(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111671081.4 (22)申请日 2021.12.31 (71)申请人 淮阴工学院 地址 223005 江苏省淮安市经济技 术开发 区枚乘东路1号 申请人 南京百敖软件 有限公司 　 江苏卓易信息科技股份有限公司 (72)发明人 李翔　张豪杰　赵建洋　谢乾　 汪涛　周国栋　陈礼青　寇海洲　 高尚兵　束玮　张宁　丁婧娴　 (74)专利代理 机构 淮安市科文知识产权事务所 32223 代理人 李锋 (51)Int.Cl. G06F 21/56(2013.01)G06V 10/44(2022.01) G06V 10/46(2022.01) G06V 10/82(2022.01) G06V 10/80(2022.01) G06V 10/50(2022.01) G06V 10/764(2022.01) G06V 10/762(2022.01) G06F 40/30(2020.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 基于双重嵌入与模型剪枝的BIOS恶意程序 检测方法及装置 (57)摘要 本发明公开了一种基于双重嵌入与模型剪 枝的BIOS恶意程序检测方法及装置。 首先读取 BIOS镜像文件构建原始数据集， 并对原始数据集 做二进制转译处理； 然后利用B2M算法将转译后 的数据集转换为二维矩阵， 使程序文件映射成无 压缩灰度图像提取特征； 接着将原始数据集输入 拥有6层Transformer的Bert剪枝模型， 并在 Transformer后跨层串联小规模TextCNN， 引入 不 确定度， 用于提前输出简单程序； 最后将BIOS程 序的图像向量与文本向量拼接， 基于融合后的向 量输出程序检测结果。 该发明方法使用文本和灰 度图像的双重嵌入进行特征拓展可以有效对抗 BIOS程序中变种病毒， 同时剪枝后的深度学习模 型能够提高程序检测效率， 使其在实际场景中更 好的应用。 权利要求书3页 说明书7页 附图4页 CN 114329472 A 2022.04.12 CN 114329472 A 1.基于双重嵌入与模型剪枝BIOS恶意 程序检测方法， 其特 征在于， 包括如下步骤： 步骤1： 读取BIOS镜像文件， 构建BIOS程序原始数据集D1， 数据清洗后将其做二进制转 译处理获得数据集D2； 步骤2： 利用B2M算法将数据 集D2转换为未压缩灰度图像， 并提取LBP纹理以及BoVW词袋 模型表示的SIFT特 征， 拼接后输入SVM分类 器； 步骤3： 将BIOS程序清洗后数据集D1 ′输入Bert模型的emdedding层， 结合token信息， segment信息， positi on信息获得包 含程序结构与语义的向量； 步骤4： 将获得的向量序列输入剪枝后的6层Transformer， 并在Transformer后跨层串 联小规模TextCN N用于提前输出简单样本； 步骤5： 将BIOS程序数据集图像向量与文本向量融合， 基于融合后的向量输出程序检测 结果。 2.根据权利要求1所述的基于双重嵌入与模型剪枝BIOS恶意程序检测方法， 其特征在 于， 所述步骤1的具体方法为： 步骤1.1： 读取BIOS镜像文件， 获得待清洗数据， 定义BIOS镜像程序数据集为D1， D1＝ {d1， d2， d2…dn}， dn为第n个待清洗的数据； 步骤1.2： 对数据集D1进行 数据清洗得到数据集D1 ′； 步骤1.3： 对清洗后的数据集D1 ′进行二进制转译处理， 得到数据集D2， D2 ＝{Doc1， Doc2， Doc3…DocN}， 其中DocN为第N个待处 理数据。 3.根据权利要求1所述的基于双重嵌入与模型剪枝BIOS恶意程序检测方法， 其特征在 于， 所述步骤2的具体方法为： 步骤2.1： 读取BIOS数据集D2中的二进制文件， 8bit一组转为无符号整型， 取值区间在 (0， 255)， 转化为一维数组A1； 步骤2.2： 定义二维数组A2， 设置 固定宽度width， width＝2n， 取一维数组A1数值作为A2 的元素， 得到固定 宽度矩阵M1； 步骤2.3： 将固定 宽度的二维矩阵转储为灰度图像G； 步骤2.4： 将提取的整个SIFT特 征进行K‑means聚类得到k个聚类中心作为视 觉单词表； 步骤2.5： 将图像以单词表为规范， 对每一个SIFT特征点计算它与单词 表中每个单词的 距离； 步骤2.6： 得到图像的特征向量f， 获得数据集向量序列F＝{f1， f2， f3…flen(D2)}， 定义len (D2)为数据集D2长度； 步骤2.7： 计算BIOS程序图像的LBP特 征图像， 并进行分块处 理； 步骤2.8： 计算每块区域特 征图像的直方图， 并进行归一 化； 步骤2.9： 每块区域特 征图像的直方图按分块的空间顺序排列， 得到LBP特 征向量u； 步骤2.10： 获得 数据集LBP特征向量序列U＝{u1， u2， u3…ulen(D2)}。 