[发明专利]一种优化特征提取的恶意软件分类方法

权利要求书

1.一种优化特征提取的恶意软件分类方法，其特征在于，包括以下步骤：

(1)原始数据特征处理，建立恶意代码的整体API调用图存储在邻接矩阵数据结构中；

(2)将原始恶意软件二进制文件样本转化为十六进制流格式，将恶意软件二进制文件转化为灰度图特征矩阵；

(3)将API调用图矩阵作为一个像素通道，将灰度图矩阵作为一个像素通道，如果这两个矩阵大小不同，则将小的那个矩阵的左边界和上边界与大矩阵对齐，其余位置上补0，然后合并为双通道特征图作为卷积神经网络的输入；

(4)原始数据集中的样本都带有标签，首先将所有样本的特征矩阵每一行进行随机乱序排列，根据乱序排列数组，将标签对应追加到样本矩阵的最后一列，这样就完成了带有标签的样本乱序处理，再将所有样本进行数据集拆分，一部分作为训练样本，其余的作为测试样本，再对训练样本做交叉验证，将训练样本分成k份并且编号，取k-1份组合数据集作为训练样本，剩下1份作为验证数据集；

(5)将k-1份数据中的每个样本都做双通道卷积处理，得到每个样本对应的特征图，再将特征图做最大池化处理，得到新的特征图，将新的特征图全连接并且输入到神经网络中，得到分类结果，将输出的分类结果和原始标签值代入交叉熵损失函数并利用反向传播算法多次迭代求出最佳的卷积核矩阵和最佳的神经网络权重矩阵，k次交叉验证后得到k个模型；

(6)将测试数据集输入到交叉验证得到的k个模型当中，每个模型都给出样本的分类结果，最终投票得到样本的最终分类结果。

2.根据权利要求1所述的一种优化特征提取的恶意软件分类方法，其特征在于，原始数据特征处理包括以下过程：用IDApro反汇编所有恶意软件样本，恶意代码的二进制文件经过反汇编得到其对应的汇编代码，将汇编代码按照基本块进行划分，分别扫描每个基本块，选取包含call指令的语句以及包含跳转指令的语句，包括jz、jmp、jnz，call指令调用的函数分为两类，自定义函数和API，如果调用目标为自定义函数，则进入该自定义函数内部，继续扫描其内部汇编语句，筛选其内部API，筛选结束后，根据API执行的先后顺序和跳转指令的跳转结构，将不同函数以及不同基本块中API连接，建立恶意代码的整体API调用图存储在邻接矩阵数据结构中。