公开(公告)号：CN118656827B

公开(公告)日：2024-11-29

申请号：CN202411140093.8

申请日：2024-08-20

Applicant: 南京信息工程大学

Inventor： 陈治国 ,  周雷

IPC: G06F21/56 ,  G06N3/0455 ,  G06N3/047 ,  G06N3/0475 ,  G06N3/084 ,  G06N3/0442 ,  G06F18/213 ,  G06F18/28

Abstract: 本发明公开了一种基于增强语义API序列特征的动态恶意软件检测方法，包括以下步骤：（1）将可执行文件上传到沙盒中获取包含API序列及其参数的动态行为报告（2）采用鲁棒优化的BERT预训练模型RoBERTa获取上下文语义信息；（3）通过变分自编码器对API调用频率进行采样和编码，以获取全局API调用特征的通用表示，从而捕捉系统中API调用的行为模式；（4）基于门控机制的多模态权重控制模块调节各模态特征权重，使语义特征和全局特征间进行交互，生成语义增强的API序列特征；（5）采用多头注意力机制构建基于增强语义API序列特征的检测模型；本发明提高了对新型和变种恶意软件检测的泛化能力。

公开(公告)号：CN118656827A

公开(公告)日：2024-09-17

申请号：CN202411140093.8

申请日：2024-08-20

Applicant: 南京信息工程大学

Inventor： 陈治国 ,  周雷

IPC: G06F21/56 ,  G06N3/0455 ,  G06N3/047 ,  G06N3/0475 ,  G06N3/084 ,  G06N3/0442 ,  G06F18/213 ,  G06F18/28

Abstract: 本发明公开了一种基于增强语义API序列特征的动态恶意软件检测方法，包括以下步骤：（1）将可执行文件上传到沙盒中获取包含API序列及其参数的动态行为报告（2）采用鲁棒优化的BERT预训练模型RoBERTa获取上下文语义信息；（3）通过变分自编码器对API调用频率进行采样和编码，以获取全局API调用特征的通用表示，从而捕捉系统中API调用的行为模式；（4）基于门控机制的多模态权重控制模块调节各模态特征权重，使语义特征和全局特征间进行交互，生成语义增强的API序列特征；（5）采用多头注意力机制构建基于增强语义API序列特征的检测模型；本发明提高了对新型和变种恶意软件检测的泛化能力。