[发明专利]对恶意代码检测的方法及系统

权利要求书

1.对恶意代码检测的方法，其特征包括步骤：

A.预处理：将预先已获取的包含PE文件的训练数据集中具有恶意代码的PE文件和正常PE文件分开，对单个PE文件的二进制数据提取相应的特征，包括对应的操作码、API调用序列和PE文件头部字段；

B.对对应的操作码、API调用序列和PE文件头部字段通过层叠降噪自编码器进行降维处理，得到降维后的特征向量；

C.将门控卷积网络作为深度学习模型的前半部分，通过门控卷积网络提取二进制数据的特征，作为深度学习模型前半部分的特征向量；

D.将步骤B得到的降维后的特征向量输入到所述门控卷积网络中，与步骤C得到的深度学习模型前半部分的特征向量进行组合后，作为新的特征输入到作为深度学习模型后半部分的全连接神经网络中，生成最终的待分类特征向量；

E.循环步骤A～步骤D，直到所有的PE文件都生成了对应的待分类特征向量；

F.设置测试数据集，在测试数据集中包含正常PE文件和具有恶意代码的PE文件；将测试数据集中的PE文件通过步骤A～步骤E得到的所有待分类特征向量输入分类器进行分类，并将分类结果与测试数据集中已知的PE文件类别进行比较以验证深度学习模型的正确性是否达到期望值，并通过对所述门控卷积网络和全连接神经网络的参数调整获得最优化的深度学习模型。

2.如权利要求1所述的对恶意代码检测的方法，其特征为：步骤A中将训练数据集中具有恶意代码的PE文件和正常PE文件分开后，分别对单个PE文件进行查壳处理，并做标记，然后根据标记确定每类壳的脱壳工具，得到各PE文件的二进制数据。

3.如权利要求2所述的对恶意代码检测的方法，其特征为：步骤A中对得到的PE文件的二进制数据进行反汇编，得到该PE文件反汇编后的汇编指令，该汇编指令为所述的操作码；将单个PE文件的操作码按照3-gram的形式依次组成相应的序列，计算每个序列的TF-IDF；然后提取每个PE文件二进制数据的API调用序列和PE文件头部字段；

每个序列的TF-IDF与对应的API调用序列以及PE文件头部字段组合为该PE文件的组合特征；步骤B中对所有PE文件的组合特征分别进行所述的降维处理。

4.如权利要求1所述的对恶意代码检测的方法，其特征为：步骤B得到维度为30的指纹特征类型的特征向量。

5.如权利要求1所述的对恶意代码检测的方法，其特征为：步骤C中，将一个PE文件的二进制数据通过词嵌入算法生成一个embbding矩阵，将所述的embbding矩阵输入到门控卷积网络，通过门控卷积网络提取二进制数据的特征。

6.用于权利要求1至5之一所述方法的系统，其特征包括：

预处理模块：用于获取PE文件的特征，包括操作码、API调用序列和PE文件头部字段；

特征处理模块：用于接收预处理模块的输出，对所述特征通过层叠降噪自编码器进行降维处理，得到降维后的特征向量；

深度学习建模模块：根据PE文件的二进制数据的特征和降维后的特征向量，通过门控卷积网络和全连接神经网络得到深度学习模型，并最终生成待分类特征向量；

分类器：对深度学习建模模块生成的待分类特征向量分类。