[发明专利]一种基于图卷积网络的恶意软件检测方法

权利要求书

1.一种基于图卷积网络的恶意软件检测方法，其特征在于，包括以下步骤：

S1：采集二进制文件并进行预处理，从二进制文件中得到函数的汇编指令序列；

S2：将所述汇编指令序列作为语料库，在汇编指令语料库上训练汇编指令的词向量模型；

S3：采集大量的恶意软件样本和正常软件样本，构建训练样本库；

S4：对训练样本库样本进行预处理，从每个样本中抽取函数调用图及每个函数的汇编指令序列；

S5：构建基于图卷积网络的恶意软件检测模型，将从样本库中获得的汇编指令序列作为输入，并根据对应的词向量模型及函数调用图对所述恶意软件检测模型进行训练；恶意软件检测模型包括依次连接的嵌入层、GRU层、图卷积层和全连接层，其中，所述嵌入层的权重来源于训练的词向量模型；所述GRU层为一个单层双向的GRU层；所述图卷积层包括2个Structure2Vec层；所述全连接层包括带一个隐藏层的全连接神经网络；

所述函数调用图和函数指令序列对所述恶意软件检测模型进行训练的步骤包括：

S51：将所述词向量模型的权重加载到嵌入层；

S52：从样本库中取出一个样本i的函数调用图FCG_i及其汇编指令序列集合S_i；

S53：将所述汇编指令序列集合S_i中每个汇编指令序列输入所述嵌入层，将每个汇编指令序列转化为向量序列，得到向量序列集合V_i；

S54：将所述向量序列集合V_i中的向量序列输入所述GRU层，将每个向量序列转化为相应的向量，得到向量集合V_i；

S55：对于每个函数，将其生成的向量附加到其在函数调用图中对应的顶点上，得到属性函数调用图

式中，N_i为调用图中节点的集合；E_i为有向边的集合，保存了函数间的调用关系；表示初始的向量集合；

S56：将所述属性函数调用图输入所述Structure2Vec层中进行两轮迭代更新计算，得到新的属性函数调用图将属性函数调用图中每个结点的向量进行平均，得到最终的图嵌入向量g_i；

S57：将所述图嵌入向量g_i输入所述全连接层中进行预测，并根据预测结果和真实的结果计算损失loss，根据损失loss计算结果采用优化器对所述恶意软件检测模型中的权重进行更新；

S58：重复执行S52～57步骤至损失loss收敛；

S6：将完成训练的恶意软件检测模型对待检测的软件进行检测，输出检测结果。

2.根据权利要求1所述的基于图卷积网络的恶意软件检测方法，其特征在于，所述S1步骤中，对二进制文件进行预处理的步骤包括利用反汇编工具分析所述二进制文件，抽取所述二进制文件中每个函数的汇编指令序列。

3.根据权利要求2所述的基于图卷积网络的恶意软件检测方法，其特征在于，对抽取的汇编指令序列进行以下替换操作：

(1)将汇编指令序列中的立即数替换为IMM；

(2)将汇编指令序列中的直接内存访问替换为MEM；

(3)将汇编指令序列中的函数名引用替换为FUNC。

4.根据权利要求1所述的基于图卷积网络的恶意软件检测方法，其特征在于，所述S2步骤中，将所述语料库中的每个指令序列视为文档，每条指令视为单词，构建skip-gram模型并对其进行训练，得到汇编指令的词向量模型，该模型将汇编指令转化为d维向量。

5.根据权利要求1所述的基于图卷积网络的恶意软件检测方法，其特征在于，所述S4步骤中，对训练样本库样本进行预处理的步骤包括：

S41：对所述训练样本库样本进行脱壳：采用查壳工具对训练样本库样本进行检测，检测其是否经过加壳处理：若是，则进一步识别其加壳算法，根据所述加壳算法选用相应的脱壳工具进行脱壳，得到原始样本文件，若无法脱壳，则直接丢弃所述训练样本库样本；若否，则执行S42步骤；

S42：利用反汇编工具分析所述训练样本库样本，抽取所述训练样本库样本的函数调用图及其中每个函数的汇编指令序列。