[发明专利]基于注意力机制的恶意代码检测方法

说明书

本发明公开了一种基于注意力机制的恶意代码检测方法，包括获取恶意代码及正常程序并构建特征库；将恶意代码进行区块划分和处理得到双通道恶意代码图片；构建恶意代码检测初步模型并训练得到最终的恶意代码检测模型；采用恶意代码检测模型进行恶意代码检测。本发明使用3‑gram模型处理并构建3‑gram特征库，再将操作码按照函数划分块，通过将块映射成图像中的不同行得到一个单通道图像；然后增加一个新的图像通道并根据3‑gram特征库填入当前位置操作码的权重值，该通道可以有效的展现出恶意代码中关键的代码区域；最后针对该恶意代码图像，采用改进的识别模型进行恶意代码识别；因此，本发明方法可靠性高、实用性好且识别效率高。

技术领域

本发明属于信息技术领域，具体涉及一种基于注意力机制的恶意代码检测方法。

背景技术

随着经济技术的发展和人们生活水平的提高，由恶意代码所引发的安全问题也越来越多。根据国家互联网应急中心的报告，近几年恶意代码的数量迅速增长，恶意代码带来的威胁也日益严重。如何快速有效的检测恶意代码，成为当前信息安全不可回避的挑战之一。

早期的恶意代码检测方法，主要是根据这些特征信息生成特征签名或者启发式规则来判断恶意代码。然而，随着恶意代码的演化，早期的检测方法并不能有效的识别恶意代码。

近年来，随着深度学习算法的兴起，研究人员提出了不少基于深度学习的恶意代码检测模型。尽管目前基于深度学习的检测方法在一定程度上提升了恶意代码的识别率，但是深度学习主要应用于图像识别和自然语言处理方面，因此无法直接将恶意代码输入至神经网络并进行训练，而是需要首先将恶意代码转换成特征向量或者图像的形式。目前，恶意代码转换为图像的方法，通常是将其中的操作码或者字节码映射成数字作为图像中的像素值；然而，这种方法生成的图像包含信息比较单一，而且容易受到混淆的干扰，从而导致神经网络的识别率下降。

发明内容

本发明的目的在于提供一种可靠性高、实用性好且识别效率高的基于注意力机制的恶意代码检测方法。

本发明提供的这种基于注意力机制的恶意代码检测方法，包括如下步骤：

S1.获取恶意代码及正常程序作为基础数据，并构建特征库；

S2.将步骤S1得到的恶意代码进行区块划分；

S3.将步骤S2得到的划分后的恶意代码进行处理，从而得到双通道恶意代码图片；

S4.构建恶意代码检测初步模型；

S5.采用步骤S3得到的双通道恶意代码图片，以及步骤S1获取的正常程序，对步骤S4构建的恶意代码检测初步模型进行训练，从而得到最终的恶意代码检测模型；

S6.采用步骤S5得到的恶意代码检测模型进行恶意代码检测。

步骤S1所述的获取恶意代码及正常程序作为基础数据，并构建特征库，具体为从采用如下步骤构建特征库：

A.获取恶意代码数据集和正常程序数据集；

B.对获取的恶意代码进行反汇编，并按照函数进行分块；

C.采用3-gram模型对每个函数内的操作码进行切分，从而得到3-gram特征；

D.采用如下算式计算每个3-gram特征的频率f_y(Dⁱ)：

式中D为3-gram特征集合；Dⁱ为所有3-gram特征中的第i个特征；y为恶意代码样本；S(Dⁱ,y)为样本y中特征Dⁱ的总数；样本中每个3-gram特征的频率在区间[0,1]内；