【技术实现步骤摘要】
恶意代码家族分类方法
[0001]本专利技术涉及网络与信息安全
,具体而言,涉及一种恶意代码家族分类方法。
技术介绍
[0002]恶意代码(Malicious Code,也称作Malware或恶意软件),指为达到恶意目的专门设计的程序、代码或指令,指一切意在破坏计算机、移动终端或网络系统可靠性、可用性、安全性或者消耗系统资源的恶意程序。恶意代码主要的存在形式包括:恶意数据文档、恶意网页、内存代码、可执行程序和动态链接库等。
[0003]通过对现有文献进行研究,发现每个文献存在如下一种或几种缺陷:
[0004](1)直接从恶意代码样本库获取恶意代码样本,对获取恶意代码样本进行分类,后续不能自动丰富更新恶意代码库,不能实时更新恶意代码家族分类特征库;
[0005](2)没有利用卷积神经网络进行深度学习,或者利用了卷积神经网络进行深度学习,但是学习的层数及大小不太合适恶意代码分类,导致恶意代码分类方法效率较低、准确率不高。
技术实现思路
[0006]本专利技术的目的包括提供一种恶意代码...
【技术保护点】
【技术特征摘要】
1.一种恶意代码家族分类方法,其特征在于,所述分类方法包括:对恶意代码标注家族信息;从已标注的所述恶意代码中提取静态特征和动态特征;根据所述动态特征,生成所述恶意代码的动态关系图;将所述静态特征和所述动态关系图输入图神经网络模型中,以训练所述图神经网络模型;获取待分类的恶意代码的静态特征和动态关系图,并输入已训练的所述图神经网络模型,以判断所述恶意代码的家族信息。2.根据权利要求1所述的恶意代码家族分类方法,其特征在于,所述静态特征包括关键API出现次数、关键特殊字符个数、指令码频数、指令码n
‑
gram和字节序列n
‑
gram,所述动态特征包括API调用依赖图、系统调用依赖图和控制流图。3.根据权利要求1所述的恶意代码家族分类方法,其特征在于,所述动态特征包括系统调用依赖图,所述根据所述动态特征,生成所述恶意代码的动态关系图的步骤包括:将所述系统调用依赖图转换为大小固定的有向带权图;计算所述有向带权图之间的距离值;将所述距离值小于阈值的两个所述有向带权图判定为相似,并将二者相连,生成所述恶意代码的动态关系图。4.根据权利要求3所述的恶意代码家族分类方法,其特征在于,所述将所述系统调用依赖图转换为大小固定的有向带权图的步骤包括:利用开源工具对系统调用依赖进行分组,并利用所述系统调用依赖之间的调用关系构成所述系统调用依赖图;将属于同一组的所述系统调用依赖聚合为一个节点,两个所述节点之间重新定义一个新边,所述新边的权重为两类节点之间原始边的数量,使所述系统调用依赖图转换为大小固定的组调用图,所述组调用图为所述有向带权图。5.根...
【专利技术属性】
技术研发人员:李祺,杨彦青,赵键锦,米嘉欣,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。