[发明专利]一种基于生成对抗网络的恶意文件智能分析方法

权利要求书

1.一种基于生成对抗网络的恶意文件智能分析方法，其特征在于，所述基于生成对抗网络的恶意文件智能分析方法，包括：

步骤1、获取应用数据集，所述应用数据集中包含正常文件和恶意文件，取恶意文件和正常文件经沙箱程序模拟运行得到恶意文件和正常文件的API序列；

步骤2、提取恶意文件和正常文件的API序列的特征向量，所述特征向量包括全局特征、局部组合特征、高阶局部特征和2-gram局部特征；

步骤3、基于恶意文件和正常文件的API序列生成恶意样本API序列，包括：

步骤3.1、取恶意文件的API序列的特征向量，将恶意文件的API序列的特征向量和服从均匀分布的噪声向量串联作为输入对象；

步骤3.2、将步骤3.1得到的输入对象输入至生成模型中，由生成模型生成恶意样本API序列；

步骤3.3、将步骤3.2生成的恶意样本API序列输入至检测模型中，并将正常文件的API序列作为良性样本API序列同时输入至检测模型中；

步骤3.4、检测模型对输入的恶意样本API序列和良性样本API序列进行检测，并将检测结果发送至判别模型；

步骤3.5、判别模型根据检测模型输出的检测结果比较恶意样本API序列和良性样本API序列的特征分布并反馈至生成模型用于生成模型更新模型参数；

步骤3.6、重复执行步骤3.1至步骤3.5直至检测模型检测输入的恶意样本API序列和良性样本API序列均为良性样本API序列，保存此时的生成模型，并利用保存的生成模型对应用数据集中的恶意文件的API序列的特征向量生成恶意样本API序列；

步骤4、取应用数据集中的恶意文件和正常文件的API序列、步骤3得到的恶意样本API序列对检测模型进行训练，直至检测模型的检测结果达到预设的准确度，得到最终的检测模型；

步骤5、利用最终得到的检测模型对待分析文件进行分析，输出待分析文件为正常文件或恶意文件的检测结果。

2.如权利要求1所述的基于生成对抗网络的恶意文件智能分析方法，其特征在于，所述全局特征包括：全部的API的个数、不相同API的个数；全部线程编号的个数、不相同的线程编号个数、最大的线程编号、最小的线程编号、线程编号分位数、线程编号方差、线程编号中位数；全部返回值的个数、不相同的返回值个数、返回值个数最大值、返回值个数最小值、返回值个数分位数、返回值个数方差、返回值个数中位数；全部的调用顺序编号的数量、不相同的调用顺序编号的数量、调用顺序编号最大值、调用顺序编号最小值、调用顺序编号分位数、调用顺序编号方差、调用顺序编号中位数；

所述局部组合特征包括：每个API调用的线程编号的个数、不相同线程编号的个数；每个API的返回值的不相同的个数、最大值、最小值、中位数、方差；每个API调用的顺序编号的不相同的数量、最大值、最小值、中位数、方差；每个顺序编号调用的API的个数、不相同API的个数；每个顺序编号对应的API返回值的不相同的个数、最大值、最小值、中位数、方差；每个顺序编号对应的线程编号的不相同的个数、最大值、最小值、中位数、方差；

所述高阶局部特征包括：每个API调用的线程编号的返回值的不同个数、最大值、最小值、中位数、方差；每个API调用的线程编号对应的顺序序号的不同个数、最大值、最小值、中位数、方差；

所述2-gram局部特征包括：每对相邻API调用的线程个数、不相同的个数；每对相邻API的返回值的不相同的个数、最大值、最小值、中位数、方差；每对相邻API的调用顺序编号的不相同的个数、最大值、最小值、中位数、方差。

3.如权利要求1所述的基于生成对抗网络的恶意文件智能分析方法，其特征在于，所述生成模型和判别模型分别为GAN模型中的生成器和鉴别器，所述检测模型为随机森林模型。