[发明专利]基于API分组重构与图像表示的恶意软件检测方法

权利要求书

1.一种基于API分组重构与图像表示的恶意软件检测方法，其特征在于，步骤如下：

S1、对API按编号分组：在软件运行期间调用的API指令序列数据集中统计API种类；将单个软件调用的API按照API种类聚合，以将原始的API调用序列转换为若干个API分组；

S2、重构API分组：按照单个软件运行期间对API种类的首次调用顺序，将由步骤S1得到的若干个API组进行重新排序，得到重构的API指令序列；

S3、提取恶意软件特征：基于由步骤S2得到的API指令重构序列，依次提取得到API编号特征列表ListAC、API贡献度特征列表ListAD和API顺序索引特征列表ListAS，并通过依次对各列表进行标准化和零填充，得到满足预生成API特征图像的通道尺寸要求的列表；其中，API组内的API条目数为该API组内各API的API贡献度；

S4、API特征图像生成：设定API特征图像为RGB图像并确定通道尺寸；设定API特征图像的填充顺序为：将特征数组的各数据项依次地自各通道中第一行第一列的首个像素开始，由左至右依次填充充满后，再由上至下采用相同方式对通道内每行像素进行填充；将由步骤S3得到的API编号特征数组ArrayAC、API贡献度特征数组ArrayAD和API顺序索引特征数组ArrayAS分别填充至API特征图像的R通道、G通道和B通道；

S5、图像样本扩充：分别采用图像亮度增强方法、图像锐度增强方法和图像水平翻转方法，将由步骤S4生成的API特征图像转换为高亮度API特征图像、高锐度API特征图像和水平翻转API特征图像；

S6、构建实现图像分类的轻量型恶意软件特征图像卷积神经网络：

1)该网络由依次连接的第一卷积层、ReLU激活函数、第一最大池化层、第二卷积层、ReLU激活函数、第二最大池化层、第三卷积层、ReLU激活函数、第三最大池化层、第四卷积层、ReLU激活函数、第四最大池化层、第五卷积层、ReLU激活函数、第五最大池化层、第一全连接层、ReLU激活函数、第一Droupout层、第二全连接层、ReLU激活函数、第二Droupout层、第三全连接层、ReLU激活函数、第三Droupout层和第四全连接层构成；其中，第一卷积层的输入通道数为3、输出通道数为32，其卷积核大小为5×5；第一最大池化层的滑动窗口大小为2×2，滑动步长为1；第二卷积层的输入通道数为32、输出通道数为32，其卷积核大小为5×5；第二最大池化层的滑动窗口大小为2×2，滑动步长为1；第三卷积层的输入通道数为32、输出通道数为64，其卷积核大小为5×5；第三最大池化层的滑动窗口大小为2×2，滑动步长为1；第四卷积层的输入通道数为64、输出通道数为64，其卷积核大小为5×5；第四最大池化层的滑动窗口大小为2×2，滑动步长为1；第五卷积层的输入通道数为64、输出通道数为64，其卷积核大小为5×5；第五最大池化层的滑动窗口大小为2×2，滑动步长为1；第一全连接层的输入数据大小为576、输出数据大小为288；第二全连接层的输入数据大小为288，输出数据大小为144；第三全连接层的输入数据大小为144，输出数据大小为N；第四全连接层的输入数据大小为N，输出数据大小为1；其中，在第三全连接层和第四全连接层中，N为训练中涉及的实际软件类别数量；

2)全部API特征图像按照7:3随机划分为训练集和测试集；采用训练集输入至轻量型恶意软件特征图像卷积神经网络MficNN中，并以API特征图像为输入、API特征图像对应软件的软件类别标签为输出，对网络进行训练；采用测试集对完成训练的网络进行测试；其中，软件类别标签为用于对良性软件和不同类别恶性软件进行分类的自定义标签。

2.根据权利要求1所述的基于API分组重构与图像表示的恶意软件检测方法，其特征在于，步骤S1的具体实施方式为：

S101、根据软件运行期间调用的API指令序列数据集，以API的名称，统计API种类，并使用从0开始的连续正整数对API种类进行编号；

S102、对单个软件运行期间调用的全部API按照API的种类聚类，划分为若干个API组，并记为ABlock_i；其中，i表示该API组对应API种类编号；每个API组中的各API按照原始调用顺序排列。