[发明专利]恶意代码可视化及变种检测方法、设备及存储介质

权利要求书

1.一种恶意代码可视化及变种检测方法，其特征在于，所述恶意代码可视化及变种检测方法包括：

在接收到恶意代码检测指令时，基于所述恶意代码检测指令确定待检测的恶意代码，并按照预设转换规则将所述恶意代码转换成一维时间序列信号；

基于预设经验模态分解算法，从所述一维时间序列信号中分离出多个固有模态分量，以基于多个固有模态分量得到所述恶意代码对应的经验模态分解谱，并对所述恶意代码对应的经验模态分解谱进行可视化处理；

使用预设的由模态分解谱样本训练所得的恶意代码分类器，基于所述恶意代码对应的经验模态分解谱对所述恶意代码进行变种检测，以获取所述恶意代码的本源信息；

其中，所述基于预设经验模态分解算法，从所述一维时间序列信号中分离出多个固有模态分量，以基于多个固有模态分量得到所述恶意代码对应的经验模态分解谱的步骤包括：

获取所述一维时间序列信号的局部极值点，并基于所述局部极值点确定首轮迭代中的固有模态分量；

从所述一维时间序列信号中分离出所述固有模态分量，将分离后的一维时间序列信号作为下一轮迭代所需的剩余时间序列信号，并基于所述剩余时间序列信号自适应计算下一轮迭代的固有模态分量；

直至检测到当前轮数迭代中所得的固有模态分量满足预设迭代收敛条件时，结束当前迭代过程，并将各轮迭代所得的多个固有模态分量堆叠成所述恶意代码对应的经验模态分解谱；

所述获取所述一维时间序列信号的局部极值点，并基于所述局部极值点确定首轮迭代中的固有模态分量的步骤包括：

获取所述一维时间序列信号的局部极值点，并对所述局部极值点进行样条插值处理，以得到所述一维时间序列信号对应的上下包络线；

获取所述上下包络线的均值，并计算一维时间信号与所述上下包络线的均值之间的信号差值；

判断所述信号差值是否满足预设固有模态分量条件；

若是，则将所述信号差值作为首轮迭代中的固有模态分量。

2.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述直至检测到当前轮数迭代中所得的固有模态分量满足预设迭代收敛条件时，结束当前迭代过程的步骤包括：

直至检测到当前轮数迭代中所得的固有模态分量为单调函数或常量时，结束当前迭代过程。

3.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述使用预设的由模态分解谱样本训练所得的恶意代码分类器，基于所述恶意代码对应的经验模态分解谱对所述恶意代码进行变种检测，以获取所述恶意代码的本源信息的步骤包括：

将所述恶意代码对应的经验模态分解谱，或从所述恶意代码对应的经验模态分解谱中提取出的时间序列特征输入所述恶意代码分类器；

使用所述恶意代码分类器判断所述恶意代码是否属于已有恶意代码的变种；

若是，则获取并输出所述已有恶意代码的家族信息，以将所述已有恶意代码的家族信息作为所述恶意代码的本源信息；

若否，则将所述恶意代码列为新型恶意代码家族，并生成新型家族信息，以将所述新型家族信息作为所述恶意代码的本源信息。

4.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述在接收到恶意代码检测指令时，基于所述恶意代码检测指令确定待检测的恶意代码，并按照预设转换规则将所述恶意代码转换成一维时间序列信号的步骤包括：

在接收到恶意代码检测指令时，获取所述恶意代码检测指令中包含所述恶意代码的二进制可执行文件，并按照每预设二进制位数对应一无符号整数的转换规则，将所述恶意代码转换为一维整数数组；

将所述一维整数数组按照预设采样规则进行下采样，得到并输出所述一维时间序列信号。