嘗試了前端融合、后端融合和中間融合三種融合方法對進行有效融合，有效提高了惡意軟件的準確率，具備較好的泛化性能和魯棒性。實驗結果顯示，相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能，其中較優的中間融合方法取得了％的準確率，對數損失為，auc值為。有效解決了現有采用二進制可執行文件的單一特征類型進行惡意軟件檢測的檢測方法檢測結果準確率不高、可靠性低、泛化性和魯棒性不佳的問題。另外，惡意軟件很難同時偽造良性軟件的多個抽象層次的特征以逃避檢測，本發明實施例同時融合軟件的二進制可執行文件的多個抽象層次的特征，可準確檢測出偽造良性軟件特征的惡意軟件，解決了現有采用二進制可執行文件的單一特征類型進行惡意軟件檢測的檢測方法難以檢測出偽造良性軟件特征的惡意軟件的問題。附圖說明為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖**是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1是前端融合方法的流程圖。可靠性評估連續運行72小時出現2次非致命錯誤。山東cma軟件測試

    降低成本對每個階段都進行測試，包括文檔，便于控制項目過程缺點依賴文檔，沒有文檔的項目無法使用，復雜度很高，實踐需要很強的管理H模型把測試活動完全**出來，將測試準備和測試執行體現出來測試準備-測試執行就緒點其他流程----------設計等v模型適用于中小企業需求在開始必須明確，不適用變更需求w模型適用于中大企業包括文檔也需要測試（需求分析文檔概要設計文檔詳細設計文檔代碼文檔）測試和開發同步進行H模型對公司參與人員技能和溝通要求高測試階段單元測試-集成測試-系統測試-驗證測試是否覆蓋代碼白盒測試-黑盒測試-灰盒測試是否運行靜態測試-動態測試測試手段人工測試-自動化測試其他測試回歸測試-冒*測試功能測試一般功能測試-界面測試-易用性測試-安裝測試-兼容性測試性能測試穩定性測試-負載測試-壓力測試-時間性能-空間性能負載測試確定在各種工作負載下，系統各項指標變化情況壓力測試:通過確定一個系統的剛好不能接受的性能點。獲得系統能夠提供的**大服務級別測試用例為特定的目的而設計的一組測試輸入，執行條件和預期結果，以便測試是否滿足某個特定需求。通過大量的測試用例來檢測軟件的運行效果，它是指導測試工作進行的依據。軟件測試中的安全測試安全掃描確認軟件通過ISO 27001標準，無高危漏洞記錄。

    特征之間存在部分重疊，但特征類型間存在著互補，融合這些不同抽象層次的特征可更好的識別軟件的真正性質。且惡意軟件通常偽造出和良性軟件相似的特征，逃避反**軟件的檢測，但惡意軟件很難同時偽造多個抽象層次的特征逃避檢測。基于該觀點，本發明實施例提出一種基于多模態深度學習的惡意軟件檢測方法，以實現對惡意軟件的有效檢測，提取了三種模態的特征(dll和api信息、pe格式結構信息和字節碼3-grams)，提出了通過前端融合、后端融合和中間融合這三種融合方式集成三種模態的特征，有效提高惡意軟件檢測的準確率和魯棒性，具體步驟如下：步驟s1、提取軟件樣本的二進制可執行文件的dll和api信息、pe格式結構信息以及字節碼n-grams的特征表示，生成軟件樣本的dll和api信息特征視圖、格式信息特征視圖以及字節碼n-grams特征視圖；統計當前軟件樣本的導入節中引用的dll和api，提取得到當前軟件樣本的二進制可執行文件的dll和api信息的特征表示。對當前軟件樣本的二進制可執行文件進行格式結構解析，并按照格式規范提取**該軟件樣本的格式結構信息，得到該軟件樣本的二進制可執行文件的pe格式結構信息的特征表示。

