[发明专利]基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质

权利要求书

1.基于RGB图像和Stacking多模型融合的恶意软件家族分类方法，其特征在于，包括下述步骤：

构造API类别数据库Q；

将未知恶意软件M在沙箱中执行，获取执行报告，从执行报告中提取此恶意软件API调用顺序链api_calls＝{x₁,x₂,x₃,...,x_n}，x_i为恶意软件M调用API的名字；

根据API调用顺序链构造API调用关系对，从而得到API调用关系对有向图G；

使用最大熵模型中的改进的迭代尺度算法进行权重的确定，得到每个API调用关系对的权重w_i,j；

由API调用关系对和权重结合API类别数据库Q进行RGB像素点的填充，得到代表恶意软件调用API行为的RGB图像，该RGB图像能很好的代表恶意软件API和API之间的关系；

构造stacking多模型融合算法并进行训练学习，所述stacking多模型融合算法分为两层训练过程，第一层将原始数据集划分为若干个子数据集，输入各个基学习器中进行学习，每个基学习器输出各自的预测结果；第二层将第一级输出结果作为输入，并由第二层的学习器进行学习，并输出最终的预测结果；

将代表每一个恶意软件行为特征的RGB图像数据集输入stacking多模型融合算法中，从而预测出所属恶意软件家族的概率值，取最大概率值为未知恶意软件的分类结果。

2.根据权利要求1所述基于RGB图像和Stacking多模型融合的恶意软件家族分类方法，其特征在于，所述构造API类别数据库，具体为：

将API划分为[0，255]共256个类别，API类别编号[0，11]根据windows API参考手册中的类别进行划分；

API类别编号[12,255]根据热门恶意软件使用API报告中的出现次数进行划分，相邻间隔为1200次。

3.根据权利要求1所述基于RGB图像和Stacking多模型融合的恶意软件家族分类方法，其特征在于，所述API调用关系对为：

g＝{x₁,y₁＝x₂,x₂,y₂＝x₃,x₃,y₃＝x₄,…,x_n-1，y_n-1＝x_n}

所述API调用关系对有向图G的定义：

G＝(S,E)，S为调用API的集合

其中w_i为x_i到x_j的权重，代表x_i被调用后，x_j被调用的概率。