步骤2.11： 将LBP特征向量与SIFT特征向量拼接， 输入SVM分类器， 输出向量序列R＝{r1， r2， r3…rlen(D2)}。 4.根据权利要求1所述的基于双重嵌入与模型剪枝BIOS恶意程序检测方法， 其特征在 于， 所述步骤3的具体方法为： 步骤3.1： 处理BIOS程序清洗后的数据集D1 ′， 定义数据集Text＝{t1， t2， t3…tlen(D1′)}，权　利　要　求　书 1/3 页 2 CN 114329472 A 2tj＝{label， dj}， j＜len(D1 ′)， dj∈D1′， len(D1′)为数据集D1 ′长度， label为BI OS程序数据 集标签； 步骤3.2： 定义循环变量i， 循环遍历Text数据集， 赋予变量i初始值为1， 定义len(Si)为 第i个数据长度， 定义 len(Text)为数据集长度， 统一固定文本 长度len_max； 步骤3.3： 如果 i＜len(Text)则跳转至步骤3.4， 否则跳转至步骤3.12； 步骤3.4： 如果len(Si)+2≤len_max则对序列进行补零， 否则对其进行截断， 使其统一固 定长度； 步骤3.5： 获取新的序列Ti， 长度定义 为len(Ti)； 步骤3.6： 输入token  embedding层， segment  embedding层与position  embedding层， 获取向量v1， v2与v3， 定义循环变量 Na且赋初值 为1； 步骤3.7： 如果 Na＜len(Ti)则跳转至步骤3.8， 否则跳转至步骤3.10； 步骤3.8： 定义向量V(Na)＝v1+v2+v3； 步骤3.9： Na＝ Na+1， 跳转至步骤3.7； 步骤3.10： 得到向量yi＝{V1， V2， V3…V(len_max)}； 步骤3.11： i＝i+1， 跳转至步骤3.3； 步骤3.12： 输出最终向量序列Y＝{y1， y2， y3…ylen(Text)}。 5.根据权利要求1所述的基于双重嵌入与模型剪枝BIOS恶意程序检测方法， 其特征在 于， 所述步骤4的具体方法为： 步骤4.1： 构建6层Transformer的Ber t剪枝模型， 传入向量序列Y； 步骤4.2： 定义循环变量j， j赋初值 为1， 定义阈值指标Spe ed和不确定度Uncer tainty； 步骤4.3： 如果j＜len(Y)则跳转至步骤4.4， 否则跳转至步骤4.10； 步骤4.4： 将向量yj传入Transformer层， yj∈Y， 定义循环变量 i， i≤3， i赋初值 为1； 步骤4.5： 如果循环变量 i＜3， 则执 行步骤4.5.1 ‑4.5.3， 否则跳转至步骤4.7； 步骤4.5.1： 在第2i层Transformer层输出向量Pt， 在第2i层Transformer串联小规模 TextCNN， 将向量Pt输入TextCN N网络； 步骤4.5.2： 通过 卷积神经网络的卷积层， 池化层， Softmax层输出 预测向量Ps； 步骤4.5.3： 计算不确定度 如果Uncertaint y＞Speed， 传 入下一层Transformer， 跳转至步骤4.6， 否则输出向量Ps； 步骤4.6： i ＝i+1， 跳转至步骤4.5； 步骤4.7： 最后一层Transformer层输出向量Pt， 经 过卷积神经网络 输出向量Ps； 步骤4.8： j＝j+1， 跳转至步骤4.3； 步骤4.9： 输出全部向量序列H＝{Ps1， Ps2， Ps3…Pslen(Y)}。 6.根据权利要求1所述的基于双重嵌入与模型剪枝BIOS恶意程序检测方法， 其特征在 于， 所述步骤5的具体方法为： 步骤5.1： 拼接向量序列R与H， 定义变量i， Psi表示向量序列H第i个向量， ri表示向量序 列R第i个向量；权　利　要　求　书 2/3 页 3 CN 114329472 A 3