[发明专利]基于API分组重构与图像表示的恶意软件检测方法

说明书

本发明公开了一种基于API分组重构与图像表示的恶意软件检测方法，其通过对恶意软件运行期间调用的API指令序列进行重构和特征提取，生成能够表示恶意软件特征的API特征图像，并经由自主构建轻量型恶意软件特征图像卷积神经网络对恶意软件特征图像进行检测，得到软件分类结果。因此，与现有其他恶意软件检测方法相比，该方法的多维度的特征包含丰富的语义信息提取，有助于从全局、局部、时序角度反映恶意软件的行为，有效提升恶意软件检测的准确率；而其中所采用的自主构建的轻量型恶意软件特征图像卷积神经网络，相对于其他图像检测网络，能够更快速、准确地对恶意软件特征图像进行检测，实现高效、精准地检测得到恶意软件类别。

技术领域

本发明涉及网络信息安全技术领域，特别涉及一种基于API分组重构与图像表示的恶意软件检测方法。

背景技术

网络与信息系统运行环境日趋复杂，恶意软件随之不断涌现，对企业和个人造成巨大损害。恶意软件为躲避检测，凭借多态或变形等手段在传播过程中不断变化，逐渐呈现出数量多、传播迅速、难以检测等特点。

目前，恶意软件检测技术通常使用传统的静态分析与动态分析方法；其中，多数动态分析方法受执行环境约束，部分恶意软件通过隐藏文件逃避追踪，过程耗时较长且容易出错；而静态分析方法依赖于人工提取特征，安全性较差，效率较低。此外，网络攻防技术不断发展，恶意软件通常融合多种恶意攻击技术，检测复杂性上升，易使传统恶意软件检测方法失效。

随着深度学习在图像检测领域的不断发展，网络安全研究人员开始利用融合图像表示技术对恶意软件自动化检测，以达到基于图像表示的恶意软件检测方法可以避免人为因素的干扰的目的。现有图像融合方法大多基于单通道灰度图，包含特征类别较少，较难全面反映恶意软件的特征；而三通道RGB图像则能够实现容纳较多特征维度的目的，进一步提高检测准确率和分析效率。

在目前的操作系统中，绝大部分功能均通过调用应用程序接口(ApplicationProgram Interface,API)实现，恶意软件要实现其目的，就需要调用API。由于API是程序与操作系统的接口，API函数的调用信息反映软件行为，因此，可以从恶意软件运行时调用的API指令序列中获取恶意软件的特征，基于API调用信息进行图像融合以检测恶意软件尤为重要。

发明内容

本发明的目的是提供一种解决上述技术问题的基于API分组重构与图像表示的恶意软件检测方法。

为此，本发明技术方案如下：

一种基于API分组重构与图像表示的恶意软件检测方法，1、一种基于API分组重构与图像表示的恶意软件检测方法，其特征在于，步骤如下：

S1、对API按编号分组：在软件运行期间调用的API指令序列数据集中统计API种类；将单个软件调用的API按照API种类聚合，以将原始的API调用序列转换为若干个API分组；

S2、重构API分组：按照单个软件运行期间对API种类的首次调用顺序，将由步骤S1得到的若干个API组进行重新排序，得到重构的API指令序列；

S3、提取恶意软件特征：基于由步骤S2得到的API指令重构序列，依次提取得到API编号特征列表ListAC、API贡献度特征列表ListAD和API顺序索引特征列表ListAS，并通过依次对各列表进行标准化和零填充，得到满足预生成API特征图像的通道尺寸要求的列表；其中，API组内的API条目数为该API组内各API的API贡献度；

S4、API特征图像生成：设定API特征图像为RGB图像并确定通道尺寸；设定API特征图像的填充顺序为：将特征数组的各数据项依次地自各通道中第一行第一列的首个像素开始，由左至右依次填充充满后，再由上至下采用相同方式对通道内每行像素进行填充；将由步骤S3得到的API编号特征数组ArrayAC、API贡献度特征数组ArrayAD和API顺序索引特征数组ArrayAS分别填充至API特征图像的R通道、G通道和B通道；