[发明专利]一种恶意软件的检测方法

权利要求书

1.一种恶意软件的检测方法，其特征在于：将软件的二进制代码转换为图片，使用一种基于CNN的深度学习模型对图片进行迁移学习，通过数据训练让深度学习模型自动寻找特征，从而对正常软件和恶意软件进行分类。

2.根据权利要求1所述的一种恶意软件的检测方法，其特征在于：所述深度学习模型为Inception-Resnet-v2。

3.根据权利要求1或2所述的一种恶意软件的检测方法，其特征在于：具体包括以下步骤：

（1）数据准备：收集大量正常软件和恶意软件，对所收集的软件进行训练；

（2）二进制文件转换为图片：给定一个恶意软件的二进制文件，读出的二进制流即为8bit的非负整数向量，8bit表示的数值范围是0-255，对应灰度图的0-255像素值，那么二进制流每8bit映射为一个像素点，值为像素值，根据文件的大小把这些像素值调整为一个二维矩阵，得到一张图片；

（3）图片预处理：将需要训练的软件转为图片后，对所转化的图片的长度与宽度均调整一致；

（4）建立模型：使用ImageNet数据集来训练Inception-Resnet-v2，通过训练后得到一个图片分类模型，在此模型的基础上，开始训练恶意软件的样本；

（5）训练模型：使用TensorFlow深度学习框架来实现模型的搭建，需把图片转换为TensorFlow的tf-record数据格式，然后对tf-record数据分割为训练集和测试集，训练集用来训练模型，测试集用来评估模型的泛化能力，根据评估结果再对模型参数进行调整，使训练得到的模型可以单独部署并对恶意软件进行分类检测。

4.根据权利要求3所述的一种恶意软件的检测方法，其特征在于：使用Inception-Resnet-v2模型做迁移学习，Inception-Resnet-v2是一个基于CNN的深度神经网络，使用大量的1x1,1x3,3x1,1x7,7x1的卷积核对图片提取特征，并由这些卷积核组成若干模块，也就是Inception模块，再把这些模块叠加起来构成Inception模型，使得模型深度加深，在步骤（4）中，为了图片的浅层信息能传递至深层，需在每个Inception模块上加了Resnet网络，即跳跃连接。