[发明专利]一种基于深度学习技术的恶意程序智能检测方法

说明书

本发明涉及一种基于深度学习技术的恶意程序智能检测方法，将二进制可执行文件得到的具有全局信息的纹理特征和反汇编得到的汇编文件的具有行为信息特征和局部特征的汇编文件特征结合作为最终特征训练后续的分类器，能够进一步提高恶意软件检测的准确率。

技术领域

本发明涉及数据安全技术领域，具体涉及一种基于深度学习技术的恶意程序智能检测方法。

背景技术

近年来，随着互联网新应用、技术的成熟，人民群众日常工作生活对互联网的依赖程度越来高。由中国互联网络信息心(CNNIC)发布的第39次《中国互联网络发展状况统计报告》的2016年的数据可以得出：截至2016年12月，中国网民规模已经相当于欧洲人口总量，达到了7.31亿，互联网普及率达到53.2％，超过亚洲平均水平，超过亚洲平均水平3.1个百分点。域名总数为4228万个，而且增长速度非常快，年增长36.3％。但是，与此同时，计算机系统和互联网的安全问题也是层出不穷，据统计，2016年遭遇过网络安全事件的用户占比达到整体网民70.5％，在这些攻击当中，网上诈骗和设备中病毒或木马这两类情况最为普遍，各占了39.1％和36.2％的比例，这些信息安全问题给个人生活带来了许多不便，也给公司，乃至国家造成了巨大的经济损失。

恶意软件自动生成工具的广泛使用使得大量新的恶意软件变体迅速出现。《2018年中国互联网安全报告》显示,360互联网安全中心累计截获PC端新增恶意程序样本2.7亿个,平均每天截获PC端新增恶意程序样本75.2万个。大量新的恶意软件变种对恶意软件分析师来说是一个巨大的挑战。尽管网络安全机制有了显著的改进,并且不断进化,但恶意软件仍然是网络空间中最具威胁的攻击手段之一。有效的恶意软件分类方法有助于提升恶意软件检测效率、提升发现新型恶意软件家族的能力。因而，恶意软件的检测已经成为全社会关注的网络安全焦点。

恶意软件的发展史可以追溯到1981年，在APPLE-II的计算机游戏中发现了Elkcloner，这是世界上已知的第一个计算机病毒，病毒是恶意软件早期的主要表现形式。按照不同的恶意软件分析工具技术模块，恶意软件检测方法一般分为静态检测方法和动态检测方法。

在静态检测方法领域，现在绝大多数安全公司仍然在很大程度上依赖于特征码扫描检测法，该方法是使用静态方法提取恶意软件特征以此对恶意软件进行检测和分类。这种方法对已知恶意软件的检测准确率比较高，但是对混淆技术或者新出现的恶意软件效果不是很理想。用静态方法检测的恶意软件特征主要分为操作码、n-gram的字节序列以及PE头文件等。恶意软件的编写者为了隐藏他们的真实意图会使用恶意软件加壳、代码混淆等技术来增加检测难度，但是现在也有相应的查壳脱壳技术来应对。J.ZicoKolter等人使用不同的分类技术并将字节码作为恶意软体的特征来检测和分类未知样本，通过从训练样本集中提取出N-gram的字节码作为恶意软件的特征，然后选出其中最为相关的一些字节码，从而达到降低特征维度的目的。Kong等人采用结构化信息来分类恶意软件实例，他们提出一种对恶意软件自动化分类和检测的方法，从恶意软件中将由函数调用的序列提取出来并构成图像，然后通过恶意软件之间的距离来判断未知样本是否是恶意软件。Cesare等采用控制流图来表示两个恶意软件样本之间的相似性以此来检测恶意软件，通过由字符串组成的可以转换为对应向量的控制流图的集合体现恶意软件特征，这种方法是通过计算恶意软件样本之间的距离来度量它们之间的差异性，或者说恶意软件之间的相似性，从而达到对恶意软件进行检测的目的，但是该方法通过恶意软件涵盖的控制流图集合来对恶意软件特征进行描述，计算复杂度比较高。在国内，黄全伟等人对恶意程序进行静态反汇编，然后对反汇编后的恶意文件中所有系统调用序列进行遍历，然后通过使用n-gram模型提取和选择特征，最后采用支持向量机和决策树等方法检测恶意软件。