[发明专利]一种基于层次注意力网络模型的恶意软件分类方法

权利要求书

1.一种基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述方法包括以下步骤：

S1对恶意软件PE样本进行反汇编，对应的获取汇编代码文件；

S2从所述汇编代码文件中提取操作码序列，生成操作码序列文档；

S3对所述操作码序列文档中的每一个操作码进行词嵌入，即生成词向量；

S4将操作码序列文档送入层次注意力网络模型，输出注意力权重矩阵和分类结果；

S5根据注意力权重矩阵对操作码序列进行图片可视化，通过权重矩阵的权重值大小对应的颜色深浅说明每个操作码、每个操作码序列对于分类的重要性。

2.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，将操作码视为词，代码文件中的基本块视为句。

3.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述步骤S1中，使用IDA pro工具对PE恶意软件进行反汇编，获取对应的IntelX86汇编格式代码文件。

4.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述步骤S2中，从汇编代码文件中提取.text代码段中的操作码序列，在去除“align、dd、db、dw”四个操作码后，生成操作码序列文档。

5.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述步骤S3中，词嵌入操作使用Word2Vec模型作为词嵌入模型并采用CBOW算法实现；所述模型作为步骤S4中层次注意力网络模型的嵌入层使用。

6.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述步骤S4中，层次注意力网络模型包括输入层，嵌入层、词编码层，词注意力层，句编码层，句注意力层与输出层；其中，输入层接收操作码序列文档作为输入，嵌入层使用步骤S3中使用的Word2Vec模型，对操作码序列文档的每个操作码索引输出词向量，词编码层和句编码层使用BiGRU循环神经网络层，词注意力层和句注意力层均使用注意力机制，分别输出词注意矩阵和句注意矩阵并保存，供步骤S5使用；在输出层，使用softmax激活函数，输出模型预测的家族类别。

7.根据权利要求1所述的基于层次注意力网络模型的恶意软件分类方法，其特征在于，所述步骤S5中，使用LaTeX语法来实现可视化；其中，从词注意矩阵和句注意矩阵中，可以得到操作码和句子中在分类的相应权重，使用LaTeX语法将操作码序列文档可视化为图片，在可视化图片中，操作码和句子上颜色的深浅由相应的权重确定。