[发明专利]一种基于图像纹理指纹的恶意代码分类方法

说明书

本发明公开了一种基于图像纹理指纹的恶意代码分类方法，通过结合图像分析技术与恶意代码分类技术，将操作码数值化后映射为双通道无压缩的灰度图像，然后根据灰度变换方法将双通道的图像转化单通道的灰度图，使用灰度共生矩阵提取图像的纹理特征，并将这些特征作为恶意代码的本质特征，最后使用随机森林算法对恶意代码进行分类。本发明的基于图像纹理指纹的恶意代码分类方法，一方面减少了用于表述恶意代码的特征数量，提高了恶意代码的分类速度；另一方面有效地克服了操作码重排、代码变换等恶意代码混淆问题，提高了恶意代码分类的精度。

技术领域

本发明涉及恶意代码分类领域，尤其涉及一种基于图像分析的恶意代码分类方法。

背景技术

随着互联网的蓬勃发展，恶意代码已经成为威胁互联网安全的主要因素之一，其呈现出高速增长的趋势。现有技术中，分析识别恶意代码的方式通常包括静态分析方法和动态分析方法，动态分析方法是在代码运行过程中进行分析，所分析的代码就是实际执行的代码，但动态分析在一次执行过程中只能获取单一路径行为，而很多恶意代码存在多条执行路径，因此动态分析方法本身存在有一定的局限性；静态分析方法是先对可执行程序进行反汇编，并在此基础上提取代码的特征信息进行分类，现有技术中已经有很多研究人员将恶意代码转换为图像，并提取图像特征进行识别的静态分析方法，例如Nataraj L等人提出了一种SPAM‐GIST恶意代码分类方法(Nataraj L,Manjunath B S.SPAM:SignalProcessing to Analyze Malware[Applications Corner][J].IEEE Signal ProcessingMagazine,2016,33(2):105‐117)，其将恶意代码二进制文件映射为图像来描述特征，利用Gabor滤波器多尺度和多方向的特点提取图像的全局特征GIST，并使用此特征表示恶意代码特征，然后使用最近邻算法对恶意代码进行分类。然而这些静态分析方法提取的特征维数过大且对混淆后的恶意代码分类精度不足，这导致恶意代码的分类精度低、分类速度慢等不足。因此，如何获取分类精度高、分类速度快的恶意代码分析方法是本领域技术人员需要解决的问题。

发明内容

本发明提供了一种基于图像纹理指纹的恶意代码分类方法，解决现有技术中的恶意代码分类技术无法有效识别混淆的恶意代码、提取的特征数据量大，进而导致恶意代码分类的精度低、速度慢的问题。

为解决上述技术问题，本发明采用的一个技术方案是提供一种基于图像纹理指纹的恶意代码分类方法，包括步骤：操作码数值化，将所述恶意代码的操作码转换为数值化文件，所述数值化文件进一步转换为二进制文件；双通道灰度图处理，将所述二进制文件映射生成两个向量，所述两个向量对应可视化为双通道灰度图像；单通道灰度图处理，将所述双通道灰度图像经过灰度变换转化为固定灰度级的灰度图，并输出单通道灰度图像；提取纹理特征，利用灰度共生矩阵从所述单通道灰度图像提取图像的纹理特征；恶意代码分类，将所述纹理特征作为所述恶意代码的本质特征，使用随机森林算法对所述纹理特征进行分类。

在本发明基于图像纹理指纹的恶意代码分类方法另一实施例中，在所述操作码数值化中，将所述数值化文件中的数值转换为16bit无符号的二进制文件，在所述二进制文件中，每一个二进制数值进一步分成两部分，其中，第一部分包含低8bit，第二部分包含高8bit。

在本发明基于图像纹理指纹的恶意代码分类方法另一实施例中，在双通道灰度图处理中，所述二进制文件对应生成两个向量，所述向量中的每个元素取值范围为[0，255]，其中，第一向量对应所述二进制文件中的第一部分，第二向量对应所述二进制文件中的第二部分，所述第一向量又映射为第一通道灰度图像，所述第二向量又映射为第二通道灰度图像，映射后的第一通道灰度图像和第二通道灰度图像保存为两张PNG图片。

在本发明基于图像纹理指纹的恶意代码分类方法另一实施例中，在所述单通道灰度图处理中，利用灰度级分层算法对所述第一通道灰度图像和第二通道灰度图像进行灰度变换。