【技术实现步骤摘要】
恶意代码可视化及变种检测方法、装置、设备及存储介质
本专利技术涉及信息安全
,尤其涉及一种恶意代码可视化及变种检测方法、装置、设备及存储介质。
技术介绍
据统计目前国际上有数万种病毒,而变种病毒却有成百上千万,恶意代码变种率急剧上升。目前恶意代码可视化及变种检测方法从所采用的特征角度来看,主要有以下两种:基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度,且通常会涉及判断子图同构的问题,而判断子图同构问题是NP完全(Non-deterministicPolynomialComplete)问题,判断过程耗时较长;基于图像纹理特征的方法需要从图像这种二维数据提取特征,特征提取过程比较复杂,运行效率也比较低。
技术实现思路
本专利技术的主要目的在于提供一种恶意代码可视化及变种检测方法,旨在解决现有的恶意代码都是代码化显示,用户查看不方便恶意代码定位效率低,且变种检测效率低下的技术问题。为实现上述目的,本专利技术提供一种恶意代码可视化及变种检测方法,所述恶意代码可视化及变种检测方法包括:获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得 ...
【技术保护点】
1.一种恶意代码可视化及变种检测方法,其特征在于,所述恶意代码可视化及变种检测方法包括:/n获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;/n将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;/n将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。/n
【技术特征摘要】
1.一种恶意代码可视化及变种检测方法,其特征在于,所述恶意代码可视化及变种检测方法包括:
获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号;
将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示;
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息,其中,所述预设恶意代码分类器是基于恶意代码样本的奇异变换谱训练获得。
2.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述获取待检测的恶意代码,将所述恶意代码转换为一维时间序列信号的步骤,包括:
获取待检测的恶意代码,及所述恶意代码的二进制可执行文件,将所述二进制可执行文件转换为一维整数数组;
将所述一维整数数组按照预设采样规则进行下采样,获得一维时间序列信号。
3.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述一维时间序列信号进行奇异谱变换,获得所述恶意代码对应的奇异变换谱并输出显示的步骤,包括:
将所述一维时间序列信号组合形成时间集合,将所述时间集合转化为预设长度的时间子序列;
根据所述时间子序列构造轨迹矩阵,根据所述时间子序列构造测试矩阵,根据所述轨迹矩阵和所述测试矩阵确定变化点分数;
以所述一维时间序列信号中的时刻为横坐标,以所述变化点分数为纵坐标,获得所述恶意代码对应的奇异变换谱并输出显示。
4.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤之前,所述方法包括:
从预设恶意代码文件数据库中抽取恶意代码样本,将各所述恶意代码样本进行奇异谱变换,获得各所述恶意代码样本对应的奇异变换谱;
将各所述奇异变换谱划分形成第一训练集与第一测试集;
通过所述第一训练集中的奇异变换谱对初始分类算法进行迭代训练,获得恶意代码分类器;
通过所述第一测试集对所述恶意代码分类器进行验证,获得预设恶意代码分类器。
5.如权利要求1所述的恶意代码可视化及变种检测方法,其特征在于,所述将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码所属的家族信息的步骤,包括:
将所述恶意代码对应的奇异变换谱输入至预设恶意代码分类器进行变种检测,获得所述恶意代码的分类结果;
在所述分类结果为第一类时,则输出所述恶意代码的所属家族信...
【专利技术属性】
技术研发人员:余健,冯健文,黄伟,
申请(专利权)人:韩山师范学院,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。