[发明专利]一种基于卷积神经网络的恶意软件流量分类方法

权利要求书

1.一种基于卷积神经网络的恶意软件流量分类方法，其特征在于，该基于卷积神经网络的恶意软件流量分类方法具体包括以下步骤：

步骤一：恶意代码映射为单通道的信号；

步骤二：信号处理生成信号的语谱图；

步骤三：语谱图转化为恒定大小的灰度图；

步骤四：卷积神经网络实现恶意代码的分类。

2.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤一中，所述的恶意代码的映射用到文件属性(fp)对恶意软件分类非常有用，压缩率可以很大程度上描述文件的类型，本文提取了字节文件与反汇编文件大小和压缩率，并且获取了他们的比值。

3.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤二中，所述的语谱图的生成在汇编代码中，软件的行为通常由一些代码关键字符或者字符串(key)决定；程序节、操作码、应用编程接口调用和动态链接库在很大程度上描述了一个软件的行为与目的，这些属性的数量与分布具有一定的规律，统计他们出现的频率，与其占的比例；所述的语谱图的生成中用到熵；所述的熵(ent)是信息不确定性的一个测度，熵越大则表示信息的不确定程度越高。

4.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤三中，所述的使用图像缩放算法将语谱图转化为恒定大小的灰度图。

5.如权利要求4所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤三中，所述的恶意软件可以通过将每个字节解释为图像中的一个像素而把字节文件形象转化为灰度图像，将字节表示为像素，很容易可以得到图像的像素强度，因此提取图像的前300～600像素强度作为特。

6.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤四中，所述的分类用的分类器分别是常用的ExtraTreesClassiffier、支持向量机和一种渐进回归树的优化算法xgboost，对比多种分类器，最终实验使用多分类器融合，使用80％的xgboost和20％的ExtraTreesClassiffier作为分类算法。

7.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤二中，应用到N-gram，所述的N-gram是NLP领域中非常重要的一个概念，N-gram的一个主要作用是评估2段文字之间的差异程度，是模糊匹配中最常用的一种手段。

8.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤四中，所述的分类用的分类器分别是常用的ExtraTreesClassiffier、支持向量机和一种渐进回归树的优化算法xgboost，对比多种分类器，最终实验使用多分类器融合，使用80％的xgboost和20％的ExtraTreesClassiffier作为分类算法。

9.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤二中，所述的语谱图的生成中用到熵；所述的熵(ent)是信息不确定性的一个测度，熵越大则表示信息的不确定程度越高。

10.如权利要求1所述的基于卷积神经网络的恶意软件流量分类方法，其特征在于，在步骤二中，所述的熵压缩了字节文件中每4kB块的字节，使用香农公式计算每块的熵e作为特征：

其中，p(i)代表这一块中字节i的频率；m代表窗口内不同字节的数量。