[发明专利]基于可执行文件线性序列表示的计算机恶意代码检测方法

权利要求书

1.基于可执行文件线性序列表示的计算机恶意代码检测方法，其特征在于，所述方法包括：

步骤1、将待检测样本进行线性序列表示；

步骤2、将所述线性序列进行规范化处理；

步骤3、将所述线性序列进行填充，并使用线性插值法放缩到指定长度；

步骤4、使用计算机病毒检测模型检测序列的善恶性，得到检测结果，其中，所述计算机病毒检测模型为根据收集到的样本数据集合训练得到的神经网络模型，所述序列为待检测样本按照所述线性序列表示得到的序列；

步骤1所述的将待检测样本进行线性序列表示，是将待检测样本按照二进制形式读取，读取内容为根据其在设备中的存放顺序形成的二进制序列；

步骤2将所述线性序列进行规范化处理，包括：将所述线性序列中的二进制数据按比例缩放，使之落入一个小的特定区间，从而在为后续进行放缩的同时最大程度上保留原本的信息；

步骤3所述的将所述线性序列进行填充，并使用线性插值法放缩到指定长度，包括如下步骤：

第一步、将线性序列进行填充：

在步骤2形成的线性序列首尾填充特定长度的0，使得填充后的线性序列长度为L₀；使用线性插值法放缩到指定长度L₁；

第二步、线性插值：

1)、确定放缩比S，其中S的计算公式为：S＝(L₁/L₀)，其中L₁为所述指定长度，L₀为所述第一步中所述填充0之后的序列长度；

2)、确定相关像素点数量n，其中n的计算公式为：n＝ceil(1/S)，其中S为第二步1)中所述放缩比，ceil(1/S)表示将1/S的值进行向上取整；

3)、确定涉及到目标像素点P的n个像素点V＝{P₁……P_n}，其中n为第二步2)中所述的相关像素点数量；

4)、使用线性插值法进行放缩，线性插值操作的具体函数表达式为：

其中{x₁……x_n}分别对应像素点{P₁……P_n}的横坐标，{y₁……y_n}分别对应像素点{P₁……P_n}的像素值，k为像素点P对应的横坐标。

2.根据权利要求1所述的基于可执行文件线性序列表示的计算机恶意代码检测方法，其特征在于，步骤4所述的使用计算机病毒检测模型检测序列的善恶性，得到检测结果，包括如下步骤：

1)使用计算机病毒检测模型训练一个二分类的分类器，计算并输出样本为每个类别的概率；

2)确定概率的最大值，判断所述概率是否大于设定阈值；

如果是，则表示待检测样本为超过阈值的类别；

如果否，则表示待检测样本为小于阈值的类别。