[发明专利]一种恶意软件的检测方法

说明书

本发明提供一种恶意软件的检测方法，首先把软件二进制转换为图片，使问题转换为一个图片分类问题，然后使用一种基于CNN的深度学习模型Inception‑Resnet‑v2对图片进行迁移学习，通过大量数据的训练让模型自动寻找特征去对正常软件和恶意软件进行分类，无需大量特征工程。Inception‑Resnet‑v2模型已经在ImageNet这个数据集上取得非常好的图片分类效果。本发明使用基于ImageNet数据集预训练后的模型再来对软件的图片进行迁移学习，能达到非常好的效果，准确率达95%以上。

技术领域

本发明涉及计算机、服务器安全防护技术领域，特指一种恶意软件的检测方法。

背景技术

恶意软件（Malware, malicious software），又称“流氓软件”，一般是指通过网络、便携式存储设备等途径散播的，故意对个人计算机、服务器、智能设备、计算机网络等造成隐私或机密数据外泄、系统损害、数据丢失等非使用预期故障及信息安全问题，并且试图以各种方式阻挡用户移除它们，恶意软件的形式包括二进制可执行档、脚本、活动内容等。就定义来说，计算机病毒、计算机蠕虫、特洛伊木马、勒索软件、间谍软件、恐吓软件、利用漏洞运行的软件、甚至是一些广告软件，也被囊括在恶意软件的分类中。

恶意软件对设备造成的安全威胁很大，它们通常通过各种手段伪装自己，使得对其的检测十分困难。过去的一些检测方式多采用md5库匹配，特征匹配，沙箱运行行为观察等手段。但如果恶意软件稍微修改代码后就可以使这些方式失效，造成不能及时发现新的恶意软件，基于这些方法检测方法已经过时，目前较为先进的方法是使用深度学习对大量正常和恶意软件进行训练，从而识别恶意软件，主要专利有《WO2017084586A1：基于深度学习方法推断恶意代码规则的方法、系统及设备》《CN102243699A：未知恶意代码的深度学习检测方法》。但是这样的深度学习方法需要做大量的特征工程，针对软件的二进制字节抽取特征，比如字节长度， n-gram的隐式马尔科夫概率，信息熵等。还有的针对二进制字符做词嵌入来训练恶意软件的特征，而且只能针对某一种软件格式，比如Android软件。这都需要非常大的工作量和计算成本，同时检测准确率完全依赖于特征的处理，并且泛化能力弱，不能对大量的其他类型的恶意软件进行检测。

现有的恶意软件检测技术主要有基于恶意软件二进制的静态检测和基于恶意软件沙箱运行的动态检测。这些检测技术对于代码混淆，加壳，变异后的恶意软件检测效果很差。不管是对于代码的反向分析，还是观察恶意软件在沙箱里运行的行为是否有害，这些检测方式成本都很高，而且对安全分析人员的素质要求也高，准确率非常不稳定。

发明内容

本发明的目的在于针对已有的技术现状，提供一种恶意软件的检测方法，该方法能减少人工特征的提取工作，支持多种文件格式，增加可解释性，同时相应的提高了检测准确率。

为达到上述目的，本发明采用如下技术方案：

本发明为一种恶意软件的检测方法，将软件的二进制代码转换为图片，使用一种基于CNN的深度学习模型对图片进行迁移学习，通过数据训练让深度学习模型自动寻找特征，从而对正常软件和恶意软件进行分类。

进一步的，深度学习模型为Inception-Resnet-v2。

本发明的恶意软件的检测方法，具体包括以下步骤：

（1）数据准备：收集大量正常软件和恶意软件，对所收集的软件进行训练，所收集的软件格式涵盖了大部分常用的软件格式，主要有exe, apk, jar, doc, docx, xls, xlsx,ppt, pptx, pdf, csv, txt, png, log, tsv, html, js, css, xml；恶意代码有可能隐藏在以上的这些软件格式里，对这些软件格式的文件进行训练能达到最大限度的检测各类恶意软件。