**小化對數損失基本等價于**大化分類器的準確度，對于完美的分類器，對數損失值為0。對數損失函數的計算公式如下：其中，y為輸出變量即輸出的測試樣本的檢測結果，x為輸入變量即測試樣本，l為損失函數，n為測試樣本(待檢測軟件的二進制可執行文件)數目，yij是一個二值指標，表示與輸入的第i個測試樣本對應的類別j，類別j指良性軟件或惡意軟件，pij為輸入的第i個測試樣本屬于類別j的概率，m為總類別數，本實施例中m＝2。分類器的性能也可用roc曲線(receiveroperatingcharacteristic)評價，roc曲線的縱軸是檢測率(true****itiverate)，橫軸是誤報率(false****itiverate)，該曲線反映的是隨著檢測閾值變化下檢測率與誤報率之間的關系曲線。roc曲線下面積(areaunderroccurve，auc)的值是評價分類器比較綜合的指標，auc的值通常介于，較大的auc值一般表示分類器的性能較優。(3)特征提取提取dll和api信息特征視圖dll(dynamiclinklibrary)文件為動態鏈接庫文件，執行某一個程序時，相應的dll文件就會被調用。一個應用程序可使用多個dll文件，一個dll文件也可能被不同的應用程序使用。api(applicationprogramminginterface)函數是windows提供給用戶作為應用程序開發的接口。專業機構認證該程序內存管理效率優于行業平均水平23%。系統安全測評服務

    將三種模態特征和三種融合方法的結果進行了對比，如表3所示。從表3可以看出，前端融合和中間融合較基于模態特征的檢測準確率更高，損失率更低。后端融合是三種融合方法中較弱的，雖然明顯優于基于dll和api信息、pe格式結構特征的實驗結果，但稍弱于基于字節碼3-grams特征的結果。中間融合是三種融合方法中**好的，各項性能指標都非常接近**優值。表3實驗結果對比本實施例提出了基于多模態深度學習的惡意軟件檢測方法，提取了三種模態的特征(dll和api信息、pe格式結構信息和字節碼3-grams)，提出了通過三種融合方式(前端融合、后端融合、中間融合)集成三種模態的特征，有效提高惡意軟件檢測的準確率和魯棒性。實驗結果顯示，相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能，其中較優的中間融合方法取得了％的準確率，對數損失為，auc值為，各項性能指標已接近**優值。考慮到樣本集可能存在噪聲，本實施例提出的方法已取得了比較理想的結果。由于惡意軟件很難同時偽造多個模態的特征，本實施例提出的方法比單模態特征方法更魯棒。以上所述*為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。軟件項目 檢測報告第三方測評顯示軟件運行穩定性達99.8%，未發現重大系統崩潰隱患。

    并將測試樣本的dll和api信息特征視圖、格式信息特征視圖以及字節碼n-grams特征視圖輸入步驟s2訓練得到的多模態深度集成模型中，對測試樣本進行檢測并得出檢測結果。實驗結果與分析(1)樣本數據集選取實驗評估使用了不同時期的惡意軟件和良性軟件樣本，包含了7871個良性軟件樣本和8269個惡意軟件樣本，其中4103個惡意軟件樣本是2011年以前發現的，4166個惡意軟件樣本是近年來新發現的；3918個良性軟件樣本是從全新安裝的windowsxpsp3系統中收集的，3953個良性軟件樣本是從全新安裝的32位windows7系統中收集的。所有的惡意軟件樣本都是從vxheavens網站中收集的，所有的樣本格式都是windowspe格式的，樣本數據集構成如表1所示。表1樣本數據集類別惡意軟件樣本良性軟件樣本早期樣本41033918近期樣本41663953合計82697871(2)評價指標及方法分類性能主要用兩個指標來評估：準確率和對數損失。準確率測量所有預測中正確預測的樣本占總樣本的比例，*憑準確率通常不足以評估預測的魯棒性，因此還需要使用對數損失。對數損失(logarithmicloss)，也稱交叉熵損失(cross-entropyloss)，是在概率估計上定義的，用于測量預測類別與真實類別之間的差距大小。

    先將訓練樣本的dll和api信息特征視圖、格式信息特征視圖以及字節碼n-grams特征視圖分別輸入至一個深度神經網絡中抽取高等特征表示，然后合并抽取的高等特征表示并將其作為下一個深度神經網絡的輸入進行模型訓練，得到多模態深度集成模型。進一步的，所述多模態深度集成模型的隱藏層的***函數采用relu，輸出層的***函數采用sigmoid，中間使用dropout層進行正則化，優化器采用adagrad。進一步的，所述訓練得到的多模態深度集成模型中，用于抽取dll和api信息特征視圖的深度神經網絡包含3個隱含層，且3個隱含層中間間隔設置有dropout層；用于抽取格式信息特征視圖的深度神經網絡包含2個隱含層，且2個隱含層中間設置有dropout層；用于抽取字節碼n-grams特征視圖的深度神經網絡包含4個隱含層，且4個隱含層中間間隔設置有dropout層；用于輸入合并抽取的高等特征表示的深度神經網絡包含2個隱含層，且2個隱含層中間設置有dropout層；所述dropout層的dropout率均等于。本發明實施例的有益效果是，提出了一種基于多模態深度學習的惡意軟件檢測方法，應用了多模態深度學習方法來融合dll和api、格式結構信息、字節碼n-grams特征。如何選擇適合企業的 IT 解決方案？

    綜合上面的分析可以看出，惡意軟件的格式信息和良性軟件是有很多差異性的，以可執行文件的格式信息作為特征，是識別已知和未知惡意軟件的可行方法。對每個樣本進行格式結構解析，提取**每個樣本實施例件的格式結構信息，可執行文件的格式規范都由操作系統廠商給出，按照操作系統廠商給出的格式規范提取即可。pe文件的格式結構有許多屬性，但大多數屬性無法區分惡意軟件和良性軟件，經過深入分析pe文件的格式結構屬性，提取了可能區分惡意軟件和良性軟件的136個格式結構屬性，如表2所示。表2可能區分惡意軟件和良性軟件的pe格式結構屬性特征描述數量(個)引用dll的總數1引用api的總數1導出表中符號的總數1重定位節的項目總數，連續的幾個字節可能是完成特定功能的一段代碼，或者是可執行文件的結構信息，也可能是某個惡意軟件中特有的字節碼序列。pe文件可表示為字節碼序列，惡意軟件可能存在一些共有的字節碼子序列模式，研究人員直覺上認為一些字節碼子序列在惡意軟件可能以較高頻率出現，且這些字節碼序列和良性軟件字節碼序列存在明顯差異。可執行文件通常是二進制文件，需要把二進制文件轉換為十六進制的文本實施例件，就得到可執行文件的十六進制字節碼序列。基于 AI 視覺識別的自動化檢測系統，助力艾策實現生產線上的零缺陷品控目標！信息系統安全評測

第三方實驗室驗證數據處理速度較上代提升1.8倍。系統安全測評服務

    程序利用windows提供的接口(windowsapi)實現程序的功能。通過一個可執行程序引用的動態鏈接庫(dll)和應用程序接口(api)可以粗略的預測該程序的功能和行為。統計所有樣本的導入節中引用的dll和api的頻率，留下引用頻率**高的60個dll和500個api。提取特征時，每個樣本的導入節里存在選擇出的dll或api，該特征以1表示，不存在則以0表示，提取的560個dll和api特征作為***個特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫，初衷是希望能開發一個在所有windows平臺上和所有cpu上都可執行的通用文件格式。pe格式文件是封裝windows操作系統加載程序所需的信息和管理可執行代碼的數據結構，數據**是大量的字節碼和數據結構的有機融合。pe文件格式被**為一個線性的數據流，由pe文件頭、節表和節實體組成。惡意軟件或被惡意軟件***的可執行文件，它本身也遵循格式要求的約束，但可能存在以下特定格式異常：(1)代碼從**后一節開始執行；(2)節頭部可疑的屬性；(3)pe可選頭部有效尺寸的值不正確；(4)節之間的“間縫”；(5)可疑的代碼重定向；(6)可疑的代碼節名稱；(7)可疑的頭部***；(8)來自；(9)導入地址表被修改；(10)多個pe頭部；(11)可疑的重定位信息；。系統安全測評服務