面向边缘计算平台熵敏感调用特征的恶意代码检测系统

专利主权项内容

详见官网： 1.一种面向边缘计算平台熵敏感调用特征的恶意代码检测系统，其特征在于，包括：智能终端监控系统和边缘服务器分析与检测系统；智能终端监控系统部署于智能终端，对部署在物联网设备上的应用程序进行持续监控与检查；智能终端监控系统包括反编译模块和可疑API调用特征抽取模块；反编译模块，用于根据待检测应用程序获得源代码；可疑API调用特征抽取模块，用于根据源代码，提取可疑API调用特征集；可疑API调用特征抽取模块包括程序调用图生成模块、可疑API调用特征生成模块；程序调用图生成模块根据输入的源代码构建程序调用图FCG，并使用Pscout工具提取所有敏感API节点，FCG表示为G＝{V, E}，由一组节点和一组边/>组成；V中的每个节点表示应用程序中的一个函数，其中包括敏感API，敏感API集合为/>E中的每个边表示调用方和被调用方之间的调用关系；可疑API调用特征生成模块对于任意一个敏感APIS，计算其在被调用时与恶意软件关联的可能性以及其在被调用时与良性软件关联的可能性/>其中，NMal为训练集中调用S的恶意软件样本的数量，N为训练集中恶意软件样本总数，NBen为训练集中调用S的良性软件样本的数量，N为训练集中良性软件样本总数；得到S恶意程度的恶意程度/>通过基于熵的方法来评估敏感API的重要性，计算S的熵H(R)＝-PlogP-(1-P)log(1-P)，为每个敏感API分配权重W(S)＝P×(1-H(R))，从而得到可疑API调用特征集/>iii1ii2iiiiiiiiii边缘服务器分析与检测系统部署于边缘服务器，收集来自智能终端系统监控系统的可疑API调用特征集，通过基于胶囊网络的恶意软件检测模型判断应用程序是否具有恶意行为；边缘服务器分析与检测系统包括数据管理模块、学习分析模块和报警模块；数据管理模块，用于收集来自智能终端系统监控系统的可疑API调用特征集，采用Word2vec工具使用词嵌入方法将可疑API调用特征集转化为二维矩阵形式，每一个特征W(S)都转化为一行语义特征向量v，形成特征矩阵V＝{v, …, v, …, v}；tt1tL学习分析模块，用于根据特征矩阵，通过基于胶囊网络的检测模型进行检测，得到恶意软件检测结果；学习分析模块中的基于胶囊网络的检测模型包括：卷积层、最大池化层、胶囊层、全连接层和Sigmoid函数输出层；卷积层从特征矩阵V中的不同位置提取局部特征，卷积层使用一组卷积滤波器在R中生成捕获局部模式和关系的特征映射，卷积运算方式为：其中，为第i个卷积滤波器/>在第t次特征提取时提取的特征映射，σ为卷积层激活函数，b为卷积层偏置项，k为卷积滤波器的窗口大小，d为特征矩阵的维数，卷积滤波器依次滑动提取窗口大小为k的特征向量，V为在第t次特征提取时特征矩阵中进行特征提取的部分，卷积滤波器一共进行L-k+1次特征提取，L为特征矩阵的特征向量总数，将第i个卷积滤波器每次特征提取的结果进行连接得到第i个卷积滤波器提取的特征映射：k×d(i)t : t+k-1最大池化层对每个卷积滤波器提取的特征映射选择最大值作为特征映射向量Z＝得到特征映射矩阵Z＝[Z, …, Z]；i1L-k+1胶囊层将特征映射矩阵封装到相应的胶囊中，利用胶囊层网络权重将每个特征映射向量Z映射到新的特征向量空间，得到第j个胶囊层神经元的胶囊特征向量/>再对其进行重要性权衡得到重要性特征s＝g(∑cu)，其中，耦合系数c用于权衡特征的重要性，最后，每个胶囊层神经元输出/>胶囊层输出为R＝[r, …, r, …, r]，其中nR为胶囊层神经元总个数；ijij|ij|ij|iCAP1jnR全连接网络层输出H＝WR+b，W是全连接层神经元的权重矩阵，b是全连接层神经元的偏移量；FCNFCNCAPFCNFCNFCNSigmoid函数输出层输出二分类结果y＝sigmoid(H)作为恶意软件检测结果，一类表示恶意软件，另一类表示良性软件；FCN报警模块，用于在检测到恶意软件时，将告警信息发送给用户。