應用軟件安全測試公司

    此外格式結構信息具有明顯的語義信息，但基于格式結構信息的檢測方法沒有提取決定軟件行為的代碼節和數據節信息作為特征。某一種類型的特征都從不同的視角反映刻畫了可執行文件的一些性質，字節碼n-grams、dll和api信息、格式結構信息都部分捕捉到了惡意軟件和良性軟件間的可區分信息，但都存在著一定的局限性，不能充分、綜合、整體的表示可執行文件的本質，使得檢測結果準確率不高、可靠性低、泛化性和魯棒性不佳。此外，惡意軟件通常偽造出和良性軟件相似的特征，逃避反**軟件的檢測。技術實現要素：本發明實施例的目的在于提供一種基于多模態深度學習的惡意軟件檢測方法，以解決現有采用二進制可執行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測準確率不高、檢測可靠性低、泛化性和魯棒性不佳的問題，以及其難以檢測出偽造良性軟件特征的惡意軟件的問題。本發明實施例所采用的技術方案是，基于多模態深度學習的惡意軟件檢測方法，按照以下步驟進行：步驟s1、提取軟件樣本的二進制可執行文件的dll和api信息、pe格式結構信息以及字節碼n-grams的特征表示，生成軟件樣本的dll和api信息特征視圖、格式信息特征視圖以及字節碼n-grams特征視圖。代碼質量評估顯示注釋覆蓋率不足30%需加強。應用軟件安全測試公司

    綜合上面的分析可以看出，惡意軟件的格式信息和良性軟件是有很多差異性的，以可執行文件的格式信息作為特征，是識別已知和未知惡意軟件的可行方法。對每個樣本進行格式結構解析，提取**每個樣本實施例件的格式結構信息，可執行文件的格式規范都由操作系統廠商給出，按照操作系統廠商給出的格式規范提取即可。pe文件的格式結構有許多屬性，但大多數屬性無法區分惡意軟件和良性軟件，經過深入分析pe文件的格式結構屬性，提取了可能區分惡意軟件和良性軟件的136個格式結構屬性，如表2所示。表2可能區分惡意軟件和良性軟件的pe格式結構屬性特征描述數量(個)引用dll的總數1引用api的總數1導出表中符號的總數1重定位節的項目總數，連續的幾個字節可能是完成特定功能的一段代碼，或者是可執行文件的結構信息，也可能是某個惡意軟件中特有的字節碼序列。pe文件可表示為字節碼序列，惡意軟件可能存在一些共有的字節碼子序列模式，研究人員直覺上認為一些字節碼子序列在惡意軟件可能以較高頻率出現，且這些字節碼序列和良性軟件字節碼序列存在明顯差異。可執行文件通常是二進制文件，需要把二進制文件轉換為十六進制的文本實施例件，就得到可執行文件的十六進制字節碼序列。廣州軟件測試報告機構策科技助力教育行業：數字化教學的創新應用 。

    程序利用windows提供的接口(windowsapi)實現程序的功能。通過一個可執行程序引用的動態鏈接庫(dll)和應用程序接口(api)可以粗略的預測該程序的功能和行為。統計所有樣本的導入節中引用的dll和api的頻率，留下引用頻率**高的60個dll和500個api。提取特征時，每個樣本的導入節里存在選擇出的dll或api，該特征以1表示，不存在則以0表示，提取的560個dll和api特征作為***個特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫，初衷是希望能開發一個在所有windows平臺上和所有cpu上都可執行的通用文件格式。pe格式文件是封裝windows操作系統加載程序所需的信息和管理可執行代碼的數據結構，數據**是大量的字節碼和數據結構的有機融合。pe文件格式被**為一個線性的數據流，由pe文件頭、節表和節實體組成。惡意軟件或被惡意軟件***的可執行文件，它本身也遵循格式要求的約束，但可能存在以下特定格式異常：(1)代碼從**后一節開始執行；(2)節頭部可疑的屬性；(3)pe可選頭部有效尺寸的值不正確；(4)節之間的“間縫”；(5)可疑的代碼重定向；(6)可疑的代碼節名稱；(7)可疑的頭部***；(8)來自；(9)導入地址表被修改；(10)多個pe頭部；(11)可疑的重定位信息；。

