[发明专利]一种基于轻量级深度网络模型的计算机病毒检测方法

权利要求书

1.一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，具体包括如下步骤：

步骤一：对待检测的文件进行预处理；

步骤二：将预处理后的文件映射为可视化的二进制灰度图像并计算灰度共生矩阵；

步骤三：将得到的灰度共生矩阵输入到SqueezeNet网络结构中进行检测识别。

2.根据权利要求1所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，所述步骤一的预处理包括对待检测的文件进行查壳，如果查到待检测的文件进行了加壳，对加壳的待检测文件进行脱壳。

3.根据权利要求1所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，步骤二具体包括如下步骤：

步骤2.1：将预处理后的文件映射为灰度图像；

步骤2.2：提取灰度图像中的灰度共生矩阵。

4.根据权利要求3所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，步骤2.1具有包括如下步骤：

步骤2.1.1：将预处理后的文件作为可执行二进制文件；

步骤2.1.2：以每8位为一组将所述二进制文件转换成一个无符号的整数，所述整数的取值范围为0-255，设定固定的行宽，将所述整数生成为一个二维数组；

步骤2.1.3：将所述二维数组映射为一个灰度图像，其中所述二维数组中的每个元素对应图像中的一个像素值。

5.根据权利要求3所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，步骤2.2具体包括如下步骤：

步骤2.2.1：取所述灰度图像中任意一像素点i，其位置为(x，y)、该点的灰度值记为g_i，另取偏离i点的另一像素点j，其位置为(x+Δx,y+Δy)、该点灰度值记为g_j，则该像素对的灰度值为(g_i,g_j)；

步骤2.2.2：令点i在整个画面上移动，点j保持与点i之间的空间关系随之移动，得到多个像素对的灰度值(g_i,g_j)，其中g_i和g_j的取值范围为0-255，即，g_i和g_j有256种取值，则(g_i,g_j)的组合共有256*256种可能；

步骤2.2.3：统计出所述灰度图像中每一种(g_i,g_j)组合值出现的次数，然后排列成一个256*256的方阵A，方阵A的元素对应的是一种(g_i,g_j)出现的总的次数；

步骤2.2.4将方阵A里的每一元素除以(g_i,g_j)所有组合出现的总次数之和，将方阵里的每个元素归一化为出现的概率p(g_i,g_j)，得到灰度共生矩阵G，所述灰度共生矩阵G表示的是所述灰度图像中满足(i，j)两点相对空间位置关系的两点灰度值出现的联合概率分布，可用如下公式来表示：

其中S表示一张图片中满足(i，j)两点空间位置关系的两点的集合，N{…}表示集合中的点对的数目。

6.根据权利要求5所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，所述灰度共生矩阵选取水平灰度共生矩阵、垂直灰度共生矩、45度灰度共生矩阵和135度灰度共生矩阵，将这四个度灰度共生矩阵的平均值作为最终的度灰度共生矩阵。

7.根据权利要求1述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，SqueezeNet网络结构中的卷积操作采用深度可分离卷积对卷积操作进行优化。

8.根据权利要求7所述的一种基于轻量级深度网络模型的计算机病毒检测方法，其特征在于，SqueezeNet网络结构将的最后一层卷积层采用基于多分支膨胀卷积结构的特征增强结构，所述膨胀卷积结构的膨胀比率采用1、3、5，并将这三种比率膨胀卷积结构进行通道融合，并采用残差单元的方式进行连接。