公开(公告)号：CN112257066B

公开(公告)日：2021-09-07

申请号：CN202011188125.3

申请日：2020-10-30

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  蒋来源 ,  秦丹一

IPC: G06F21/56 ,  G06N3/04

Abstract: 本发明公开了一种面向带权异质图的恶意行为识别方法、系统和存储介质，方法包括以下步骤：构建归纳式图神经网络模型，所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；对归纳式图神经网络模型进行训练学习，子图抽取，学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，多个子图特征向量融合，融合获得的节点特征向量在分类学习模块进行分类学习；利用训练完成的归纳式图神经网络模型进行恶意行为识别。本发明充分结合和利用异质图所包含的丰富的拓扑特征信息和属性信息，在此基础上设计归纳式学习的图神经网络模型完成异质图中的特征抽取和表示学习，最终实现恶意行为的识别。

公开(公告)号：CN110458187B

公开(公告)日：2020-07-31

申请号：CN201910565940.8

申请日：2019-06-27

Applicant: 广州大学

Inventor： 杨航锋 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  范美华 ,  付潇鹏 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  李默涵 ,  仇晶 ,  唐可可

IPC: G06K9/62 ,  G06F21/56

Abstract: 本发明公开了一种恶意代码家族聚类方法及系统，方法包括采用T‑SNE算法对原始恶意代码执行序列进行降维可视化，具体为：使用T‑SNE算法对每个数据点近邻的分布进行建模，其中近邻是指相互靠近数据点的集合；构建模型，通过非线性函数变换将数据点映射到相应概率分布上；对构建的模型进行训练，通过计算低维空间的条件概率，从而计算损失函数的梯度；使用K‑means算法对恶意代码家族进行聚类，具体为：确定分类个数K和聚类中心；通过计算对象与聚类中心的距离对所有对象进行簇划分；重新计算新的聚类中心，判断是否满足条件。系统包括降维可视化模块和聚类模块。通过本发明不仅降低了如何确定K‑means算法中k的难题，还提高了恶意代码家族聚类的准确性。

公开(公告)号：CN110458187A

公开(公告)日：2019-11-15

申请号：CN201910565940.8

申请日：2019-06-27

Applicant: 广州大学

Inventor： 杨航锋 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  范美华 ,  付潇鹏 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  李默涵 ,  仇晶 ,  唐可可

IPC: G06K9/62 ,  G06F21/56

Abstract: 本发明公开了一种恶意代码家族聚类方法及系统，方法包括采用T-SNE算法对原始恶意代码执行序列进行降维可视化，具体为：使用T-SNE算法对每个数据点近邻的分布进行建模，其中近邻是指相互靠近数据点的集合；构建模型，通过非线性函数变换将数据点映射到相应概率分布上；对构建的模型进行训练，通过计算低维空间的条件概率，从而计算损失函数的梯度；使用K-means算法对恶意代码家族进行聚类，具体为：确定分类个数K和聚类中心；通过计算对象与聚类中心的距离对所有对象进行簇划分；重新计算新的聚类中心，判断是否满足条件。系统包括降维可视化模块和聚类模块。通过本发明不仅降低了如何确定K-means算法中k的难题，还提高了恶意代码家族聚类的准确性。

公开(公告)号：CN112257066A

公开(公告)日：2021-01-22

申请号：CN202011188125.3

申请日：2020-10-30

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  张倩青 ,  蒋来源 ,  秦丹一

IPC: G06F21/56 ,  G06N3/04

Abstract: 本发明公开了一种面向带权异质图的恶意行为识别方法、系统和存储介质，方法包括以下步骤：构建归纳式图神经网络模型，所述归纳式图神经网络模型包括子图抽取模块、多个特征向量生成融合模块以及分类学习模块；对归纳式图神经网络模型进行训练学习，子图抽取，学习子图中节点的潜在向量表示，得到子图对应的多个子图特征向量，多个子图特征向量融合，融合获得的节点特征向量在分类学习模块进行分类学习；利用训练完成的归纳式图神经网络模型进行恶意行为识别。本发明充分结合和利用异质图所包含的丰富的拓扑特征信息和属性信息，在此基础上设计归纳式学习的图神经网络模型完成异质图中的特征抽取和表示学习，最终实现恶意行为的识别。

公开(公告)号：CN111143842A

公开(公告)日：2020-05-12

申请号：CN201911270920.4

申请日：2019-12-12

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  杨航锋 ,  付潇鹏 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  仇晶 ,  李默涵 ,  唐可可

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种恶意代码检测方法及系统，方法包括：S1、将每个恶意代码运行过程中的WindowsAPI动作序列视作一个具有上下文关系的文本，分别使用TF-IDF和Doc2vec进行特征抽取；S2、在分别获得TF-IDF和Doc2vec特征矩阵后，将TF-IDF和Doc2vec抽取到的特征进行拼接，降维后获得恶意代码的特征矩阵；S3、构造基于聚类的集成分类改进模型，采用多个基学习器对数据集进行分类，并在最后采用投票的方式获得最终分类结果，S4、在预测阶段将样本分别输入每个基学习器中与之最近的单一类别类簇/SVM分类器中并输出预测类别，最后根据投票原则，学习器输出类别中占多数的类别为最终预测类别。本发明将TF-IDF和Doc2vec结合，不仅考虑恶意代码动作序列中API的频率，也考虑动作序列的上下文关联，提高恶意代码检测的准确性。

公开(公告)号：CN111143842B

公开(公告)日：2022-07-01

申请号：CN201911270920.4

申请日：2019-12-12

Applicant: 广州大学

Inventor： 范美华 ,  李树栋 ,  吴晓波 ,  韩伟红 ,  杨航锋 ,  付潇鹏 ,  方滨兴 ,  田志宏 ,  殷丽华 ,  顾钊铨 ,  仇晶 ,  李默涵 ,  唐可可

IPC: G06F21/56 ,  G06K9/62

Abstract: 本发明公开了一种恶意代码检测方法及系统，方法包括：S1、将每个恶意代码运行过程中的WindowsAPI动作序列视作一个具有上下文关系的文本，分别使用TF‑IDF和Doc2vec进行特征抽取；S2、在分别获得TF‑IDF和Doc2vec特征矩阵后，将TF‑IDF和Doc2vec抽取到的特征进行拼接，降维后获得恶意代码的特征矩阵；S3、构造基于聚类的集成分类改进模型，采用多个基学习器对数据集进行分类，并在最后采用投票的方式获得最终分类结果，S4、在预测阶段将样本分别输入每个基学习器中与之最近的单一类别类簇/SVM分类器中并输出预测类别，最后根据投票原则，学习器输出类别中占多数的类别为最终预测类别。本发明将TF‑IDF和Doc2vec结合，不仅考虑恶意代码动作序列中API的频率，也考虑动作序列的上下文关联，提高恶意代码检测的准确性。