
- 申请人地址:211300 江苏省南京市高淳区龙井路3号
- 发明人: 南京众智维信息科技有限公司
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 基于多模态特征对齐的轻量化恶意软件威胁检测方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202410086383.2 |
| 申请日 | 2024/1/22 |
| 公告号 | CN117610002A |
| 公开日 | 2024/2/27 |
| IPC主分类号 | G06F21/56 |
| 权利人 | 南京众智维信息科技有限公司 |
| 发明人 | 孙捷; 车洵; 陈亚当 |
| 地址 | 江苏省南京市高淳区龙井路3号 |
专利主权项内容
1.一种基于多模态特征对齐的轻量化恶意软件威胁检测方法,其特征在于,包括以下步骤:S1,给定待检测软件的程序样本的日志信息和恶意软件标签表;S2,分析待检测软件的日志信息,通过正则化得到相关字段来判断关联关系,将相关字段关联管理分别初始化作为节点和边,将节点和边输入图编码器中,图编码器通过信息传递更新节点嵌入,并初步输出待检测软件不同的概率标签;S3,引入恶意软件标签构建词汇表,将该词汇表经过CLIP编码器之后得到嵌入向量;S4,将步骤S2中得到的节点和边进行谱聚类,将图内的节点划分为若干个簇,使得同一簇内的节点具有高相似性,不同簇之间的节点具有低相似性;S5,将步骤S3中得到的嵌入向量和步骤S4中得到的聚簇结果通过集群投票提示重新对齐算法得到待检测软件的分类投票标签,将分类投票标签和步骤S2中得到的概率标签组成弱标签;S6,建立学生编码器,对图编码器使用指数移动平均来更新学生编码器,将待检测软件的日志信息输入图编码器中,使用更新后的节点和边的权重进行预测,得到待检测软件预测标签;S7,针对步骤S5中得到的弱标签和步骤S6中得到的预测标签,采用真实样本标签和最大化边界方法计算样本的损失;S8,根据样本的损失得出决策结果,根据决策结果判断是否将待检测软件的执行程序判定为恶意软件威胁行为,并将此执行程序添加到训练集中进行其他软件的下一轮检测。 www.macrodatas.cn