申请/专利权人：中华人民共和国新疆出入境边防检查总站(新疆维吾尔自治区公安厅边境管理总队)

申请日：2023-11-28

公开（公告）日：2024-06-25

公开（公告）号：CN117574371B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0464;G06N3/08

优先权：

专利状态码：有效-授权

法律状态：2024.06.25#授权;2024.03.08#实质审查的生效;2024.02.20#公开

摘要：本发明针对现有技术在物联网设备对支持资源要求高、功耗高的恶意软件检测任务方面的能力有限的问题，提出一种基于边缘计算的恶意软件检测方案，包括智能终端监控系统和边缘服务器分析与检测系统，智能终端监控系统部署于智能终端，对部署在物联网设备上的应用程序进行持续监控与检查，边缘服务器分析与检测系统部署于边缘服务器，收集来自智能终端系统监控系统的可疑API调用特征集，通过基于胶囊网络的恶意软件检测模型判断应用程序是否具有恶意行为，本发明将用户计算密集型恶意软件检测任务迁移到邻近的边缘计算节点，提高了恶意软件检测的效率，并且构建了一个基于胶囊网络的检测模型，以捕获不断演变的恶意软件攻击的潜在行为模式。

主权项：1.一种面向边缘计算平台熵敏感调用特征的恶意代码检测系统，其特征在于，包括：智能终端监控系统和边缘服务器分析与检测系统；智能终端监控系统部署于智能终端，对部署在物联网设备上的应用程序进行持续监控与检查；智能终端监控系统包括反编译模块和可疑API调用特征抽取模块；反编译模块，用于根据待检测应用程序获得源代码；可疑API调用特征抽取模块，用于根据源代码，提取可疑API调用特征集；可疑API调用特征抽取模块包括程序调用图生成模块、可疑API调用特征生成模块；程序调用图生成模块根据输入的源代码构建程序调用图FCG，并使用Pscout工具提取所有敏感API节点，FCG表示为G＝{V，E}，由一组节点和一组边组成；V中的每个节点表示应用程序中的一个函数，其中包括敏感API，敏感API集合为E中的每个边表示调用方和被调用方之间的调用关系；可疑API调用特征生成模块对于任意一个敏感APISi，计算其在被调用时与恶意软件关联的可能性以及其在被调用时与良性软件关联的可能性其中，NMali为训练集中调用Si的恶意软件样本的数量，N1为训练集中恶意软件样本总数，NBeni为训练集中调用Si的良性软件样本的数量，N2为训练集中良性软件样本总数；得到Si的恶意程度通过基于熵的方法来评估敏感API的重要性，计算Si的熵HRi＝-PilogPi-1-Pilog1-Pi，为每个敏感API分配权重WSi＝Pi×1-HRi，从而得到可疑API调用特征集边缘服务器分析与检测系统部署于边缘服务器，收集来自智能终端监控系统的可疑API调用特征集，通过基于胶囊网络的恶意软件检测模型判断应用程序是否具有恶意行为；边缘服务器分析与检测系统包括数据管理模块、学习分析模块和报警模块；数据管理模块，用于收集来自智能终端监控系统的可疑API调用特征集，采用Word2vec工具使用词嵌入方法将可疑API调用特征集转化为二维矩阵形式，每一个特征WSt都转化为一行语义特征向量vt，形成特征矩阵V＝{v1，…，vt，…，vL}；学习分析模块，用于根据特征矩阵，通过基于胶囊网络的检测模型进行检测，得到恶意软件检测结果；学习分析模块中的基于胶囊网络的检测模型包括：卷积层、最大池化层、胶囊层、全连接层和Sigmoid函数输出层；卷积层从特征矩阵V中的不同位置提取局部特征，卷积层使用一组卷积滤波器在Rk×d中生成捕获局部模式和关系的特征映射，卷积运算方式为：其中，为第i个卷积滤波器在第t次特征提取时提取的特征映射，σ为卷积层激活函数，bj为卷积层偏置项，k为卷积滤波器的窗口大小，d为特征矩阵的维数，卷积滤波器依次滑动提取窗口大小为k的特征向量，Vt：t+k-1为在第t次特征提取时特征矩阵中进行特征提取的部分，卷积滤波器一共进行L-k+1次特征提取，L为特征矩阵的特征向量总数，将第i个卷积滤波器每次特征提取的结果进行连接得到第i个卷积滤波器提取的特征映射：最大池化层对每个卷积滤波器提取的特征映射选择最大值作为特征映射向量得到特征映射矩阵Z＝[Z1，…，ZL-k+1]；胶囊层将特征映射矩阵封装到相应的胶囊中，利用胶囊层网络权重将每个特征映射向量Zi映射到新的特征向量空间，得到第j个胶囊层神经元的胶囊特征向量再对其进行重要性权衡得到重要性特征sj＝g∑icj|iuj|i，其中，耦合系数cj|i用于权衡特征的重要性，最后，每个胶囊层神经元输出胶囊层输出为RCAP＝[r1，…，rj，…，rnR]，其中nR为胶囊层神经元总个数；全连接网络层输出HFCN＝WFCNRCAP+bFCN，WFCN是全连接层神经元的权重矩阵，bFCN是全连接层神经元的偏移量；Sigmoid函数输出层输出二分类结果y＝sigmoidHFCN作为恶意软件检测结果，一类表示恶意软件，另一类表示良性软件；报警模块，用于在检测到恶意软件时，将告警信息发送给用户。

全文数据：

权利要求：

百度查询： 中华人民共和国新疆出入境边防检查总站(新疆维吾尔自治区公安厅边境管理总队) 面向边缘计算平台熵敏感调用特征的恶意代码检测系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD