[发明专利]一种基于卷积神经网络的恶意代码分类方法

权利要求书

1.一种基于卷积神经网络的恶意代码分类方法，其特征在于，包括步骤：

信号映射，将所述恶意代码的二进制文件映射为音频信号文件；

在所述信号映射中，读取8bit为一个无符号整型以将所述恶意代码的二进制文件转化为一维数组，然后将所述一维数组映射为音频信号文件；

语谱图生成，利用所述音频信号文件可视化生成所述恶意代码的语谱图；

尺寸变更，使用图像插值方法将所述语谱图变更为尺寸固定的图像；

代码分类，将尺寸变更后的图像输入所述卷积神经网络以对所述恶意代码进行分类。

2.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，将所述一维数组映射为音频信号文件时，设置声道数为1，取样频率为44.1kHz，量化位数为4byte。

3.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，读取8bit为一个无符号整型以将所述恶意代码的二进制文件转化为一维数组之后进一步包括：使用长度为128的窗口无重叠的扫描所述一维数组，计算窗口中数据的信息熵，如果所述信息熵为0，则将窗口中的数据舍弃。

4.根据权利要求3所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述信息熵为：其中，p_k为窗口中数字k出现的概率。

5.根据权利要求1-4中任一项所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述音频信号文件为WAV文件。

6.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述语谱图生成包括：

(1)对所述恶意代码的音频信号文件进行分帧、加窗及离散傅里叶变换处理，即其中，s(n)为所述恶意代码的音频信号文件，N为窗口大小，和所述音频信号进行分帧时的帧长相同，w(n)为矩形窗函数，X为s(n)的傅里叶系数；

(2)计算所述恶意代码的音频信号文件的对数振幅谱A(n,k)，其中A(n,k)＝10log10(|X(n,k)|+e^-1)；

(3)对所述对数振幅谱A(n,k)进行灰度级变换：其中A_max(n,k)表示语谱图灰度级的最大值；

(4)将所述G(n,k)保存为单通道的PNG图像以获取所述恶意代码的语谱图灰度图像。

7.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述图像插值方法为双三次插值算法：

其中，(x,y)为语谱图中待插值的像素点，(x_i,y_j)(i,j＝0,1,2,3)为该像素点4*4邻域点，w(x)为插值基函数：

其中，a＝0.5。

8.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述卷积神经网络中的卷积层和全连层的非线性激活函数包括Relu函数、Leakly Relu函数或者ELU函数。

9.根据权利要求1所述的基于卷积神经网络的恶意代码分类方法，其特征在于，所述尺寸变更中，将所述语谱图变更为尺寸固定的128*128*1图像。