(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210561421.6 (22)申请日 2022.05.23 (71)申请人 国网宁夏电力有限公司电力科 学研 究院 地址 750001 宁夏回族自治区银川市黄河 东路716号 申请人 北京邮电大 学 (72)发明人 李晓龙　李祺　王峰　李兴华　 张庆平　朱东歌　张爽　闫振华　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 宋教花 (51)Int.Cl. G06F 21/56(2013.01) G06V 10/44(2022.01)G06V 10/764(2022.01) G06V 10/80(2022.01) G06V 10/82(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 多模态融合图卷积网络训练、 恶意软件分类 方法及装置 (57)摘要 本申请提供一种多模态融合图卷积网络训 练、 恶意软件分类方法及装置， 训练方法包括： 自 历史恶意软件中提取图像化特征和静态统计特 征； 对图像化特征进行编码以降低特征空间维 度， 根据静态统计特征和编码后的图像化特征构 建拓扑结构图和特征结构图； 采用拓扑结构图和 特征结构图训练预设的 图卷积网络， 得到用于进 行恶意软件家族分类的自适应性的多模态融合 图卷积网络。 本申请能够提高节 点特征和拓扑结 构融合的有效性及可靠性， 训练得到用于进行恶 意软件家族分类的自适应性的多模态融合图卷 积网络， 进而能够提高后续采用该训练得到的自 适应性的多模态融合图卷积网络进行恶意软件 家族分类的图卷积网络训练的准确性及有效性。 权利要求书3页 说明书13页 附图2页 CN 115062302 A 2022.09.16 CN 115062302 A 1.一种多模态融合图卷积网络训练方法， 其特 征在于， 包括： 自历史恶意软件数据中分别提取各个历史恶意软件各自对应的图像化特征和静态统 计特征； 对各个所述图像化特征分别进行编码以降低特征空间维度， 并根据编码后的各个图像 化特征和各个所述静态统计特征分别构建各个所述历史恶意软件分别对应的拓扑结构图 和特征结构图； 采用各个所述历史恶意软件分别对应的拓扑结构图和特征结构图训练预设的图卷积 网络， 使得所述拓扑结构图和特征结构图在所述图卷积网络进行自适应性的多模态融合， 以得到用于进行恶意软件家族分类的自适应的多模态融合图卷积网络 。 2.根据权利要求1所述的多模态融合图卷积网络训练方法， 其特征在于， 所述采用各个 所述历史恶意软件分别对应的拓扑结构图和特征结构图训练预设的图卷积网络， 使得所述 拓扑结构图和特征结构图在所述图卷积网络进行自适应的多模态融合， 以得到用于进 行恶 意软件家族分类的自适应的多模态融合图卷积网络， 包括： 将所述拓扑结构图输入预设的图卷积网络对应的拓扑卷积模块中， 以自对应的拓扑空 间中训练得到所述拓扑 结构图对应的节点嵌入； 以及， 将所述特征结构图输入所述图卷积网络对应的特征卷积模块中， 以自对应的特 征空间中训练得到所述特 征结构图对应的节点嵌入； 分别将所述拓扑结构图和所述特征结构图输入所述图卷积网络对应的通用卷积模块 中， 以得所述拓扑空间和所述特 征空间的共同嵌入； 基于所述拓扑结构图对应的节点嵌入、 所述特征结构图对应的节点嵌入和所述共同嵌 入， 学习得到的用于进行恶意软件家族分类的节点嵌入， 以完成自适应的多模态融合图卷 积网络的训练。 3.根据权利要求2所述的多模态融合图卷积网络训练方法， 其特征在于， 所述基于所述 拓扑结构图对应的节 点嵌入、 所述特征结构图对应的节点嵌入和所述共同嵌入进 行学习得 到的用于进行恶意软件家族分类的节点嵌入， 包括： 基于注意力 机制分别学习得到所述拓扑结构图对应的节点嵌入、 所述特征结构图对应 的节点嵌入和所述共同嵌入各自对应的重要性权 重； 根据所述拓扑结构图对应的节点嵌入、 所述特征结构图对应的节点嵌入和所述共同嵌 入及各自对应的重要性权 重， 学习得到的用于进行恶意软件家族分类的节点嵌入。 