【技术实现步骤摘要】
本公开涉及网络安全,具体涉及基于多特征融合的抗混淆恶意代码分类方法及系统。
技术介绍
1、本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
2、混淆技术早期主要时通过手工修改二进制代码来实现的,但是随着计算机技术的发展,自动化的代码混淆工具已经广泛地应用于恶意软件的开发中。恶意软件检测技术一般可以分为静态分析方法和动态分析方法两种,经过混淆后,恶意代码的结构和特征通常会被修改,一些常见的静态分析和反汇编技术就很难生效,动态分析效率又比较低,而恶意代码可视化技术可以更深入的理解和分析恶意代码的行为和特征,从而对混淆技术进行反制。此外,可以利用可视化技术对提取的有价值的特征进行可视化,生成视觉解释,帮助解释检测和分类的结果。
3、近年来,深度学习在检测恶意软件方面迅速发展,混淆技术对恶意代码进行变形和加密,导致单一深度学习模型进行恶意代码分类的准确率不高,通常在数据预处理后再采用cnn模型进行特征提取,来进一步提高性能并获得更好的结果,在一定程度上抵抗恶意代码混淆所带来的影响,增强泛化能力,提...
【技术保护点】
1.基于多特征融合的抗混淆恶意代码分类方法,其特征在于,包括:
2.如权利要求1所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,提取.asm文件的操作码以及操作码的前两位十六进制数字,然后统计十六进制数字和操作码组成的结构所出现的频率,构建操作码结构有向图,对于每个操作码,将当前操作码作为源节点,下一个操作码作为目标节点,计算边的权重,权重是通过计算每个节点的接近中心性得到的,接近中心性用来衡量节点在其连通分量中到其它各点的最短距离的平均值。
3.如权利要求2所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,接近中心性的取值范...
【技术特征摘要】
1.基于多特征融合的抗混淆恶意代码分类方法,其特征在于,包括:
2.如权利要求1所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,提取.asm文件的操作码以及操作码的前两位十六进制数字,然后统计十六进制数字和操作码组成的结构所出现的频率,构建操作码结构有向图,对于每个操作码,将当前操作码作为源节点,下一个操作码作为目标节点,计算边的权重,权重是通过计算每个节点的接近中心性得到的,接近中心性用来衡量节点在其连通分量中到其它各点的最短距离的平均值。
3.如权利要求2所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,接近中心性的取值范围是[0,1],数值越大越靠近中心,对于每个节点,根据它的出边权重和目标节点的接近中心性,计算该节点的加权平均值,通过加权平均值,对节点进行排序,将具有高权重的节点排在前面。
4.如权利要求1所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,根据.bytes文件,将.bytes文件中每个8位二进制数转化为对应的10进制整数,然后,根据的.bytes文件大小确定行宽,并将整个向量转换成二维数组,将二维数组中的每个元素作为图像的灰度值,将整个二维数组映射为灰度图像。
5.如权利要求4所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,对所述灰度图像利用lanczos插值算法进行缩放到设定的尺寸大小。
6.如权利要求1所述的基于多特征融合的抗混淆恶意代码分类方法,其特征在于,对于获取的加权平均值,并利用改进的cnn模型对加权平均值进行特...
【专利技术属性】
技术研发人员:赵大伟,孙晨宇,杨淑棉,徐丽娟,李鑫,于福强,杨永琪,
申请(专利权)人:山东省计算中心国家超级计算济南中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。