[发明专利]一种基于改进B2M算法的恶意代码检测引擎设计方法

说明书

本发明涉及一种基于改进B2M算法的恶意代码检测引擎设计方法，属于信息安全技术领域。本发明结合了深度学习和机器学习的优势，设计了基于残差神经网络和基于传统机器学习分类算法共两种恶意代码检测引擎，并提出了改进的B2M算法实现了可视化处理，有利于主动检测和防御未知的恶意代码及其家族变种，拥有快速检测、高精度等优点；通过使用优化的生成对抗网络生成补充的代码图像样本对检测引擎进行再训练，有利于解决小样本问题，并帮助检测引擎提前学习到数据样本的分布特征，有利于提高检测引擎的性能指标。

技术领域

本发明属于信息安全技术领域，具体涉及一种基于改进B2M算法的恶意代码检测引擎设计方法。

背景技术

在信息化时代，随着网络攻击技术的不断发展，信息安全领域的战略地位和重要性受到了越来越显著的关注，而在诸多网络安全事件中，恶意软件入侵和攻击的局势尤为险峻。

目前常用的恶意代码检测方法主要是基于静态分析和动态分析实现的，前者不需要实际执行程序，而是通过分析软件的语法语义特征或者反汇编二进制文件来寻找关键的代码，从而实现对恶意软件的静态特征和功能模块的分析检查，后者通常在真实设备或沙箱环境中实际运行被分析的程序，通过工具监控程序的运行状态并收集有效的数据和行为信息从而达到检测的目的。静态分析方法虽然具有不受环境限制、简单易实现、资源消耗低等优点，但是其分析不够准确、误报率比较高，动态分析方法虽然能够提高检测的安全性，但是消耗的时间和资源较高。伴随着恶意软件数量及其变种的快速发展，仅靠传统的检测方法已经不足以适应恶意代码在进化或传播过程中被修改或变形的情况，所以急需寻求并发展新的应对途径，来实现对于新的恶意代码及其未知变种的主动检测和防御。

近年来，智能化技术的发展十分迅速，出现了许多基于深度学习的恶意软件分类方法，与传统的检测方法相比，使用深度学习进行检测不需要太多的限制条件和领域知识，同时也有学者将计算机视觉技术应用到恶意代码的研究中，并分析了恶意代码家族可视化后图像纹理特征之间的异同。因此，结合深度学习和可视化技术的研究，基于图像纹理的恶意代码检测方法被提出，但是就目前的研究而言，该方法还面临着训练样本数据集不足、分类准确率不高的问题，所以探寻更加合适的方案来解决上述问题成为需要研究和思考的重要方向之一。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何设计一种恶意代码检测引擎设计方法，来实现对未知恶意代码及其变种的主动检测和防御，以及减轻恶意代码分析人员的专业领域知识的学习压力，并解决检测引擎训练过程中训练样本数据集不足的问题，尽可能提高检测引擎的分类准确率。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于改进B2M算法的恶意代码检测引擎设计方法，包括以下步骤：

S1、分别获取良性和恶意的二进制文件；

S2、使用改进的B2M算法把良性和恶意的二进制文件分别映射为等长、等宽的正方形代码灰度图像，然后分别对转换后得到的正方形代码灰度图像数据集进行预处理；

S3、将预处理得到的两种正方形代码灰度图像数据集分别进行如下处理：划分为训练集和测试集，将良性二进制文件生成的训练集作为输入，训练基于机器学习分类算法设计的检测引擎，将恶意二进制文件生成的训练集作为输入，训练基于残差神经网络设计的检测引擎；

S4、使用同一测试集评估两种检测引擎的性能指标；

S5、基于恶意的二进制文件生成的正方形代码灰度图像数据集，利用优化后的生成对抗网络GAN模型生成补充的图像样本；

S6、对两种检测引擎进行再训练；

S7、再次使用同一测试集评估使用优化后的生成对抗网络模型丰富图像样本前、后的两种检测引擎的性能指标，观察是否对检测引擎的性能起到了增强效果。