4.根据权利要求1所述的多模态融合图卷积网络训练方法， 其特征在于， 其特征在于， 所述自历史恶意软件数据中分别提取各个历史恶意软件各自对应的图像化特征和静态统 计特征， 包括： 基于预设的静态批处理方式自历史恶意软件数据中分别处理各个历史恶意软件各自 对应的PE文件， 以生成各个历史恶意软件各自对应的BYTE文件和ASM文件； 分别从各个所述BYTE文件和各个所述ASM文件中提取对应的历史恶意软件的图像化特 征和静态统计特 征。 5.根据权利要求1至4任一项所述的多模态融合图卷积网络训练方法， 其特征在于， 其 特征在于， 所述对各个所述图像化特征分别进行编码以降低特征空间维度， 并根据编码后 的各个图像化特征和各个所述静态统计特征分别构建各个所述历史恶意软件分别对应的权　利　要　求　书 1/3 页 2 CN 115062302 A 2拓扑结构图和特 征结构图， 包括： 基于手写字体识别 模型LeNet对所述各个所述历史恶意软件分别对应的拓扑结构图分 别进行编码， 以降低各个所述拓扑 结构图的特 征空间维度； 根据编码后的各个图像化特征和各个所述静态统计特征， 基于Cosine相似度计算得到 各个所述历史恶意软件分别对应的相似度 矩阵， 以及各个所述相似度 矩阵各自对应的邻接 矩阵； 基于各个所述历史恶意软件分别对应的所述邻接矩阵分别构建各个所述历史恶意软 件各自对应的拓扑 结构图和特 征结构图。 6.一种恶意软件分类方法， 其特 征在于， 包括： 接收目标恶意软件数据； 自所述目标恶意软件数据中提取目标恶意软件对应的目标图像化特征和目标静态统 计特征； 对所述目标图像化特征进行编码以降低特征空间维度， 并根据编码后的目标图像化特 征和所述目标静态统计特 征构建所述目标恶意软件的目标拓扑 结构图和目标 特征结构图； 将所述目标拓扑结构图和目标特征结构图输入预设的自适应的多模态融合图卷积网 络， 并基于该自适应的多模态融合图卷积网络的输出， 确定所述 目标恶意软件所属的家族 类型。 7.根据权利要求6所述的恶意软件分类方法， 其特征在于， 所述将所述目标拓扑结构图 和目标特征结构图输入预设的自适应的多模态融合图卷积网络， 包括： 将所述目标拓扑结构图输入预设的自适应的多模态融合图卷积网络对应的拓扑卷积 模块中， 以自对应的拓扑空间中训练得到所述目标拓扑 结构图对应的节点嵌入； 以及， 将所述目标特征结构图输入所述自适应的多模态融合图卷积网络对应的特征卷 积模块中， 以自对应的特 征空间中训练得到所述目标 特征结构图对应的节点嵌入； 分别将所述目标拓扑结构图和所述目标特征结构图输入所述自适应的多模态融合图 卷积网络对应的通用卷积模块中， 以得 所述拓扑空间和所述特 征空间的共同嵌入； 基于所述目标拓扑结构图对应的节点嵌入、 所述目标特征结构图对应的节点嵌入和所 述共同嵌入， 使得所述自适应的多模态融合图卷积网络输出用于进行恶意软件家族分类的 节点嵌入。 8.一种多模态融合图卷积网络训练装置， 其特 征在于， 包括： 特征提取模块， 用于自历史恶意软件数据中分别提取各个历史恶意软件各自对应的图 像化特征和静态统计特 征； 结构图构建模块， 用于对各个所述图像化特征分别进行编码以降低特征空间维度， 并 根据编码后的各个图像化特征和各个所述静态统计特征分别构建各个所述历史恶意软件 分别对应的拓扑 结构图和特 征结构图； 多模态融合训练模块， 用于采用各个所述历史恶意软件分别对应的拓扑结构图和特征 结构图训练预设的图卷积网络， 使得所述拓扑结构图和特征结构图在所述图卷积网络进 行 自适应的多模态融合， 以得到用于进 行恶意软件家族分类的自适应的多模态融合图卷积网 络。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算权　利　要　求　书 2/3 页 3 CN 115062302 A 3