[发明专利]一种基于奇异谱变换的恶意软件检测方法在审
申请号: | 202110369300.7 | 申请日: | 2021-04-06 |
公开(公告)号: | CN113065133A | 公开(公告)日: | 2021-07-02 |
发明(设计)人: | 康显桂;何月旺 | 申请(专利权)人: | 中山大学 |
主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F17/16;G06K9/62 |
代理公司: | 广州粤高专利商标代理有限公司 44102 | 代理人: | 林丽明 |
地址: | 510275 广东*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 基于 奇异 变换 恶意 软件 检测 方法 | ||
1.一种基于奇异谱变换的恶意软件检测方法,其特征在于,包括:
S1.获取恶意软件,对恶意软件进行预处理转换,得到时序恶意信号;
S2.对时序恶意信号进行重采样,以构建恶意软件时序谱;
S3.构建恶意软件奇异谱:基于恶意软件时序谱进行奇异谱变换,构建轨迹矩阵和测试矩阵,使用轨迹矩阵和测试矩阵的左奇异向量计算变化点得分,得到恶意软件奇异谱;
S4.对恶意软件奇异谱的参数进行优化;
S5.将恶意软件奇异谱作为恶意软件的特征向量,利用机器学习分类算法对恶意软件奇异谱进行检测。
2.根据权利要求1所述的基于奇异谱变换的恶意软件检测方法,其特征在于,步骤S1所述对恶意软件进行预处理转换的过程为:
将恶意软件二进制以8bit为整数,转换为时序恶意信号,每个信号的取值范围为[0,255],十六进制为0x00到0xFF。
3.根据权利要求2所述的基于奇异谱变换的恶意软件检测方法,其特征在于,步骤S2所述对时序恶意信号进行重采样的方法为快速傅里叶变换法。
4.根据权利要求3所述的基于奇异谱变换的恶意软件检测方法,其特征在于,重采样的时序恶意信号为一维向量,设进行重采样后的时序恶意信号的长度为n,进行重采样后的恶意信号样本表示为:
S=(s1,s2,Λ,sn)
对于时序信号数据{st∈[0,255]|t=1,2,…,n},定义t时刻长度为w的子序列s(t)的表达式如下:
s(t)=(st-w+1,…,st-1,st)T
其中T代表转置。
5.根据权利要求4所述的基于奇异谱变换的恶意软件检测方法,其特征在于,步骤S3所述构建恶意软件奇异谱的具体过程包括:
S31.基于子序列s(t)构造轨迹矩阵
设原始采样信号S的长度为N,设轨迹矩阵和测试矩阵之间的时序间隔为L,即时延长度,满足1LN,设子序列s(t)的阶是K,即轨迹矩阵的列数,满足1KN;设轨迹矩的阵窗口长度是W,即轨迹矩阵的行数,满足1WN;则轨迹矩阵的构造表达式如下:
次对角线上元素相等,是一个汉克尔矩阵;轨迹矩阵表示子序列s(t)的过去代表性模式;
S32.基于子序列s(t)构造测试矩阵
设原始采样信号S的长度为N,设轨迹矩阵和测试矩阵之间的时序间隔为L,即时延长度,满足1LN,设子序列s(t)的阶是K,即测试矩阵的列数,满足1KN;设测试矩阵窗口长度是W,即测试矩阵的行数,满足1WN;则测试矩阵的构造表达式如下:
次对角线上元素相等,是一个汉克尔矩阵;测试矩阵表示子序列s(t)的当前代表性模式;
S33.计算变化点得分,计算表达式为:
其中,是轨迹矩阵经过奇异值分解后的左奇异向量;μ(t)是测试矩阵经过奇异值分解后的最大左奇异向量;zt表示变化点得分,0≤zt≤1;r是选取左奇异向量个数,κ代表向量內积,恶意信号样本S=(s1,s2,Λ,sn)所有时刻对应的变化点得分表示为Z=(z1,z2,…,zt,…,zn),构成恶意软件奇异谱。
6.根据权利要求5所述的基于奇异谱变换的恶意软件检测方法,其特征在于,变化点得分能定量地确定恶意软件时序谱的波动,若在t时刻变化点得分大于阈值E1,则子序列s(t)的过去代表性模式与子序列s(t)的当前代表性模式之间存在较大差异,在恶意软件时序谱的时刻存在明显的结构性变化;若变化点得分小于阈值E2时,则子序列s(t)的过去代表性模式与子序列s(t)的当前代表性模式之间无差异。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中山大学,未经中山大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110369300.7/1.html,转载请声明来源钻瓜专利网。