專利名稱:基于A_Kohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種惡意代碼分類方法,尤其涉及一種基于由Kohonen神經(jīng)網(wǎng)絡(luò)改進(jìn)得到的AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。
背景技術(shù):
惡意代碼(Malicious codes)是ー組通過復(fù)制自身來感染其它軟件的程序,包括傳統(tǒng)的電腦病毒以及網(wǎng)絡(luò)蠕蟲、木馬等。隨著 技術(shù)的發(fā)展,惡意代碼的種類和數(shù)量均呈爆炸式發(fā)展的態(tài)勢(shì)。傳統(tǒng)反病毒軟件系統(tǒng)對(duì)于層出不窮的惡意代碼的反應(yīng)存在著一定的滯后性。為了彌補(bǔ)這ー缺陷,盡快對(duì)互聯(lián)網(wǎng)上出現(xiàn)的各類惡意代碼作出及時(shí)反應(yīng),瑞星、趨勢(shì)科技、卡巴斯基、McAFee, SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的云安全(Cloud Security)解決方案,通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟硬件行為的異常監(jiān)測(cè),獲取惡意代碼的最新制造、傳播與感染信息,并傳送到服務(wù)器端進(jìn)行自動(dòng)分析和處理,再快速把解決方案分發(fā)到每一個(gè)客戶端。而云安全系統(tǒng)成功實(shí)施與運(yùn)行的先決條件顯然是對(duì)海量用戶提供的大規(guī)模惡意代碼報(bào)告分類、分析與匯總。例如趨勢(shì)云安全系統(tǒng)M每天收集用戶提交的2. 5億個(gè)惡意代碼報(bào)告;卡巴斯基全功能安全軟件以用戶“知情并同意(Awareness & Approval) ”的方式毎日在線收集、分析數(shù)以萬計(jì)的用戶計(jì)算機(jī)提交的可疑報(bào)告;瑞星云安全的核心瑞星卡卡6. 0每天收集到的木馬報(bào)告有8 10萬個(gè),然后對(duì)惡意代碼進(jìn)行分類和特征提取。如此大規(guī)模惡意代碼報(bào)告的分析對(duì)于反惡意代碼系統(tǒng)來說是ー個(gè)巨大的負(fù)擔(dān)。不同的惡意代碼因?yàn)槠渖嫫脚_(tái)、傳播方式、潛伏周期、自身使命的不同而千差萬別。要提高問題解決效率,就要在反惡意代碼的各個(gè)環(huán)節(jié)縮短處理代碼的時(shí)間。使用高效、科學(xué)的自動(dòng)分類方法對(duì)大量涌現(xiàn)的未知惡意代碼和已知惡意代碼新變種進(jìn)行處理是快速應(yīng)對(duì)惡意代碼十分必要的基本前提。然而目前國內(nèi)外卻并沒有相關(guān)的公開文獻(xiàn)顯示有這方面的研究。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于克服現(xiàn)有技術(shù)的不足,提供一種基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,利用人工神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)性和聯(lián)想存儲(chǔ)功能,結(jié)合其在并行處理運(yùn)算方面的高度并行能力,提高惡意代碼初分類的效率,減少人工的工作量方便該領(lǐng)域的反惡意代碼專家對(duì)其進(jìn)行有針對(duì)性的分析和處理,在最初的環(huán)節(jié)節(jié)省響應(yīng)時(shí)間。本發(fā)明采用以下技術(shù)方案解決上述技術(shù)問題。基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,包括以下步驟
步驟I、提取各已知惡意代碼樣本的特征向量和其所屬類別,構(gòu)成訓(xùn)練集;
步驟2、利用所述訓(xùn)練集對(duì)AJtohonen神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練;所述AJtohonen神經(jīng)網(wǎng)絡(luò)為三層結(jié)構(gòu),第一層為輸入層,該層的神經(jīng)元個(gè)數(shù)與樣本特征向量位數(shù)一致,是單層單維度的神經(jīng)元;第二層為競爭層,該層的節(jié)點(diǎn)呈ニ維陣列分布,各神經(jīng)元以匹配程度為依據(jù)進(jìn)行競爭,確定匹配程度大的神經(jīng)元獲勝;第三層為輸出層,該層結(jié)點(diǎn)個(gè)數(shù)同數(shù)據(jù)類別數(shù)目相同,每個(gè)節(jié)點(diǎn)代表一類數(shù)據(jù);其中輸入層節(jié)點(diǎn)和競爭層節(jié)點(diǎn)以可變權(quán)值連接,輸出節(jié)點(diǎn)和競爭節(jié)點(diǎn)通過權(quán)值全連接;所述訓(xùn)練具體按照以下步驟
