一种基于图像纹理指纹的恶意代码分类方法技术

本发明专利技术公开了一种基于图像纹理指纹的恶意代码分类方法，通过结合图像分析技术与恶意代码分类技术，将操作码数值化后映射为双通道无压缩的灰度图像，然后根据灰度变换方法将双通道的图像转化单通道的灰度图，使用灰度共生矩阵提取图像的纹理特征，并将这些特征作为恶意代码的本质特征，最后使用随机森林算法对恶意代码进行分类。本发明专利技术的基于图像纹理指纹的恶意代码分类方法，一方面减少了用于表述恶意代码的特征数量，提高了恶意代码的分类速度；另一方面有效地克服了操作码重排、代码变换等恶意代码混淆问题，提高了恶意代码分类的精度。

【技术实现步骤摘要】
一种基于图像纹理指纹的恶意代码分类方法
本专利技术涉及恶意代码分类领域，尤其涉及一种基于图像分析的恶意代码分类方法。
技术介绍
随着互联网的蓬勃发展，恶意代码已经成为威胁互联网安全的主要因素之一，其呈现出高速增长的趋势。现有技术中，分析识别恶意代码的方式通常包括静态分析方法和动态分析方法，动态分析方法是在代码运行过程中进行分析，所分析的代码就是实际执行的代码，但动态分析在一次执行过程中只能获取单一路径行为，而很多恶意代码存在多条执行路径，因此动态分析方法本身存在有一定的局限性；静态分析方法是先对可执行程序进行反汇编，并在此基础上提取代码的特征信息进行分类，现有技术中已经有很多研究人员将恶意代码转换为图像，并提取图像特征进行识别的静态分析方法，例如NatarajL等人提出了一种SPAM-GIST恶意代码分类方法(NatarajL,ManjunathBS.SPAM:SignalProcessingtoAnalyzeMalware[ApplicationsCorner][J].IEEESignalProcessingMagazine,2016,33(2):105-117)，其将恶意代码二进本文档来自技高网...

【技术保护点】
1.一种基于图像纹理指纹的恶意代码分类方法，其特征在于，包括步骤：操作码数值化，将所述恶意代码的操作码转换为数值化文件，所述数值化文件进一步转换为二进制文件；双通道灰度图处理，将所述二进制文件映射生成两个向量，所述两个向量对应可视化为双通道灰度图像；单通道灰度图处理，将所述双通道灰度图像经过灰度变换转化为固定灰度级的灰度图，并输出单通道灰度图像；提取纹理特征，利用灰度共生矩阵从所述单通道灰度图像提取图像的纹理特征；恶意代码分类，将所述纹理特征作为所述恶意代码的本质特征，使用随机森林算法对所述纹理特征进行分类。

【技术特征摘要】
2018.03.14 CN 20181020771291.一种基于图像纹理指纹的恶意代码分类方法，其特征在于，包括步骤：操作码数值化，将所述恶意代码的操作码转换为数值化文件，所述数值化文件进一步转换为二进制文件；双通道灰度图处理，将所述二进制文件映射生成两个向量，所述两个向量对应可视化为双通道灰度图像；单通道灰度图处理，将所述双通道灰度图像经过灰度变换转化为固定灰度级的灰度图，并输出单通道灰度图像；提取纹理特征，利用灰度共生矩阵从所述单通道灰度图像提取图像的纹理特征；恶意代码分类，将所述纹理特征作为所述恶意代码的本质特征，使用随机森林算法对所述纹理特征进行分类。2.根据权利要求1所述的基于图像纹理指纹的恶意代码分类方法，其特征在于，在所述操作码数值化中，将所述数值化文件中的数值转换为16bit无符号的二进制文件，在所述二进制文件中，每一个二进制数值进一步分成两部分，其中，第一部分包含低8bit，第二部分包含高8bit。3.根据权利要求2所述的基于图像纹理指纹的恶意代码分类方法，其特征在于，在双通道灰度图处理中，所述二进制文件对应生成两个向量，所述向量中的每个元素取值范围为[0，255]，其中，第一向量对应所述二进制文件中的第一部分，第二向量对应所述二进制文件中的第二部分，所述第一向量又映射为第一通道灰度图像，所述第二向量又映射为第二通道灰度图像，映射后的第一通道灰度图像和第二通道灰度图像保存为两张PNG图片。4.根据权利要求3所述的基于图像纹理指纹的恶意代码分类方法，其特征在于，在所述单通道灰度图处理中，利用灰度级分层算法对所述第一通道灰度图像和第二通道灰度图像进行灰度变换。5.根据权利要求4所述的基于图像纹理指纹的恶意代码分类方法，其特征在于，在所述提取纹理特征中，利用灰度共生矩阵从所述单通道灰度图像提取12种纹理特征。6.根据权利要求5所述的基于图像纹理指...

【专利技术属性】
技术研发人员：钱叶魁，卢喜东，杜江，黄浩，杨瑞朋，雒朝峰，李宇翀，
申请(专利权)人：中国人民解放军陆军炮兵防空兵学院郑州校区，
类型：发明
国别省市：河南,41