[发明专利]恶意程序分类方法和装置

权利要求书

1.一种恶意程序分类方法，其特征在于，所述分类方法包括：

将恶意程序样本集中的各个恶意程序样本转换为API函数调用序列文档；

并将所述API函数调用序列文档转换成第一数量个空间稠密实量；

将所述第一数量个空间稠密实量输入至循环神经网络模型中提取双向动态行为特征向量；

将所述双向动态行为特征输入至卷积神经网络模型中进行分类，得到所述恶意程序样本的分类结果。

2.根据权利要求1所述的方法，其特征在于，将恶意程序样本集中的各个恶意程序样本转换为API函数调用序列文档的步骤包括：

将所述各个恶意程序样本分别通过沙箱环境进行运行分析，针对所述各个恶意程序样本生成对应的样本报告，对样本报告分别解析，以得到所述API函数调用序列文档。

3.根据权利要求2所述的方法，其特征在于，所述样本报告包括：不同时刻调用的API函数类型和API函数名称。

4.根据权利要求1所述的方法，其特征在于，所述第一数量与所述恶意程序样本集对应的API函数调用序列文档中调用的API函数的数量相关。

5.根据权利要求1所述的方法，其特征在于，所述双向动态行为特征向量用于表征API调用时序特征和调用频率特征。

6.根据权利要求1所述的方法，其特征在于，所述循环神经网络模型为双向长短期记忆网络(LSTM)模型。

7.一种恶意程序分类装置，其特征在于，所述装置包括：

第一转换单元，其将恶意程序样本集中的各个恶意程序样本转换为API函数调用序列文档；

第二转换单元，其将所述API函数调用序列文档转换成第一数量个空间稠密实量；

提取单元，其将所述第一数量个空间稠密实量输入至循环神经网络模型中提取双向动态行为特征向量；

分类单元，其将所述双向动态行为特征输入至卷积神经网络模型中进行分类，得到所述恶意程序样本的分类结果。

8.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6任意一项所述方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有执行权利要求1至6任意一项所述方法的计算机程序。

10.一种计算机程序产品，其特征在于，所述计算机程序产品包括计算机程序，所述计算机程序被处理器执行时实现权利要求1至6任意一项所述方法。