步驟21、網(wǎng)絡(luò)初始化包括網(wǎng)絡(luò)連接權(quán)值、學(xué)習(xí)效率、鄰域范圍的初始化;
步驟22、計(jì)算輸入向量與競爭層各神經(jīng)元之間的歐氏距離,選擇與輸入向量的歐氏距離最短的競爭層神經(jīng)元作為獲勝神經(jīng)元;
步驟23、根據(jù)下式調(diào)整獲勝神經(jīng)元及其鄰域范圍內(nèi)其它神經(jīng)元的連接權(quán)值
權(quán)利要求
1.基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,其特征在于,包括以下步驟 步驟I、提取各已知惡意代碼樣本的特征向量和其所屬類別,構(gòu)成訓(xùn)練集; 步驟2、利用所述訓(xùn)練集對(duì)AJtohonen神經(jīng)網(wǎng)絡(luò)進(jìn)行訓(xùn)練;所述AJtohonen神經(jīng)網(wǎng)絡(luò)為三層結(jié)構(gòu),第一層為輸入層,該層的神經(jīng)元個(gè)數(shù)與樣本特征向量位數(shù)一致,是單層單維度的神經(jīng)元;第二層為競爭層,該層的節(jié)點(diǎn)呈二維陣列分布,各神經(jīng)元以匹配程度為依據(jù)進(jìn)行競爭,確定匹配程度大的神經(jīng)元獲勝;第三層為輸出層,該層結(jié)點(diǎn)個(gè)數(shù)同數(shù)據(jù)類別數(shù)目相同,每個(gè)節(jié)點(diǎn)代表一類數(shù)據(jù);其中輸入層節(jié)點(diǎn)和競爭層節(jié)點(diǎn)以可變權(quán)值連接,輸出節(jié)點(diǎn)和競爭節(jié)點(diǎn)通過權(quán)值全連接;所述訓(xùn)練具體按照以下步驟 步驟21、網(wǎng)絡(luò)初始化包括網(wǎng)絡(luò)連接權(quán)值、學(xué)習(xí)效率、鄰域范圍的初始化; 步驟22、計(jì)算輸入向量與競爭層各神經(jīng)元之間的歐氏距離,選擇與輸入向量的歐氏距離最短的競爭層神經(jīng)元作為獲勝神經(jīng)元; 步驟23、根據(jù)下式調(diào)整獲勝神經(jīng)元及其鄰域范圍內(nèi)其它神經(jīng)元的連接權(quán)值
2.如權(quán)利要求I所述基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,其特征在于,所述鄰域范圍按照下式確定
3.如權(quán)利要求I所述基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,其特征在于,所述連接權(quán)值%、^的初始值為[CU]區(qū)間內(nèi)的隨機(jī)值或[CU]區(qū)間內(nèi)的定值。
4.如權(quán)利要求I所述基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,其特征在于,所述一次學(xué)習(xí)效率、二次學(xué)習(xí)效率的初始值的取值范圍為(CU)。
5.如權(quán)利要求I一4任一項(xiàng)所述基于AJtohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,其特征在于,在步驟3之后還包括 步驟4、重復(fù)執(zhí)行步驟3多次,選擇多次執(zhí)行結(jié)果中概率最大的結(jié)果作為該未知惡意代碼最終的類別。
全文摘要
本發(fā)明公開了一種基于A_Kohonen神經(jīng)網(wǎng)絡(luò)的惡意代碼分類方法,屬于計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域。本發(fā)明首次將人工神經(jīng)網(wǎng)絡(luò)引入惡意代碼的分類,并對(duì)現(xiàn)有無監(jiān)督學(xué)習(xí)的Kohonen神經(jīng)網(wǎng)絡(luò)進(jìn)行改進(jìn),在第一階段的無監(jiān)督學(xué)習(xí)后,加入一個(gè)有監(jiān)督的學(xué)習(xí)過程,從而提高了分類準(zhǔn)確率。本發(fā)明方法可實(shí)現(xiàn)對(duì)未知惡意代碼的快速準(zhǔn)確分類,且算法簡單,實(shí)時(shí)性好。
文檔編號(hào)G06F21/00GK102651088SQ20121010028
公開日2012年8月29日 申請(qǐng)日期2012年4月9日 優(yōu)先權(quán)日2012年4月9日
發(fā)明者周靜嵐, 孫燕飛, 張義龍, 徐小龍, 曹嘉倫, 曹玲玲, 楊庚, 熊婧夷, 鄒勤文, 陳丹偉 申請(qǐng)人:南京郵電大學(xué)