[发明专利]基于轻量级网络ESPNet的恶意代码检测算法

权利要求书

1.基于局部信息熵的图像表征方法，其特征在于：包括：

通过对样本软件进行反编译，提取出二进制文件.dex和.xml文件并进行读取，每8位二进制数字为一组；

对形成的每组8位二进制数据进行转化，生成无符号的十进制整型数字，整型数值范围在0～255之间；

把得到的十进制整型数字的数组转化成一个固定宽度为256的二维矩阵；

通过设置参数N，来获得某一个整数附近2N×2N方块(不包括边缘位置)范围内的数据，并转化为一维数组，然后通过香农信息熵计算公式计算数组的局部信息熵，其中p_i表示数字i出现的概率；

为了使图像具有明显的区分度，需将得到的局部信息熵数值按公式f(E)＝a^E以指数的形式放大，并将得到的局部信息熵数据依次排列，然后调用opencv内置的cv2.applyColorMap函数进行颜色的映射，分别生成关于.dex和.xml文件的彩色图像；再将固定宽度都为256的.dex文件图像和.xml文件图像进行上下位置的拼接，最终形成恶意代码的局部信息熵彩色图像。

2.以ESPNetV2为主体的恶意代码检测框架，其特征在于：包括：

ESPNetV2网络：首先是3×3的卷积操作以及随后的EESP模块的叠加使用，除了最后一层的分组逐点卷积外，所有的卷积和EESP模块后面都有一个批处理归一化操作和PReLu激活函数层，最后经过全局平均池化和全连接层得到输出结果(ESPNetV2网络结构见附图3)；

EESP模块：该模块首先使用分组逐点卷积将高维输入特征进行降维投影到低维空间，然后使用不同空洞率的空洞卷积并行学习表示，最后将各分支的输出特征进行连接相加得到最终的输入结果(EESP模块的结构图见附图4)；

StridedEESP模块：由ESPNetV2网络中对原本的EESP模块进行产生，主要是通过一个输入图像的快捷连接和具有步长特性的EESP模块组成，该模块利用步长为2的深度可分离空洞卷积替换了原本的深度可分离空洞卷积，并且添加了平均池化操作而且单个元素的加法操作也被级联操作所取代(Strided EESP模块的结构图见附图5)；

CBAM注意力模块：由通道注意力和空间注意力两个子模块构成的，其原理图如附图6，整体的计算公式如下：

其中F为输入的特征图，M_c(F)为F经过通道注意力模块后的输出，M_s(F′)为F′经过空间注意力模块后的输出；

本发明在ESPNetV2网络的第5层的GConv和GAvgPool层之间嵌入CBAM模块(CBAM模块在ESPNetV2网络结构中嵌入的位置见附图7)。