专利名称:基于A_Kohonen神经网络的恶意代码分类方法
技术领域:
本发明涉及一种恶意代码分类方法,尤其涉及一种基于由Kohonen神经网络改进得到的AJtohonen神经网络的恶意代码分类方法,属于计算机网络安全技术领域。
背景技术:
恶意代码(Malicious codes)是ー组通过复制自身来感染其它软件的程序,包括传统的电脑病毒以及网络蠕虫、木马等。随着 技术的发展,恶意代码的种类和数量均呈爆炸式发展的态势。传统反病毒软件系统对于层出不穷的恶意代码的反应存在着一定的滞后性。为了弥补这ー缺陷,尽快对互联网上出现的各类恶意代码作出及时反应,瑞星、趋势科技、卡巴斯基、McAFee, SYMANTEC、江民科技、PANDA、金山、360等都推出了各自的云安全(Cloud Security)解决方案,通过网状的大量客户端对网络中软硬件行为的异常监测,获取恶意代码的最新制造、传播与感染信息,并传送到服务器端进行自动分析和处理,再快速把解决方案分发到每一个客户端。而云安全系统成功实施与运行的先决条件显然是对海量用户提供的大規模恶意代码报告分类、分析与汇总。例如趋势云安全系统M每天收集用户提交的2. 5亿个恶意代码报告;卡巴斯基全功能安全软件以用户“知情并同意(Awareness & Approval) ”的方式毎日在线收集、分析数以万计的用户计算机提交的可疑报告;瑞星云安全的核心瑞星卡卡6. 0每天收集到的木马报告有8 10万个,然后对恶意代码进行分类和特征提取。如此大規模恶意代码报告的分析对于反恶意代码系统来说是ー个巨大的负担。不同的恶意代码因为其生存平台、传播方式、潜伏周期、自身使命的不同而千差万別。要提高问题解决效率,就要在反恶意代码的各个环节缩短处理代码的时间。使用高效、科学的自动分类方法对大量涌现的未知恶意代码和已知恶意代码新变种进行处理是快速应对恶意代码十分必要的基本前提。然而目前国内外却并没有相关的公开文献显示有这方面的研究。
发明内容
本发明所要解决的技术问题在于克服现有技术的不足,提供一种基于AJtohonen神经网络的恶意代码分类方法,利用人工神经网络的自学习性和联想存储功能,结合其在并行处理运算方面的高度并行能力,提高恶意代码初分类的效率,減少人工的工作量方便该领域的反恶意代码专家对其进行有针对性的分析和处理,在最初的环节节省响应时间。本发明采用以下技术方案解决上述技术问题。基于AJtohonen神经网络的恶意代码分类方法,包括以下步骤
步骤I、提取各已知恶意代码样本的特征向量和其所属类别,构成训练集;
步骤2、利用所述训练集对AJtohonen神经网络进行训练;所述AJtohonen神经网络为三层结构,第一层为输入层,该层的神经元个数与样本特征向量位数一致,是单层单维度的神经元;第二层为竞争层,该层的节点呈ニ维阵列分布,各神经元以匹配程度为依据进行竞争,确定匹配程度大的神经元获胜;第三层为输出层,该层结点个数同数据类别数目相同,每个节点代表一类数据;其中输入层节点和竞争层节点以可变权值连接,输出节点和竞争节点通过权值全连接;所述训练具体按照以下步骤
步骤21、网络初始化包括网络连接权值、学习效率、邻域范围的初始化;
步骤22、计算输入向量与竞争层各神经元之间的欧氏距离,选择与输入向量的欧氏距离最短的竞争层神经元作为获胜神经元;
步骤23、根据下式调整获胜神经元及其邻域范围内其它神经元的连接权值
权利要求
1.基于AJtohonen神经网络的恶意代码分类方法,其特征在于,包括以下步骤 步骤I、提取各已知恶意代码样本的特征向量和其所属类别,构成训练集; 步骤2、利用所述训练集对AJtohonen神经网络进行训练;所述AJtohonen神经网络为三层结构,第一层为输入层,该层的神经元个数与样本特征向量位数一致,是单层单维度的神经元;第二层为竞争层,该层的节点呈二维阵列分布,各神经元以匹配程度为依据进行竞争,确定匹配程度大的神经元获胜;第三层为输出层,该层结点个数同数据类别数目相同,每个节点代表一类数据;其中输入层节点和竞争层节点以可变权值连接,输出节点和竞争节点通过权值全连接;所述训练具体按照以下步骤 步骤21、网络初始化包括网络连接权值、学习效率、邻域范围的初始化; 步骤22、计算输入向量与竞争层各神经元之间的欧氏距离,选择与输入向量的欧氏距离最短的竞争层神经元作为获胜神经元; 步骤23、根据下式调整获胜神经元及其邻域范围内其它神经元的连接权值
2.如权利要求I所述基于AJtohonen神经网络的恶意代码分类方法,其特征在于,所述邻域范围按照下式确定
3.如权利要求I所述基于AJtohonen神经网络的恶意代码分类方法,其特征在于,所述连接权值%、^的初始值为[CU]区间内的随机值或[CU]区间内的定值。
4.如权利要求I所述基于AJtohonen神经网络的恶意代码分类方法,其特征在于,所述一次学习效率、二次学习效率的初始值的取值范围为(CU)。
5.如权利要求I一4任一项所述基于AJtohonen神经网络的恶意代码分类方法,其特征在于,在步骤3之后还包括 步骤4、重复执行步骤3多次,选择多次执行结果中概率最大的结果作为该未知恶意代码最终的类别。
全文摘要
本发明公开了一种基于A_Kohonen神经网络的恶意代码分类方法,属于计算机网络安全技术领域。本发明首次将人工神经网络引入恶意代码的分类,并对现有无监督学习的Kohonen神经网络进行改进,在第一阶段的无监督学习后,加入一个有监督的学习过程,从而提高了分类准确率。本发明方法可实现对未知恶意代码的快速准确分类,且算法简单,实时性好。
文档编号G06F21/00GK102651088SQ20121010028
公开日2012年8月29日 申请日期2012年4月9日 优先权日2012年4月9日
发明者周静岚, 孙燕飞, 张义龙, 徐小龙, 曹嘉伦, 曹玲玲, 杨庚, 熊婧夷, 邹勤文, 陈丹伟 申请人:南京邮电大学