[发明专利]一种基于软依赖的恶意软件分类和检测方法

说明书

本发明公开了一种基于软依赖的恶意软件分类和检测方法，以缓解恶意软件在分类时存在的误分类问题。本发明将提取的恶意软件特征分为多个特征子集，并针对这些特征子集分别训练模型；之后使用这些模型对新的恶意软件进行分类，生成各自的分类结果；最后再使用s‑value(模式识别中基于混合距离标准提出的软依赖值)得到最终的分类结果。本发明主要是通过模式识别中的混合距离标准结合多个模型的分类结果，该结果视为最终的分类结果。

技术领域

本发明涉及一种基于软依赖的恶意软件分类和检测方法，属于安全领域。

背景技术

随着计算机的普及和发展，恶意软件也应运而生。但是，由于大量的恶意软件，传统的防病毒软件很难识别新兴的恶意软件。例如，Worm.WhBoy.cw和Ransomware分别出现在2006年底和2017年。前者是蠕虫的变种，后者是与蠕虫结合以增加其感染范围的新型病毒。使用传统的防病毒软件很难检测到这些病毒。根据统计分析，恶意软件将在这种情况下爆炸性增长，用户将不可避免地受到传统防病毒软件防御无效的恶意软件的攻击。因此，需要提出更有效的方法来解决这个问题。然而，传统的防病毒软件通过基于签名的方法来识别恶意软件，这需要大型的本地数据库来存储恶意签名。但是，通过使用加密、混淆和打包来实现恶意软件的多态性，可以轻松避免该方法。且传统的防病毒软件针对新的恶意软件变种并不能够很好地工作。

基于上述问题，基于机器学习/深度学习的方法引起了学术界和工业界的注意。基于机器学习/深度学习的方法能够弥补传统的恶意软件分类和识别的缺点，而且针对恶意软件变种，也能够取得很好的识别精确度。只需要针对恶意软件提取特征，然后使用机器学习/深度学习方法进行训练，之后生成训练模型，最后就可以使用训练模型对新的恶意软件进行预测。某些方法甚至不需要提取特征，只需要将恶意软件转化成一定的格式，比如将二进制形式的恶意软件转化为灰度图，就可以使用CNN训练模型，这无疑更加方便。

然而，基于机器学习/深度学习的方法在带来诸多优点和机遇的同时也带来了挑战。基于机器学习/深度学习的方法既然是根据样本进行训练模型，那么首要的问题就是过拟合和欠拟合问题，过拟合和欠拟合都会导致模型性能降低，泛化能力低，不适宜大规模使用。除此之外，恶意软件特征提取也是需要面对的一个比较大的问题。因为特征的提取需要比较专业的特征工程知识，这对于不了解特征工程的人来说比较有难度。而且，提取的特征维度是否太高，提取的特征是否对训练模型有用，是否有比较强有力的特征未曾发现，这些我们都不得而知。虽然有些恶意软件可以通过转化成其他形式，使用特殊的深度学习方法进行分类和识别，但是这些恶意软件占少数，我们无法避免恶意软件特征的提取。此外，机器学习/深度学习方法的选择，也是需要考虑的问题，比如有些深度学习方法不适合用来执行恶意软件分类和检测任务。除此之外，某些方法训练的模型虽然能够取得很好的精确度，但是往往训练时间和预测时间较长，总的来说是以时间换识别精确度。对于样本特征部分，可是使用主成分分析(PCA)对特征进行处理。尽管目前学术界提出了许多关于分类或检测恶意软件的方法，但每个缺陷都有或多或少的缺陷。例如，基于特征的方法也过于依赖训练样本的特征，这可能导致模型过度拟合。此外，如果模型对不属于任何训练系列的新型恶意软件进行分类，则极有可能发生误分类。这些问题的出现很可能导致模型性能下降。同时，在模型的精确度、训练时间和预测时间之间没有一个很好的平衡，往往是以时间换精确度。目前的研究通常较少关注这些问题。

发明内容

针对现存的方法对某些恶意软件变种识别精确度低，以及识别精确度、训练时间和预测时间之间的平衡问题，提出了一种基于软依赖的恶意软件分类和检测方法。通过本发明，可以有效的检测出一些恶意软件变种，并且在识别精确度、训练时间和预测时间之间找到了一个很好的平衡，在保证识别精确度的同时，降低训练时间和预测时间。

本发明为解决上述技术问题采用以下技术方案：

一种基于软依赖的恶意软件分类和检测方法，包括以下步骤：