[发明专利]一种基于元路径的恶意软件检测方法

权利要求书

1.一种基于元路径的恶意软件检测方法，其特征在于，包括以下步骤：

S1、收集足够多恶意软件和良性软件样本，抽取各个软件特征构建异质信息网络；

S2、根据算法获得异质信息网络各个顶点的向量表示；

S3、根据算法生成各个恶意软件和良性软件的图片表示，并输入进神经网络进行训练得到检测模型；

S4.按算法生成待检测软件的图片表示，输入进检测模型进行检测。

2.根据权利要求1所述的一种基于元路径的恶意软件检测方法，其特征在于，所述S1中，异质信息网络(Heterogeneous Information Network)是一种包含多类型对象和表示不同关系的多类型链接的有向图，定义为G＝(V,E)，其中V为顶点集合，E为边集合，顶点为实体，边表示各实体之间的关系。

3.根据权利要求1所述的一种基于元路径的恶意软件检测方法，其特征在于，所述S1中，异质信息网络模式，算法定义如下五种实体：应用程序(APP)、文件(File)、应用程序接口(API)、动态链接库(DLL)、IP地址(IP)；基于以上五种实体定义了如下五种关系：APP创建(Create)File、APP包含(Involve)API、API属于(Belong)DLL、APP发送数据(Send)至IP地址、APP调用(Invoke)DLL。

4.根据权利要求1所述的一种基于元路径的恶意软件检测方法，其特征在于，所述S2中，表示学习即为将异质信息网络中的节点映射到一个远小于节点数量的d维向量空间中，并可以保持原有的结构和语义信息，基于不同meta-path来引导的随机游走，得到异质信息网络中上下文的映射，然后使用skip-gram算法学习异质信息网络中顶点的表示。

5.根据权利要求4所述的一种基于元路径的恶意软件检测方法，其特征在于，随机游走(Random walk)是一个由随机变量v¹、v²、v³...vⁿ构成的随机过程，节点vⁱ⁺¹从vⁱ的邻居节点中随机选取，P(vⁱ⁺¹|vⁱ)呈正则化概率分布，且概率和为1。

6.根据权利要求1所述的一种基于元路径的恶意软件检测方法，其特征在于，所述S3中，选用Inception-Resnet v1神经网络模型进行训练和预测。

7.根据权利要求1所述的一种基于元路径的恶意软件检测方法，其特征在于，所述S3中，算法中神经网络模型的Input层的维度需要修改为64x64x1，并且需要对后面的结构进行适应化的修改，最后由softmax层输出该APP属于良性软件或恶意软件的概率，选择概率较大的类别做为预测结果进行输出。