[发明专利]一种基于深度学习技术的恶意程序智能检测方法在审
| 申请号: | 202110061484.0 | 申请日: | 2021-01-18 |
| 公开(公告)号: | CN112733144A | 公开(公告)日: | 2021-04-30 |
| 发明(设计)人: | 栗红梅;孟博;郑裕林;张振环;闫雪;常玉兰;黄小平 | 申请(专利权)人: | 公安部第一研究所;北京中盾安全技术开发有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06K9/32;G06K9/46;G06K9/62 |
| 代理公司: | 北京华仁联合知识产权代理有限公司 11588 | 代理人: | 陈建 |
| 地址: | 100048 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 深度 学习 技术 恶意程序 智能 检测 方法 | ||
1.一种基于深度学习技术的恶意程序智能检测方法,特征在于,具体过程如下:
S1、对于恶意程序的二进制可执行文件,每8位数据作为一个像素点构成灰度图片,利用GIST算法对所构成的灰度图片进行特征提取;
S2、将恶意程序的二进制可执行文件进行反汇编生成汇编文件,并进行如下特征提取:
1)利用汇编文件提取出操作码序列,然后利用n-gram算法对所提取的操作码序列进行特征提取,获得操作码特征;
2)直接将汇编文件转换成16进制编码,然后将每两位组成一个[0,256)的数值作为生成图片的一个像素点,形成图像特征;
最终将1)中提取得到的操作码特征和2)中得到的图像特征进行自然拼接,作为最终的操作码特征;
S3、将步骤S1提取得到的特征和步骤S2中得到的最终的操作码特征进行连接并降维得到最终特征,然后将最终特征输入训练分类器,训练分类器采用Adaboost算法;训练好的分类模型用于判断待检测程序的二进制可执行文件是否为恶意程序。
2.根据权利要求1所述的方法,其特征在于,步骤S3中,J48作为基分类器。
3.根据权利要求1所述的方法,其特征在于,步骤S2的1)中,先从汇编文件中提取出操作码序列,然后使用n-gram对连续n个操作码组成的集合统计出现次数,选取出现次数大于N的连续n个操作码组成的集合作为恶意特征集合MSet,恶意特征集合的长度为k,恶意特征集合为MSet={m1,m2,…,mk},随后以此向量化每一个恶意程序样本;向量化的过程为首先为恶意程序样本构造一个k维的特征向量app_feature,对于该样本的n-gram集合,如果其中包含恶意特征集合中的元素mi,那么将向量中下标为i的元素置1,否则置0,从而得到一个维数为k的特征向量,即为操作码特征。
4.根据权利要求1所述的方法,其特征在于,步骤S3中,采用best subset selection进行降维得到最终特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于公安部第一研究所;北京中盾安全技术开发有限公司,未经公安部第一研究所;北京中盾安全技术开发有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110061484.0/1.html,转载请声明来源钻瓜专利网。
