[发明专利]恶意软件检测方法、装置、设备及存储介质

权利要求书

1.一种恶意软件检测方法，其特征在于，所述方法包括：

静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；

对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；

结合所述语义特征向量与所述函数调用图，生成属性函数调用图；

将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息。

2.根据权利要求1所述方法，其特征在于，所述静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图，包括：

判断所述二进制文件是否采用加壳技术；

当所述二进制文件采用加壳技术时，利用自动脱壳技术对所述二进制文件进行处理；

对脱壳后的二进制文件进行反汇编，获得所述待检测软件的汇编代码；

根据所述汇编代码构建所述待检测软件的函数调用图。

3.根据权利要求1所述方法，其特征在于，所述对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量，包括：

规范化处理所述汇编代码，得到规范化汇编代码；

将每个函数的规范化汇编代码转为多个格式规范的词法单元token；

将每个token映射为向量表示；

聚合函数内所有token的向量表示，得到函数的语义特征向量。

4.根据权利要求1所述方法，其特征在于，所述图神经网络分类模型包括：图神经网络层、全连接层和激活层，所述图神经网络层后接所述全连接层，所述全连接层后接所述激活层；

所述将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息，包括：

将所述属性函数调用图输入图神经网络层，获取程序嵌入向量表示；

其中，所述全连接层用于判断所述程序嵌入向量表示与恶意属性的非线性关系；

所述激活层用于依据所述非线性关系预测所述待检测软件的恶意属性信息。

5.一种恶意软件检测装置，其特征在于，所述装置包括：

静态分析信息提取器，用于静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；

语义特征提取器，用于对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；

结构特征组合器，用于结合所述语义特征向量与所述函数调用图，生成属性函数调用图；

图神经网络分类模型，用于依据所述属性函数调用图检测所述待检测软件的恶意属性信息。

6.根据权利要求5所述装置，其特征在于，所述静态分析信息提取器，包括：

查壳单元，用于判断所述二进制文件是否采用加壳技术；

脱壳单元，用于当所述二进制文件采用加壳技术时，利用自动脱壳技术对所述二进制文件进行处理；

反汇编单元，用于对脱壳后的二进制文件进行反汇编，获得所述待检测软件的汇编代码；

函数调用图提取单元，用于根据所述汇编代码构建所述待检测软件的函数调用图。

7.根据权利要求5所述装置，其特征在于，所述语义特征提取器，包括：

规范化子模块，用于规范化处理所述汇编代码，得到规范化汇编代码；

词法单元token转换子模块，用于将每个函数的规范化汇编代码转为多个格式规范的词法单元token；

向量表示转换子模块，用于将每个token映射为向量表示；

聚合子模块，用于聚合函数内所有token的向量表示，得到函数的语义特征向量。