[发明专利]一种优化特征提取的恶意软件分类方法

摘要

本发明属于信息安全领域，具体涉及一种优化特征提取的恶意软件分类方法。本发明优化了恶意软件的提取方式并且以深度学习中的卷积神经网络为主要分类器。单一的静态特征无法全面地体现恶意软件的特征，比如灰度图仅能表示恶意软件的整体轮廓，API调用图仅能表示恶意软件的控制结构。针对以上问题，本发明方法提取了这两种特征，并且将这两种特征组合成一张双通道图片特征矩阵作为卷积神经网络的输入，这样既可以将恶意软件的整体轮廓表现出来，也可以将恶意软件可能执行的流程完整的表现出来。本发明方法有效地解决了样本特征提取时不能完整体现恶意软件本身的情况，并且具有较好的分类效果。

主权项

1.一种优化特征提取的恶意软件分类方法，其特征在于，包括以下步骤：(1)原始数据特征处理，建立恶意代码的整体API调用图存储在邻接矩阵数据结构中；(2)将原始恶意软件二进制文件样本转化为十六进制流格式，将恶意软件二进制文件转化为灰度图特征矩阵；(3)将API调用图矩阵作为一个像素通道，将灰度图矩阵作为一个像素通道，如果这两个矩阵大小不同，则将小的那个矩阵的左边界和上边界与大矩阵对齐，其余位置上补0，然后合并为双通道特征图作为卷积神经网络的输入；(4)原始数据集中的样本都带有标签，首先将所有样本的特征矩阵每一行进行随机乱序排列，根据乱序排列数组，将标签对应追加到样本矩阵的最后一列，这样就完成了带有标签的样本乱序处理，再将所有样本进行数据集拆分，一部分作为训练样本，其余的作为测试样本，再对训练样本做交叉验证，将训练样本分成k分并且编号，取k‑1份组合数据集作为训练样本，剩下1份作为验证数据集；(5)将k‑1份数据中的每个样本都做双通道卷积处理，得到每个样本对应的特征图，再将特征图做最大池化处理，得到新的特征图，将新的特征图全连接并且输入到神经网络中，得到分类结果，将输出的分类结果和原始标签值代入交叉熵损失函数并利用反向传播算法多次迭代求出最佳的卷积核矩阵和最佳的神经网络权重矩阵，k次交叉验证后得到k个模型；(6)将测试数据集输入到交叉验证得到的k个模型当中，每个模型都给出样本的分类结果，最终投票得到样本的最终分类结果。