[发明专利]一种基于API片段的恶意代码检测方法

权利要求书

1.一种基于API片段的恶意代码检测方法，其特征在于：

恶意代码的本质属性，即局部恶意性；

在此基础上提取了能够保持恶意代码属性的局部特征，通过深度学习构建了LSTM模型，训练了一组分类器，而后通过集成学习的方法，对整个代码序列做出决策判断；

集成学习的方法包括训练和检测两个部分；

利用训练部分获得用于分类API片段的分类器，在检测部分对样本产生的API片段进行判定，而后根据阈值M，当恶意的API片段所占比例超过M时，决策系统判定为恶意代码，否则判定为良性代码；

检测部分，利用滑动窗口切分未知样本为若干个API片段集合，通过训练部分训练的分类器，对API片段进行投票判定，而后根据判定为恶意API片段的比例，当比例值超过阈值M时，判定为恶意代码，否则判定为良性代码。

2.根据权利要求1所述的基于API片段的恶意代码检测方法，其特征在于：首先分析了恶意代码的局部恶意性，利用IDA Pro工具进行逆向分析，即一个API片段构成了木马的提权操作；恶意代码的恶意性主要是体现在恶意API的调用上，恶意API的调用要是由一组API顺序执行才能够形成恶意操作；同时，这种恶意性也是基于局部的，即局部恶意性。

3.根据权利要求1所述的基于API片段的恶意代码检测方法，其特征在于：训练部分通过训练分类器，输入已知的恶意代码种类，通过数据处理模块，获取恶意代码API执行序列，并通过word2vec将API唯一的映射为一个数字，而后将API执行序列转换为数字序列；通过特征提取模块，将API片段提取出来，并通过去重方法，保留每种恶意代码类别下的唯一的API片段；通过训练模型模块，将所属不同恶意代码类别的API片段送入LSTM模型进行训练。

4.根据权利要求1所述的基于API片段的恶意代码检测方法，其特征在于检测部分的步骤：

生成API片段，使用滑动窗口长度为N，以步长为1进行滑动，对于长度为M的API片段，将产生M-N+1个API片段；

去除重复的API片段，利用将恶意API片段与正常的API片段进行比对，当正常的API片段集合中包含该API片段时，从恶意的API片段集合中去除掉；

送入深度LSTM模型进行训练；输入是含有API片段，API片段的标签由产生该API片段的样本的类别决定；输出为API片段所属的类别；

检测时，首先获取待检测样本的API执行序列，而后转换为唯一的数字序列，之后进行切片操作；将产生的切片集合送入之前训练好的模型，输出切片的类别；当切片的类别数目达到阈值M时，给出判定结果。