买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：河北师范大学

摘要：发明公开了一种基于DEAM和DenseNet的恶意软件检测和家族分类方法，结合深度有效注意力模型（DepthwiseEfficientAttentionModule，DEAM）和密集连接神经网络（DenseNet）模型进行恶意软件检测和家族分类。DEAM是改进后通用的轻量级注意力模块，由改进的有效注意力ImprovedEfficientChannelAttention，IECA子模块和深度空间注意力DepthwiseSpatialAttention，DSA子模块两部分组成，可以强化对恶意软件特征的关注，提高检测和分类效果。本发明对加密、打包和样本数量少的恶意软件均有较高的鲁棒性，能够可靠地进行恶意软件检测和家族分类，它在提高CNNs效果的同时保持模型计算量不增加。

主权项：1.一种基于DEAM和DenseNet的恶意软件检测和家族分类方法，其特征在于一种基于DEAM和DenseNet的恶意软件检测方法，包括如下步骤：步骤1：将PE软件转换成灰度图像：读取PE文件的每个字节，将其存储在一次存储在二维数组中，所述二维数组的宽W与高H的乘积大于等于PE文件字节数，二维数组中尾部剩余字节用预定字节填充，将所述二维数组转换为灰度图像；步骤2：搭建基于DEAM和DenseNet的检测模型：所述检测模型包括级连的DenseNet模块和DEAM模块；所述DenseNet模块包括L层DenseBlock层，L1，相邻DenseBlock层之间设有用于降维处理的Transition层；第lDenseBlock层与第1至第l-1DenseBlock层在通道维度上连接在一起，1＜l≤L所述DenseBlock层包括批量归一化BN单元，激活函数ReLU，池化单元Pooling及卷积操作Conv；所述各DenseBlock层中末层卷积操作的核数相同，均为g；所述第lDenseBlock层输出g0+gl-1通道特征图，g0为第1DenseBlock层输入通道数；DEAM模块包括级联的IECA子模块和DSA子模块；所述IECA子模块由所述DenseNet模块输出的特征图的通道间关系，计算得到一维的通道注意图MC∈RC×1×1，计算方法为： 其中，M为所述DenseNet模块输出的特征图，C为特征图的通道数，C1D代表一维卷积，+代表逐元素求和，σ表示Sigmoid函数，k代表卷积操作的核数，和分别为对特征图M平均池特征和最大池特征的空间上下文描述符；所述DSA子模块由经过IECA子模块处理过后的特征图M’计算出三维空间注意图MS∈RC×H×W，H代表高，W代表宽，计算方法为：MSM'＝σDepthwiseConv2DM'2其中，DepthwiseConv2D代表深度卷积，M’代表经过IECA子模块处理过后的特征图；在DEAM模块中通过计算出的通道注意图和空间注意图对恶意软件的特征和位置进行关注，DEAM中的计算过程如下所示： 其中，M”代表经过DSA子模块处理过后的特征图；步骤3：训练恶意软件检测网络：训练基于DEAM和DenseNet的模型的恶意软件检测网络；步骤4：使用步骤3训练的基于DEAM和DenseNet的模型，预测PE软件是否为恶意软件。

全文数据：

权利要求：

百度查询： 河北师范大学 一种基于DEAM和DenseNet的恶意软件检测和家族分类方法