[发明专利]基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质

说明书

本发明公开了一种基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质，方法包括：构造API类别数据库Q；提取恶意软件API调用顺序链；根据API调用顺序链构造API调用关系对，得到API调用关系对有向图G；使用最大熵模型中的改进的迭代尺度算法进行权重的确定，得到每个API调用关系对的权重w_i,j；得到代表恶意软件调用API行为的RGB图像；构造stacking多模型融合分类器并进行训练学习，将代表每一个恶意软件行为特征的RGB图像数据集输入分类器中，从而预测出所属恶意软件家族名称。本发明通过将恶意软件的API调用行为通过转换规则转换为RGB图像，转换过程不仅考虑API调用的次数，同时也考虑到了API之间调用的关系，使用Stacking技术进行多模型融合，能够提高模型的准确度。

技术领域

本发明属于恶意软件分类的技术领域，具体涉及一种基于RGB图像和Stacking多模型融合的恶意软件家族分类方法、系统和介质。

背景技术

恶意软件是指为达成某种恶意目的而编写的可执行程序，包括病毒、蠕虫和特洛伊木马。其中勒索软件给社会造成了严重影响，勒索软件主要采用邮件钓鱼、账号爆破和漏洞利用等方式攻击企业、政府和教育等中大型政企机构，从中牟取暴利。同时，恶意软件的数量也在逐年增加，如2020年，安全社区已知的恶意可执行软件的数量已经超过11亿，而且这个数字可能还会持续增长。造成恶意软件数量增加的原因有以下三点：第一，随着网络技术的高速发展，恶意软件的传播途径也越来越多，如下载盗版电影、搜索热话题和安装来路不明的防病毒软件等。第二，自动化恶意软件生成工具的滥用导致恶意软件变体数量的增多。第三，恶意软件犯罪团伙逐渐形成规模化的商业运行，形成新的恶意软件合作生态。

针对以上问题，可以采取恶意软件家族分类的方法来对未知的恶意软件进行针对性的防御。从整体上看，恶意软件分类技术依托于恶意软件检测方法，目前恶意软件检测方法主要有三类：静态分析法、动态分析法和可视化技术。

静态分析法侧重于恶意软件在文本形式下的表现，通过对恶意软件本身二进制文件、可执行文件或者反汇编文件提取到的静态特征进行分析，同一恶意软件家族代码复用会导致恶意软件作者或者团队编码具有相似性，因此当同一家族恶意软件载入内存中执行时其数据和结构信息也会具有一定的相似性。当采用静态分析法时，当恶意软件进行加壳、资源混淆时，是无法获取静态特征。恶意软件加壳指的是恶意软件编写者压缩、加密或者以其他方式破坏恶意软件程序的过程，当恶意软件运行时，它会自动解包，执行。恶意软件资源混淆指的是混淆程序资源存储在磁盘上的方式，然后再恶意软件运行时进行混淆还原，以便恶意软件可以使用它们。除此之外，还有反汇编技术、动态下载数据等局限性。

动态分析法侧重于恶意软件的行为特征，通过在虚拟受控的环境中执行恶意软件样本，记录恶意软件的行为信息，如行为日志、上下文参数、API调用序列等。通过运行恶意软件，可以找出特定恶意软件文件连接到了哪些服务器，修改了哪些参数以及执行了哪些设备的输入/输出。此方法可以绕过恶意软件加壳的局限，但是当时恶意软件在执行的过程中没有网络行为，则无法解决。这个方法仅适用于有网络行为的恶意软件的检测，没有泛化能力。

可视化技术通过将恶意软件通过静态分析法或者动态分析法得到的信息进行可视化处理，可视化的数据通常比非可视化的统计结果更直观，将安全数据可视化可以快速识别恶意软件在整个威胁范围内的发展趋势。但该方法只考虑恶意软件在整个执行过程中的执行次数，而没有考虑API和API之间的相关性，而在实际中，恶意软件调用的API与API之间的相关性对于分类结果来说具有很大影响。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种基于RGB图像和Stacking 多模型融合的恶意软件家族分类方法、系统和介质，本发明构恶意软件API调用序列顺序性和相关性，即不关注单个API或完整的API调用顺序，而是用API调用关系对来表示此时恶意软件的行为和当前状态。

为了达到上述目的，本发明采用以下技术方案：