    本發明屬于惡意軟件防護技術領域：：，涉及一種基于多模態深度學習的惡意軟件檢測方法。背景技術：：：惡意軟件是指在未明確提示用戶或未經用戶許可的情況下，故意編制或設置的，對網絡或系統會產生威脅或潛在威脅的計算機軟件。常見的惡意軟件有計算機**(簡稱**)、特洛伊木馬(簡稱木馬)、計算機蠕蟲(簡稱蠕蟲)、后門、邏輯**等。惡意軟件可能在用戶不知情的情況下竊取計算機用戶的信息和隱私，也可能非法獲得計算機系統和網絡資源的控制，破壞計算機和網絡的可信性、完整性和可用性，從而為惡意軟件控制者謀取非法利益。騰訊安全發布的《2017年度互聯網安全報告》顯示，2017年騰訊電腦管家pc端總計攔截**近30億次，平均每月攔截木馬**近，共發現**或木馬***。這些數目龐大、名目繁多的惡意軟件侵蝕著我國的***、經濟、文化、***等各個領域的信息安全，帶來了前所未有的挑戰。當前的反**軟件主要采用基于特征碼的檢測方法，這種方法通過對代碼進行充分研究，獲得惡意軟件特征值(即每種惡意軟件所獨有的十六進制代碼串)，如字節序列、特定的字符串等，通過匹配查找軟件中是否包含惡意軟件特征庫中的特征碼來判斷其是否為惡意軟件。覆蓋軟件功能與性能的多維度檢測方案設計與實施！

    將三種模態特征和三種融合方法的結果進行了對比，如表3所示。從表3可以看出，前端融合和中間融合較基于模態特征的檢測準確率更高，損失率更低。后端融合是三種融合方法中較弱的，雖然明顯優于基于dll和api信息、pe格式結構特征的實驗結果，但稍弱于基于字節碼3-grams特征的結果。中間融合是三種融合方法中**好的，各項性能指標都非常接近**優值。表3實驗結果對比本實施例提出了基于多模態深度學習的惡意軟件檢測方法，提取了三種模態的特征(dll和api信息、pe格式結構信息和字節碼3-grams)，提出了通過三種融合方式(前端融合、后端融合、中間融合)集成三種模態的特征，有效提高惡意軟件檢測的準確率和魯棒性。實驗結果顯示，相對**且互補的特征視圖和不同深度學習融合機制的使用明顯提高了檢測方法的檢測能力和泛化性能，其中較優的中間融合方法取得了％的準確率，對數損失為，auc值為，各項性能指標已接近**優值。考慮到樣本集可能存在噪聲，本實施例提出的方法已取得了比較理想的結果。由于惡意軟件很難同時偽造多個模態的特征，本實施例提出的方法比單模態特征方法更魯棒。以上所述*為本發明的較佳實施例而已，并非用于限定本發明的保護范圍。數字化轉型中的挑戰與應對：艾策科技的經驗分享。山東省軟件評測

艾策檢測為新能源汽車電池提供安全性能深度解析。山東cma軟件測試

    程序利用windows提供的接口(windowsapi)實現程序的功能。通過一個可執行程序引用的動態鏈接庫(dll)和應用程序接口(api)可以粗略的預測該程序的功能和行為。統計所有樣本的導入節中引用的dll和api的頻率，留下引用頻率**高的60個dll和500個api。提取特征時，每個樣本的導入節里存在選擇出的dll或api，該特征以1表示，不存在則以0表示，提取的560個dll和api特征作為***個特征視圖。提取格式信息特征視圖pe是portableexecutable的縮寫，初衷是希望能開發一個在所有windows平臺上和所有cpu上都可執行的通用文件格式。pe格式文件是封裝windows操作系統加載程序所需的信息和管理可執行代碼的數據結構，數據**是大量的字節碼和數據結構的有機融合。pe文件格式被**為一個線性的數據流，由pe文件頭、節表和節實體組成。惡意軟件或被惡意軟件***的可執行文件，它本身也遵循格式要求的約束，但可能存在以下特定格式異常：(1)代碼從**后一節開始執行；(2)節頭部可疑的屬性；(3)pe可選頭部有效尺寸的值不正確；(4)節之間的“間縫”；(5)可疑的代碼重定向；(6)可疑的代碼節名稱；(7)可疑的頭部***；(8)來自；(9)導入地址表被修改；(10)多個pe頭部；(11)可疑的重定位信息；。山東cma軟件測試