[发明专利]一种基于卷积神经网络的恶意代码分类方法

说明书

本发明公开了一种基于卷积神经网络的恶意代码分类方法，其将恶意代码映射为单通道的信号，然后根据信号处理方法生成信号的语谱图，使用图像缩放算法将语谱图转化为恒定大小的灰度图，最后使用卷积神经网络实现恶意代码的分类。在本发明的方法中，将恶意代码映射为单通道的信号之后再生成相应的语谱图，可以获得所述恶意代码足够多的上下文信息，其不仅反映信号的时域和频域信息，也可以反映信号的局部和全局信息；另外，由于卷积神经网络的局部平移不变性等特性，能够较好获得恶意代码的本质特征，进而有效克服代码重排、垃圾代码插入等情况，提高恶意代码的分类精度。

技术领域

本发明涉及恶意代码分类领域，尤其涉及基于信号分析的恶意代码分类方法。

背景技术

随着互联网的蓬勃发展，恶意代码已经成为威胁互联网安全的主要因素之一，其呈现出高速增长的趋势。恶意代码的静态分析方法是对恶意代码进行分类识别的常用方法之一，现有技术中的静态分析方法包括基于恶意代码图像特征的分析方法，例如Nataraj L等人提出了一种SPAM-GIST恶意代码分类方法(Nataraj L，Manjunath B S.SPAM:SignalProcessing to Analyze Malware[Applications Corner][J].IEEE Signal ProcessingMagazine，2016，33(2):105-117)，其将恶意代码二进制文件映射为图像来描述特征，利用Gabor滤波器多尺度和多方向的特点提取图像的全局特征GIST，并使用此特征表示恶意代码特征，然后使用最近邻算法对恶意代码进行分类。然而，实际应用中使用的恶意代码往往存在变形或垃圾代码插入等的混淆情况，这使得所述基于图像特征的静态分析方法无法有效识别混淆后的恶意代码，进而导致恶意代码的分类精度低。因此，如何获取高效识别混淆后的恶意代码的分析方法是本领域技术人员需要解决的问题。

发明内容

本发明提供了一种基于卷积神经网络的恶意代码分类方法，解决现有技术中的恶意代码分类技术无法有效识别混淆的恶意代码，进而导致恶意代码分类的精度低的问题。

为解决上述技术问题，本发明采用的一个技术方案是提供一种基于卷积神经网络的恶意代码分类方法，包括步骤：信号映射，将所述恶意代码的二进制文件映射为音频信号文件；语谱图生成，利用所述音频信号文件可视化生成所述恶意代码的语谱图；尺寸变更，使用图像插值方法将所述语谱图变更为尺寸固定的图像；代码分类，将尺寸变更后的图像输入所述卷积神经网络以对所述恶意代码进行分类。

在本发明基于卷积神经网络的恶意代码分类方法另一实施例中，在所述信号映射中，读取8bit为一个无符号整型以将所述恶意代码的二进制文件转化为一维数组，然后将所述一维数组映射为音频信号文件。

在本发明基于卷积神经网络的恶意代码分类方法另一实施例中，将所述一维数组映射为音频信号文件时，设置声道数为1，取样频率为44.1kHz，量化位数为4byte。

在本发明基于卷积神经网络的恶意代码分类方法另一实施例中，读取8bit为一个无符号整型以将所述恶意代码的二进制文件转化为一维数组之后进一步包括：使用长度为128的窗口无重叠的扫描所述一维数组，计算窗口中数据的信息熵，如果所述信息熵为0，则将窗口中的数据舍弃。

在本发明基于卷积神经网络的恶意代码分类方法另一实施例中，所述信息熵为：其中，p_k为窗口中数字k出现的概率。

在本发明基于卷积神经网络的恶意代码分类方法另一实施例中，所述音频信号文件为WAV文件。