[发明专利]一种基于改进B2M算法的恶意代码检测引擎设计方法

权利要求书

1.一种基于改进B2M算法的恶意代码检测引擎设计方法，其特征在于，包括以下步骤：

S1、分别获取良性和恶意的二进制文件；

S2、使用改进的B2M算法把良性和恶意的二进制文件分别映射为等长、等宽的正方形代码灰度图像，然后分别对转换后得到的正方形代码灰度图像数据集进行预处理；

S3、将预处理得到的两种正方形代码灰度图像数据集分别进行如下处理：划分为训练集和测试集，将良性二进制文件生成的训练集作为输入，训练基于机器学习分类算法设计的检测引擎，将恶意二进制文件生成的训练集作为输入，训练基于残差神经网络设计的检测引擎；

S4、使用同一测试集评估两种检测引擎的性能指标；

S5、基于恶意的二进制文件生成的正方形代码灰度图像数据集，利用优化后的生成对抗网络GAN模型生成补充的图像样本；

S6、对两种检测引擎进行再训练；

S7、再次使用同一测试集评估使用优化后的生成对抗网络模型丰富图像样本前、后的两种检测引擎的性能指标，观察是否对检测引擎的性能起到了增强效果。

2.如权利要求1所述的方法，其特征在于，步骤S1包括：采集恶意的二进制文件，以及利用爬虫技术获取良性二进制文件，然后利用分析技术对获取的二进制文件样本进行筛选和过滤，最终得到符合条件的二进制文件。

3.如权利要求2所述的方法，其特征在于，步骤S2包括：

将输入的恶意和良性的两种二进制文件的内容分别进行如下的处理：

按字节分割转化为十六进制字节串；

对所述十六进制字节串进行转化，得到一维数组；

将所述一维数组转化为长宽相等的二维数组，其中，对于转换过程中长度不足的文件末尾用0填充；

把得到的二维数组转化为uint8类型，并存储为图像，然后使用图像插值算法将图像统一为固定的尺寸大小，最终得到符合训练要求的正方形代码灰度图像数据集。

4.如权利要求3所述的方法，其特征在于，所述使用图像插值算法将图像统一为固定的尺寸大小，具体为：

给定要输出的尺寸大小，然后批量输入图像的样本，当图像的样本的尺寸大于给定尺寸时，使用区域插值算法对其进行缩小处理，当图像的样本的尺寸小于给定尺寸时，使用三线性插值算法对其进行放大处理，最后对统一尺寸的图像进行随机旋转处理。

5.如权利要求4所述的方法，其特征在于，步骤S3中，所述训练基于机器学习分类算法设计的检测引擎，具体为：

使用灰度共生矩阵算法GLCM提取良性代码图像样本的纹理特征，然后将提取得到的纹理特征向量作为分类神经网络的输入，训练得到可以进行分类的检测引擎；

步骤S3中，所述训练基于残差神经网络设计的检测引擎，具体为：

利用残差神经网络自适应学习的特点来对恶意代码图像样本进行纹理特征提取，并将提取得到的纹理特征向量作为输入完成检测引擎的训练。

6.如权利要求5所述的方法，其特征在于，步骤S5具体为：借鉴CGAN、DCGAN和ACGAN对GAN模型的改进思路，使用步骤S3提取的两种纹理特征向量作为约束条件来控制GAN模型的生成方向，并利用神经网络来设计生成器和判别器，经过反复地迭代训练，最终获得所需的图像样本作为补充的图像样本。

7.如权利要求6所述的方法，其特征在于，步骤S6具体为：把步骤S5中生成的补充的图像样本添加到训练集中，然后分别对基于传统机器学习分类算法设计的检测引擎和基于残差神经网络设计的检测引擎重新进行训练。

8.如权利要求7所述的方法，其特征在于，步骤S3在基于机器学习分类算法设计的检测引擎的训练过程中，首先使用图像纹理特征提取算法，来提取图像数据集的纹理特征并保存为pkl文件，然后将从测试集中提取的特征和相应的分类属性标签作为输入分别训练SVM、MLP、RF、KNN、ET、NB共六种分类器，最后把从测试集中提取的特征作为输入，使用训练好的分类器作为检测引擎对其进行分类，并获得评估检测引擎的性能指标。