[发明专利]一种基于软件图谱的阈值机制恶意软件检测方法及系统

权利要求书

1.一种基于软件图谱的阈值机制恶意软件检测方法，其特征在于包括：

S1：对恶意软件反编译得到二进制代码，对得到的二进制代码经过裁剪变换得到恶意软件图谱；

S2：将恶意软件图谱输入基于软阈值机制的恶意软件检测模型，提取恶意软件图谱中的特征并对恶意软件检测模型进行反复训练；

所述特征：恶意软件图谱样本通过向前传播和反向传播阶段，经过层层卷积池化后得到恶意软件图谱的浅层特征图；将浅层特征图谱经过软阈值处理，获取到恶意软件图谱的深层次特征；

S3：利用训练好的模型进行恶意软件检测。

2.根据权利要求1所述的一种基于软件图谱的阈值机制恶意软件检测方法，其特征在于S1具体步骤如下：

S11：打开逆向工具IDA-Pro，点击导入按钮，将恶意软件上传至工具内，然后选择反编译按钮，利用逆向工具IDA-Pro反编译恶意软件样本，获取恶意软件的源码文件；

S12：将恶意软件的源码文件反编译成二进制代码；

S13：将连续的8bit数据转化成0到255内的无符号整数；

S14：连续四个字节代表一条指令，分别对应R、G、B、A四个特征通道；

S15：按照固定728*384的长宽，对特征进行裁剪并转换为RGBA图像。

3.根据权利要求2所述的基于软件图谱的阈值机制恶意软件检测方法，其特征在于还包括：对于恶意软件图谱长度小于固定值，或者在裁剪过程中出现了二进制编码丢失的现象，均用使用0字节进行填充。

4.根据权利要求1所述的基于软件图谱的阈值机制恶意软件检测方法，其特征在于所述软阈值机制的具体公式如下：

其中τ是每一个通道的阈值，软阈值化通过将[-τ,τ]这个区间中的特征值置为0，将大于τ的特征减τ，将小于τ的特征值+τ这样使得每一个通道上的值都向着0的位置收缩，能够更快的加速收敛。

5.根据权利要求4所述的基于软件图谱的阈值机制恶意软件检测方法，其特征在于在软阈值机制中加入了BN方法，将每层神经网络任意神经元这个输入值的分布强行拉回到均值为0方差为1的标准正态分布，让激活输入值落在非线性函数对输入敏感的区域。

6.一种基于软件图谱的阈值机制恶意软件检测系统，其特征在于包括特征提取模块和恶意软件检测模块；

所述特征提取模块：对恶意软件反编译得到二进制代码，对得到的二进制代码经过裁剪变换得到恶意软件图谱；

所述恶意软件检测模块：将恶意软件图谱作为输入，采用基于软阈值机制提取恶意软件图谱中包含的特征对恶意软件检测模型进行反复训练。

7.根据权利要求6所述的基于软件图谱的阈值机制恶意软件检测系统，其特征在于所述特征提取模块包括恶意软件的反编译、特征通道的生成、基于特征通道的图像化。

8.根据权利要求6所述的基于软件图谱的阈值机制恶意软件检测系统，其特征在于所述恶意软件检测模块包括一个卷积层、一定量的神经网络层、一个批标准化、一个软阈值化模块、一个全局均值池化和一个全连接层。

9.一种计算机系统，其特征在于包括：一个或多个处理器，计算机可读存储介质，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1所述的方法。

10.一种计算机可读存储介质，其特征在于存储有计算机可执行指令，所述指令在被执行时用于实现权利要求1所述的方法。