[发明专利]一种用于识别恶意软件的方法及装置、设备

权利要求书

1.一种用于识别恶意软件的方法，其特征在于，包括：

获取待识别软件的调用特征图；

将所述调用特征图进行符号化表示，获得符号化特征图；

将所述符号化特征图输入预设的恶意软件识别模型，获得识别指标；其中，所述恶意软件识别模型包括图卷积层；所述图卷积层用于获取输入特征图，并获取所述输入特征图中各节点的节点方向集合，然后根据所述节点方向集合和所述输入特征图进行卷积操作获得卷积特征图；所述节点方向集合包括目标节点、流入节点子集、流出节点子集；所述输入特征图为符号化特征图或卷积特征图；

根据所述识别指标识别所述待识别软件是否为恶意软件；

所述获取待识别软件的调用特征图，包括：获取所述待识别软件的组件列表；根据所述组件列表获取系统调用列表；根据所述系统调用列表获取所述待识别软件的调用特征图；所述系统调用列表包括若干Linux内核系统调用；所述待识别软件为Android(安卓)平台软件；

所述将所述调用特征图进行符号化表示，获得符号化特征图，包括：将所述调用特征图G＝(V,E)进行符号化表示，获得符号化特征图Γ＝(V_Γ,A_Γ,M_Γ,X_Γ)；其中，G为调用特征图，V为调用特征图的节点集合，E为调用特征图的有向边集合；V_Γ为系统调用集合，A_Γ为调用关系矩阵，M_Γ为调用次数矩阵，X_Γ为节点特征表示集合；

所述根据所述节点方向集合和所述输入特征图进行卷积操作获得卷积特征图，包括：分别获取节点方向集合中目标节点、流入节点子集和流出节点子集对应的邻接矩阵，获得目标节点邻接矩阵、流入节点邻接矩阵和流出节点邻接矩阵；对所述输入特征图、所述目标节点邻接矩阵、所述流入节点邻接矩阵和所述流出节点邻接矩阵进行融合，获得卷积特征图。

2.根据权利要求1所述的方法，其特征在于，获取待识别软件的组件列表，包括：

解压缩待识别软件的安装文件，获得访问清单文件；

根据所述访问清单文件获取所述待识别软件的组件列表；所述组件列表包括所述访问清单文件中的程序包名称和可运行组件名称。

3.根据权利要求1所述的方法，其特征在于，根据所述组件列表获取系统调用列表，包括：

根据所述组件列表遍历执行所述待识别软件的每个组件，获得系统调用列表。

4.根据权利要求1所述的方法，其特征在于，所述调用特征图包括若干节点以及各所述节点之间的有向边；根据系统调用列表获取所述待识别软件的调用特征图，包括：

根据系统调用列表获取系统调用ID、系统调用频率、系统调用顺序；

根据所述系统调用ID和所述系统调用频率确定所述调用特征图的节点；

根据所述系统调用顺序获取所述调用特征图中各所述节点之间的有向边。

5.根据权利要求1所述的方法，其特征在于，将符号化特征图输入预设的恶意软件识别模型，获得识别指标，包括：

将符号化特征图输入预设层数的图卷积层进行图卷积操作，将最后一层图卷积层输出的卷积特征图确定为第一特征表示；

通过所述恶意软件识别模型的全连接层将所述第一特征表示的维度调整为预设维度数，获得第二特征表示；

通过所述恶意软件识别模型的softmax函数将所述第二特征表示进行两极化，获得识别指标。

6.根据权利要求1所述的方法，其特征在于，获取恶意软件识别模型的方法包括：

采集若干软件样本；

获取所述软件样本的样本调用特征图；

将所述样本调用特征图进行符号化表示，获得样本符号化特征图；

将带有样本标签的所述样本符号化特征图输入预设的神经网络模型进行训练，获得恶意软件识别模型；所述样本标签包括正常软件标签和恶意软件标签。

7.一种用于识别恶意软件的装置，包括处理器和存储有程序指令的存储器，其特征在于，所述处理器被配置为在运行所述程序指令时，执行如权利要求1至6任一项所述的用于识别恶意软件的方法。

8.一种设备，其特征在于，包括如权利要求7所述的用于识别恶意软件的装置。