[发明专利]一种优化特征提取的恶意软件分类方法

说明书

本发明属于信息安全领域，具体涉及一种优化特征提取的恶意软件分类方法。本发明优化了恶意软件的提取方式并且以深度学习中的卷积神经网络为主要分类器。单一的静态特征无法全面地体现恶意软件的特征，比如灰度图仅能表示恶意软件的整体轮廓，API调用图仅能表示恶意软件的控制结构。针对以上问题，本发明方法提取了这两种特征，并且将这两种特征组合成一张双通道图片特征矩阵作为卷积神经网络的输入，这样既可以将恶意软件的整体轮廓表现出来，也可以将恶意软件可能执行的流程完整的表现出来。本发明方法有效地解决了样本特征提取时不能完整体现恶意软件本身的情况，并且具有较好的分类效果。

技术领域

本发明属于信息安全领域，具体涉及一种优化特征提取的恶意软件分类方法。

背景技术

恶意软件是指各种形式的恶意或者入侵软件，例如计算机病毒、蠕虫、间谍软件、木马、广告软件等。这些恶意软件通常以可执行程序、脚本等形式存在。在计算机系统安全领域，一个重要问题是进行恶意软件的检测与识别，以便能在恶意软件运行之前将其清除，避免给计算机系统造成破坏或者给用户造成损失。不仅仅黑帽黑客或者其他怀有恶意的软件作者，即使是信用良好的供应商提供的软件也可能包含恶意代码。比如索尼曾经在其出售的唱片中植入了Rootkit。这是一种特洛伊木马，它静默安装并隐藏在购买者的计算机上，目的是防止唱片被非法复制。它还收集用户的聆听习惯，并无意中创建了可以被其他恶意软件所利用的漏洞。

恶意软件检测现今面临的主要挑战是需要对大量有潜在恶意目的的数据和文件进行评估。例如，微软的实时检测反恶意软件产品部署在全球超过1.6亿台计算机上，每天会产生数千万个数据点，需要作为潜在的恶意软件进行分析。传统的反病毒和恶意软件检测产品通常使用特征值扫描技术，这种方法有很大的局限性。越来越多的恶意软件通过加密、混淆或者打包等方法躲避基于特征值的检测，这给传统的恶意软件分析和检测方法带来挑战。恶意软件检测问题可以通过分类良性软件和恶意软件来解决，因此，研究高效的恶意软件分类方法对恶意软件分析技术具有极为重要的意义。

然而，传统的恶意软件检测方法通常使用数字签名技术，在应对恶意软件数量激增的情况时存在一定的局限性。同时，越来越多的恶意软件通过混淆或打包等技术避免基于签名方法的检测。因此，需要研究一种高效的恶意软件检测方法评估和识别存在恶意行为的恶意软件。

发明内容

针对上述背景技术中存在的问题，本发明的目的在于提出一种基于深度学习的优化特征提取的恶意软件分类方法，是一种提高恶意软件分类准确率的方法，是一种优化恶意软件特征提取并用卷积神经网络分类的高效分类方法。

本发明的目的是这样实现的：

一种优化特征提取的恶意软件分类方法，包括以下步骤：

(1)原始数据特征处理，建立恶意代码的整体API调用图存储在邻接矩阵数据结构中；

(2)将原始恶意软件二进制文件样本转化为十六进制流格式，将恶意软件二进制文件转化为灰度图特征矩阵；

(3)将API调用图矩阵作为一个像素通道，将灰度图矩阵作为一个像素通道，如果这两个矩阵大小不同，则将小的那个矩阵的左边界和上边界与大矩阵对齐，其余位置上补0，然后合并为双通道特征图作为卷积神经网络的输入；

(4)原始数据集中的样本都带有标签，首先将所有样本的特征矩阵每一行进行随机乱序排列，根据乱序排列数组，将标签对应追加到样本矩阵的最后一列，这样就完成了带有标签的样本乱序处理，再将所有样本进行数据集拆分，一部分作为训练样本，其余的作为测试样本，再对训练样本做交叉验证，将训练样本分成k分并且编号，取k-1份组合数据集作为训练样本，剩下1份作为验证数据集；