[发明专利]基于图标表示和软件行为一致性分析的恶意程序识别方法及装置

权利要求书

1.一种基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，包含：

A)收集已知分类正常软件数据，提取已知正常软件图标资源数据和导入表API数据，构建CNN深度学习模型，分别对图标和导入表API信息进行训练，并依据图标分类和软件行为分类信息，得到常规软件库；

B)对待测样本进行结构解析，提取图标资源数据及导入表API函数数据，传输至训练好的常规软件库中进行测试，获取待测样本图标分类和软件行为分类信息；

C)依据测试结果对待测样本图标分类和软件行为分类信息的行为一致性进行判定，若一致，则判定为正常软件，若不一致，则判定为恶意软件，并生成恶意程序检测报告输出。

2.根据权利要求1所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，CNN深度学习模型包含用于依据图标资源数据获取软件程序类别的图标分类模型和依据导入表API数据获取软件程序类别行为的软件行为分类模型。

3.根据权利要求2所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，图标分类模型采用包含输入层、卷积层、池化层、全连接层和输出层的卷积神经网络模型，其中，卷积层和池化层交替设置，卷积层通过卷积操作提取图标特征，通过池化层进行特征降维，通过全连接层输出图标分类结果。

4.根据权利要求2所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，软件行为分类模型中，将导入表API函数数据存成文本文件格式，将软件行为分类问题转化为文本分类问题。

5.根据权利要求4所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，将软件行为分类问题转化为文本分类问题过程中，将提取得到的每个导入表API函数数据作为样本，在样本中每一行表示一个行为，将一行视为一个整体，遍历所有的导入表API函数数据文本，对所有出现过的所有行为进行去重，得到词库；用连续数字对词库中的每一个词进行标号，获取动态行为到标号id的映射；将文本转为二维矩阵，将词库中的每一个词用一个向量表示，对于每一个样本，将文本中的行为根据词库转换为对应的id序列，根据该id序列以及词库中每个id的向量将样本转换为二维矩阵；利用卷积神经网络训练样本，对于输入的二维矩阵，分别用多个卷积核进行卷积，经过卷积后，再对每一个卷积结果使用最大池化，取列向量中的最大值；将所有卷积核结果对应的最大值连接，构成全连接层，用softmax分类器进行多分类处理。

6.根据权利要求5所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，用连续数字对词库中的每一个词进行标号，获取动态行为到标号id的映射过程中，并添加未知动态行为，该未知动态行为用于之后匹配不在词库中的未知行为。

7.根据权利要求1所述的基于图标表示和软件行为一致性分析的恶意程序识别方法，其特征在于，B)中，常规软件库测试过程中，若出现无法获取待测样本图标分类和软件行为分类信息，则判定该待测样本为新分类，将该待测样本添加至软件程序常规信息库中。

8.一种基于图标表示和软件行为一致性分析的恶意程序识别装置，其特征在于，包含：收集模块、测试模块和判定模块，其中，

收集模块，用于收集已知分类正常软件数据，提取已知正常软件图标资源数据和导入表API数据，构建CNN深度学习模型，分别对图标和导入表API信息进行训练，并依据图标分类和软件行为分类信息，得到常规软件库；

测试模块，用于对待测样本进行结构解析，提取图标资源数据及导入表API函数数据，传输至训练好的常规软件库中进行测试，获取待测样本图标分类和软件行为分类信息；

判定模块，用于依据测试结果对待测样本图标分类和软件行为分类信息的行为一致性进行判定，若一致，则判定为正常软件，若不一致，则判定为恶意软件，并生成恶意程序检测报告输出。