[发明专利]一种基于软件图谱的阈值机制恶意软件检测方法及系统

说明书

本发明涉及一种基于软件图谱的阈值机制恶意软件检测方法及系统，属于软件安全技术领域。首先通过反编译技术来获取恶意软件的字节码，其次将连续8bit位的数据转化为0至255以内的无符号整数，用以生成恶意软件图谱。然后利用图像的纹理特点，并借助注意力机制，用于提取恶意软件的相关特征；最后通过软阈值化的方法，去除无关信息，进一步提升特征提取的准确性从而提高检测的性能。结果表明：基于软阈值机制的恶意软件检测方法在检测效率上明显优于其他传统的深度学习方法。解决了计算资源不足、模型训练速度慢、系统鲁棒性差等问题。

技术领域

本发明属于软件安全技术领域，涉及一种在海量软件检测环境下的恶意软件检测方法，具体为恶意软件的图谱生成方法、基于恶意软件的软阈值方法和基于软阈值机制的恶意软件软件检测方法。

背景技术

随着物联网、云计算、大数据等技术的进一步发展，各种应用软件给人们生活提供便捷服务的同时，也带来了诸多安全问题，如木马以及蠕虫病毒，诱导用户进行点击，从而感染用户的系统文件、注册列表，危害用户的信息安全，同时给软件的开发厂商以及国家的财产安全造成巨大的危害，严重影响互联网的健康发展。目前，在恶意软件检测领域还存在两方面的不足：一是随着恶意软件数量的增多，现有安全审查机制的准确性和可扩展性较差，同时恶意软件检测技术受到存储资源、计算资源和网络资源的限制，在海量恶意软件行为检测的场景下，已有的恶意软件检测机制的效率较差；其次，随着恶意软件开发技术的发展，很多恶意软件通过代码混淆技术来躲避检测，导致已有的恶意软件检测方法精度下降，鲁棒性变差。

发明内容

本发明所要解决的技术问题是：

随着恶意软件数量的增多，现有安全审查机制的准确性和可扩展性较差，同时恶意软件检测技术受到存储资源、计算资源和网络资源的限制，在海量恶意软件行为检测的场景下，已有的恶意软件检测机制的效率较差。为了避免现有技术的不足之处，本发明提供一种基于软阈值机制的恶意软件检测方法，借助软阈值机制来大幅度提高海量恶意软件检测场景下的检测系统准确率。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于软件图谱的阈值机制恶意软件检测方法，其特征在于包括：

S1：对恶意软件反编译得到二进制代码，对得到的二进制代码经过裁剪变换得到恶意软件图谱；

S2：将恶意软件图谱输入基于软阈值机制的恶意软件检测模型，提取恶意软件图谱中的特征并对恶意软件检测模型进行反复训练；

所述特征：恶意软件图谱样本通过向前传播和反向传播阶段，经过层层卷积池化后得到恶意软件图谱的浅层特征图；将浅层特征图谱经过软阈值处理，获取到恶意软件图谱的深层次特征；

S3：利用训练好的模型进行恶意软件检测。

本发明进一步的技术方案：S1具体步骤如下：

S11：打开逆向工具IDA-Pro，点击导入按钮，将恶意软件上传至工具内，然后选择反编译按钮，利用逆向工具IDA-Pro反编译恶意软件样本，获取恶意软件的源码文件；

S12：将恶意软件的源码文件反编译成二进制代码；

S13：将连续的8bit数据转化成0到255内的无符号整数；

S14：连续四个字节代表一条指令，分别对应R、G、B、A四个特征通道；

S15：按照固定728*384的长宽，对特征进行裁剪并转换为RGBA图像。

本发明进一步的技术方案：还包括：对于恶意软件图谱长度小于固定值，或者在裁剪过程中出现了二进制编码丢失的现象，均用使用0字节进行填充。

本发明进一步的技术方案：所述软阈值机制的具体公式如下：