[发明专利]一种基于奇异谱变换的恶意软件检测方法

说明书

本发明提出一种基于奇异谱变换的恶意软件检测方法，解决了现有恶意软件检测方法易误检、实时效率低的问题，首先由恶意软件获得时序恶意信号，然后对恶意信号进行重采样以构建恶意软件时序谱，从而保证获取到最合适的恶意软件谱长度，便于有效分析和分类恶意软件，进一步保证后续的检测准确率，且避免误检，基于恶意软件时序谱进行奇异谱变换，使用轨迹矩阵和测试矩阵的左奇异向量计算变化点得分，得到恶意软件奇异谱；最后对恶意软件奇异谱的参数进行优化，利用机器学习分类算法对恶意软件奇异谱进行检测，无需逆向工程，也无需对恶意软件进行动态调试，支持跨平台恶意软件检测，避免了可视化图形的复杂计算，提高了实时检测的运算速度和效率。

技术领域

本发明涉及信息安全的技术领域，更具体地，涉及一种基于奇异谱变换的恶意软件检测方法。

背景技术

随着自动化工具如多态和变形引擎、通用封装程序和遗传编程的快速发展，许多变种恶意软件逐渐出现，而由于恶意软件的兴起，信息安全遭受着越来越多的威胁，由于传统方法的受限，面对大数据时代的批量恶意软件检测乏力，恶意软件检测已是不可逾越的一道门槛。

为了有效检测变种恶意软件，研究人员提出了计算机视觉的方法，可视化恶意软件的变种以进行深入的恶意软件分析，可视化的方法具有不使用逆向工程方法、也不对恶意软件进行动态调试，并且支持跨平台恶意软件检测等优点。如2020年10月20日，中国发明专利(公开号CN111797395 A)中公开了一种恶意代码可视化及变种检测方法，该方法检测的对象为恶意代码，过程为：首先获取待检测的恶意代码，然后将恶意代码转换为一维时间序列信号，进一步进行奇异谱变换，最后将奇异变换谱输入至预设恶意代码分类器进行检测，能实现可视化地显示恶意代码对应的奇异变换谱，提高了恶意代码的检测效率和准确率，但进行奇异谱变换后，该方法将奇异变换谱直接输入分类器进行检测，容易导致误检，若对恶意软件层面，则实时检测效率也不高，无法满足大数据时代，高效率低错误率的要求。

发明内容

为解决现有恶意软件检测方法易误检、实时效率低的问题，本发明提出一种基于奇异谱变换的恶意软件检测方法，检测准确率高，可以有效避免误检，同时也避免了复杂运算，提高了实时检测的运算速度和效率。

为了达到上述技术效果，本发明的技术方案如下：

一种基于奇异谱变换的恶意软件检测方法，包括：

S1.获取恶意软件，对恶意软件进行预处理转换，得到时序恶意信号；

S2.对时序恶意信号进行重采样，以构建恶意软件时序谱；

S3.构建恶意软件奇异谱：基于恶意软件时序谱进行奇异谱变换，构建轨迹矩阵和测试矩阵，使用轨迹矩阵和测试矩阵的左奇异向量计算变化点得分，得到恶意软件奇异谱；

S4.对恶意软件奇异谱的参数进行优化；

S5.将恶意软件奇异谱作为恶意软件的特征向量，利用机器学习分类算法对恶意软件奇异谱进行检测。

优选地，步骤S1所述对恶意软件进行预处理转换的过程为：

将恶意软件二进制以8bit为整数，转换为时序恶意信号，每个信号的取值范围为[0，255]，十六进制为0x00到0xFF。

优选地，步骤S2所述对时序恶意信号进行重采样的方法为快速傅里叶变换法，对时序恶意信号进行重采样保证获取到最合适的恶意软件谱长度，便于有效分析和分类恶意软件，进一步保证后续的检测准确率，可以有效避免误检。

优选地，重采样的时序恶意信号为一维向量，设进行重采样后的时序恶意信号的长度为n，进行重采样后的恶意信号样本表示为：

S＝(s₁，s₂，Λ，s_n)