    生成取值表。3把取值表與選擇的正交表進行映射控件數Ln(取值數)3個控件5個取值5的3次冪混合正交表當控件的取值數目水平不一致時候，使用allp**rs工具生成1等價類劃分法劃分值2邊界值分析法邊界值3錯誤推斷法經驗4因果圖分析法關系5判定表法條件和結果6流程圖法流程路徑梳理7場景法主要功能和業務的事件8正交表先關注主要功能和業務流程，業務邏輯是否正確實現，考慮場景法需要輸入數據的地方，考慮等價類劃分法+邊界值分析法，發現程序錯誤的能力**強存在輸入條件的組合情況，考慮因果圖判定表法多種參數配置組合情況，正交表排列法采用錯誤推斷法再追加測試用例。需求分析場景法分析主要功能輸入的等價類邊界值輸入的各種組合因果圖判定表多種參數配置正交表錯誤推斷法經驗軟件缺陷軟件產品中存在的問題，用戶所需要的功能沒有完全實現。從傳統到智能：艾策科技助力制造業升級之路。

    k為短序列特征總數，1≤i≤k。可執行文件長短大小不一，為了防止該特征統計有偏，使用∑knk,j進行歸一化處理。逆向文件頻率(inversedocumentfrequency，idf)是一個短序列特征普遍重要性的度量。某一短序列特征的idf，可以由總樣本實施例件數目除以包含該短序列特征之樣本實施例件的數目，再將得到的商取對數得到：其中，|d|指軟件樣本j的總數，|{j:i∈j}|指包含短序列特征i的軟件樣本j的數目。idf的主要思想是：如果包含短序列特征i的軟件練樣本越少，也就是|{j:i∈j}|越小，idf越大，則說明短序列特征i具有很好的類別區分能力。：如果某一特征在某樣本中以較高的頻率出現，而包含該特征的樣本數目較小，可以產生出高權重的，該特征的。因此，，保留重要的特征。此處選取可能區分惡意軟件和良性軟件的短序列特征，是因為字節碼n-grams提取的特征很多，很多都是無效特征，或者效果非常一般的特征，保持這些特征會影響檢測方法的性能和效率，所以要選出有效的特征即可能區分惡意軟件和良性軟件的短序列特征。步驟s2、將軟件樣本中的類別已知的軟件樣本作為訓練樣本，然后分別采用前端融合方法、后端融合方法和中間融合方法設計三種不同方案的多模態數據融合方法。數據安全與合規：艾策科技的最佳實踐。長春軟件評測實驗室

艾策檢測為新能源汽車電池提供安全性能深度解析。應用軟件安全測試公司

    這樣做的好處是，融合模型的錯誤來自不同的分類器，而來自不同分類器的錯誤往往互不相關、互不影響，不會造成錯誤的進一步累加。常見的后端融合方式包括**大值融合(max-fusion)、平均值融合(averaged-fusion)、貝葉斯規則融合(bayes’rulebased)以及集成學習(ensemblelearning)等。其中集成學習作為后端融合方式的典型**，被廣泛應用于通信、計算機識別、語音識別等研究領域。中間融合是指將不同的模態數據先轉化為高等特征表達，再于模型的中間層進行融合，如圖3所示。以深度神經網絡為例，神經網絡通過一層一層的管道映射輸入，將原始輸入轉換為更高等的表示。中間融合首先利用神經網絡將原始數據轉化成高等特征表達，然后獲取不同模態數據在高等特征空間上的共性，進而學習一個聯合的多模態表征。深度多模態融合的大部分工作都采用了這種中間融合的方法，其***享表示層是通過合并來自多個模態特定路徑的連接單元來構建的。中間融合方法的一大優勢是可以靈活的選擇融合的位置，但設計深度多模態集成結構時，確定如何融合、何時融合以及哪些模式可以融合，是比較有挑戰的問題。字節碼n-grams、dll和api信息、格式結構信息這三種類型的特征都具有自身的優勢。應用軟件安全測試公司