[发明专利]一种基于滑动局部注意力机制的恶意代码检测方法

权利要求书

1.一种基于滑动局部注意力机制的恶意代码检测方法，其特征在于：包括特征抽取方法和滑动局部注意力机制检测方法，

所述特征抽取方法包括以下步骤：

S1.1、根据API函数的功能，将常见的API函数划分为17类，并根据索引编号，将API函数进行着色；

S1.2、提取API执行系列，并根据API函数类别将一维的API执行序列构造为具有API结构信息的二维执行序列；

所述滑动局部注意力机制检测方法包括以下步骤：

S2.1、构建滑动局部注意力机制，通过局部注意力机制来获取API二维执行序列中的局部信息；

S2.2、通过使用滑动窗口方法扫描API二维执行序列，抽取更高层的特征信息，并将更高层的特征信息传给CNN模型；

S2.3、使用CNN模型再抽取局部注意力机制的权重值，最后通过Softmax函数输出最后结果。

2.如权利要求1所述的一种基于滑动局部注意力机制的恶意代码检测方法，其特征在于：所述步骤S1.2包括以下步骤：

S1.21、构建API的集合和API函数的类别集合；

S1.22、将API唯一的转化作为它的索引值，每个API一维执行序列对应一个索引值；

S1.23、从API的集合中获取API所在的类别；

S1.24、从API函数的类别集合获取API类别的索引值；

S1.25、根据步骤S1.21至S1.24构造长度为n的二维输入向量，即API二维执行序列，作为模型的输入。

3.如权利要求2所述的一种基于滑动局部注意力机制的恶意代码检测方法，其特征在于：所述二维输入向量的算法如下：

定义API_num＝transferAPI(API)，函数transferAPI表示将API唯一的转化作为它的索引值；

定义c_i＝transferToAPICategory(API),API∈API_Set，函数transferToAPICategory表示获取API所在的类别，API_Set表示API的集合；

定义i＝indexAPICategory(c_i),c_i∈API_Category，函数indexAPICteagory表示获取API类别的索引值，API_Category表示API函数的类别集合；

构造二维输入向量Input_Vector，

定义Input_Vector＝＜API_sequence,Category_sequence＞；

定义函数findCategoryIndex，用于获取API函数的类别索引值，则

进一步可得，

API_sequence＝＜transferAPI(API₁),...,transferAPI(API_n)＞

Category_sequence＝＜findCategoryIndex(API₁),...,findCategoryIndex(API_n)＞，

此时即可构造长度为n的二维输入向量Input_Vector。

4.如权利要求1所述的一种基于滑动局部注意力机制的恶意代码检测方法，其特征在于：所述CNN模型和滑动局部注意力机制之间通过连接层进行数据传输。