【技术实现步骤摘要】
基于三通道可视化和深度学习的恶意软件分类方法及系统
[0001]本专利技术涉及恶意软件分类和深度学习
,特别涉及一种基于三通道可视化和深度学习的恶意软件分类方法及系统。
技术介绍
[0002]恶意软件是指破坏系统正常运行的软件。近年来,随着互联网和计算机技术的快速发展,各种恶意软件的出现已成为网络空间中最严重的威胁。过去十年中,恶意软件的数量逐年增加。到2022年,恶意软件的总数已超过13.21亿。大多数新的恶意软件和恶意软件变体从过去的恶意软件改变而来。这种更改通常是源代码的更改,这可能会干扰基于签名的恶意软件分类方法。这些恶意软件的变体与用于改变的恶意软件属于同一个恶意软件家族,因此它们具有很强的相似性,这是恶意软件分类的重要基础。
[0003]恶意软件分类是恶意软件分析的必要任务。它区分了不同的恶意软件家族,以更好地了解来自同一家族的恶意软件变体的能力,从而可以减少安全分析师的工作,并促进他们对新的恶意软件或恶意软件变体的研究。目前恶意软件的分类方法主要有两种:基于恶意软件的静态特征的静态分析方法和基于恶...
【技术保护点】
【技术特征摘要】
1.一种基于三通道可视化和深度学习的恶意软件分类方法,其特征在于,包括以下步骤:步骤S1,将预设恶意软件文件反编译为汇编文件,并提取所述汇编文件中代码区段的汇编指令序列;步骤S2,根据所述汇编指令序列构建反映恶意软件汇编指令字节分布的Markov图;步骤S3,根据所述汇编指令序列构建反映恶意软件操作码调用关系的Markov图;步骤S4,根据所述汇编指令序列构建反映恶意软件操作码数量的Markov图;步骤S5,将预设恶意软件样本输入所述步骤S1
‑
S4中得到相应的恶意软件Markov图,并将其依次作为恶意软件三通道图像的三个通道,以合成恶意软件三通道图像;步骤S6,构建包含4个卷积层、4个池化层和2个全连接层的深度卷积神经网络;步骤S7,选择预设超参数训练所述深度卷积神经网络,并将深度学习工具包载入训练好的深度卷积神经网络;步骤S8,将待测恶意软件样本输入所述步骤S1
‑
S5中得到相应的三通道恶意软件图像,并将所述三通道恶意软件图像载入所述训练好的深度卷积神经网络中,以预测恶意软件家族类型对应的标签值,进而对恶意软件家族进行分类。2.根据权利要求1所述的基于三通道可视化和深度学习的恶意软件分类方法,其特征在于,所述步骤S1具体包括:步骤S101,利用第三方分析工具对恶意软件文件的pe文件进行反编译,得到asm汇编文件;步骤S102,提取所述asm汇编文件中代码区段的汇编指令序列,并去除掉其中的标点符号,仅保留大小写字母和数字。3.根据权利要求1所述的基于三通道可视化和深度学习的恶意软件分类方法,其特征在于,所述步骤S2具体包括:步骤S201,利用所述汇编指令序列中连续字母或数字二进制组合的转移概率表示汇编指令的字节分布信息;步骤S202,根据所述字节分布信息计算各个状态之间的转移概率,以构建Markov概率转移矩阵;步骤S203,将所述Markov概率转移矩阵转换为反映恶意软件汇编指令字节分布的Markov图。4.根据权利要求1所述的基于三通道可视化和深度学习的恶意软件分类方法,其特征在于,所述步骤S3具体包括:步骤S301,利用所述汇编指令序列中连续操作码的首字母的二进制组合的转移概率表示操作码的调用关系;步骤S302,将所述操作码的调用关系转换为反映恶意软件操作码调用关系的Markov图。5.根据权利要求1所述的基于三通道可视化和深度...
【专利技术属性】
技术研发人员:郭春,邓华鑫,申国伟,崔允贺,周雪梅,
申请(专利权)人:贵州大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。