[发明专利]一种基于多视集成学习的恶意软件检测方法

权利要求书

1.一种基于多视集成学习的恶意软件检测方法，其特征在于，包括：

步骤A：抽取训练样本集，对训练样本集中的可执行文件提取字节码n-grams特征视图、操作码n-grams特征视图，以及格式信息特征视图；

步骤B：对字节码n-grams特征视图采用不同的分类算法训练出多个基分类器，构成第一基分类器集合；

对操作码n-grams特征视图采用不同的分类算法训练出多个基分类器，构成第二基分类器集合；

对格式信息特征视图采用不同的分类算法训练出多个基分类器，构成第三基分类器集合；

利用集成学习方法处理上述三个基分类器集合，得到集成的分类模型；

步骤C：从待检测样本集中提取出与上述三种特征视图相应的特征；

步骤D：根据提取到的待检测样本集的特征，用所述集成的分类模型对待检测样本进行分类，得到检测结果。

2.根据权利要求1所述的基于多视集成学习的恶意软件检测方法，其特征在于，将所述步骤B替换为：

合并所述字节码n-grams特征视图、操作码n-grams特征视图以及格式信息特征视图，构成特征超集；

对上述特征超集采用不同的分类算法训练出多个基分类器；

利用集成学习方法处理上述多个基分类器，得到集成的分类模型。

3.根据权利要求1或2所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述集成学习方法为：Voting算法、Stacking算法或EnsembleSelection算法。

4.根据权利要求1或2所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述字节码n-grams特征视图的提取方法包括：

将二进制的可执行文件转换为十六进制的文本文件，得到十六进制字节码序列；

用n-grams法处理上述字节码序列，生成大量短序列；

根据每个短序列特征的文档频率，过滤出相关特征集；

用特征的权重表示相关特征集中对应特征的值；

根据特征的值采用特征选择算法对相关特征集进行特征选择，得到相关特征子集，作为字节码n-grams特征视图。

5.根据权利要求4所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述特征的权重用二值法、TF或TF.IDF表示。

6.根据权利要求1或2所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述操作码n-grams特征视图的提取方法包括：

使用IDAPro对样本文件进行反汇编处理，得到汇编语言文件；

从汇编语言文件提取操作码序列；

用n-grams法处理上述操作码序列，生成大量短操作码序列；

根据每个短操作码序列特征的文档频率，过滤出相关特征集；

用特征的权重表示相关特征集中对应特征的值；

根据特征的值采用特征选择算法对相关特征集进行特征选择，得到相关特征子集，作为操作码n-grams特征视图。

7.根据权利要求6所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述特征的权重用二值法、TF或TF.IDF表示。

8.根据权利要求1或2所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述格式信息特征视图的提取方法包括：

从可执行文件中提取出和恶意软件检测相关的格式属性：引用的DLLs、引用的APTs、PE文件头部、节头部以及资源目录表，以及每个格式属性的值，构成格式特征集；

用特征选择算法对格式特征集进行特征选择，得到格式特征子集，作为格式信息特征视图。

9.根据权利要求8所述的基于多视集成学习的恶意软件检测方法，其特征在于，所述PE文件头部不包括以下属性：机器类型、链接器信息、操作系统信息和时间戳；节头部属性包括以下节的节头部属性：.text、.data、.rsrc、.rdata和.reloc。