[发明专利]恶意程序分类方法和装置

说明书

本申请实施例提供一种恶意程序分类方法和装置。通过将恶意程序样本转换为API函数调用序列文档，并将API函数调用序列文档转换成第一数量个空间稠密实量，进而基于循环神经网络模型提取双向动态行为特征向量，再通过卷积神经网络模型对双向动态行为特征向量进行分类。由此，不仅能够捕获系统调用的序列中N‑Gram词组间的联系，还能保留恶意程序动态行为在时序上的前后依赖关系，能够捕获恶意软件的动态行为信息，并且能够全面捕获到恶意软件在实际执行中的行为特征，较少地受到代码混淆转换的影响，从而提高分析准确度与检测覆盖率；并且，能够建立具备更强分类能力的恶意程序功能分类模型，更有效的获取功能级别的本质恶意行为。

技术领域

本申请涉及计算机技术领域，特别涉及一种恶意程序分类方法和装置。

背景技术

目前大部分金融机构的个人计算机(personal computer，PC)设备使用微软旗下的Windows系统，这一系列系统方便易用，安全机制较薄弱，版本多，使用范围广。

而银行机构作为金融领域内的核心组织，常年面临严峻的网络攻击挑战，其中恶意软件攻击是最突出的一种攻击技术。恶意软件可以利用电子邮件，网页窗口，第三方软件等方式入侵设备，后续呈现典型功能行为，以达到不同的感染目的。而目前网络黑客论坛有大量的恶意软件制作工具和教程，学习制作恶意软件的门槛低、收益高。攻击者通过修改，混淆，加壳等手段就能批量生成大量相似功能的恶意代码，再运用各种策略使他们看起来像许多不同的文件。这使得研究者会陷入这种指数级别增长的无限分析之中，重复着大量而相似的冗余工作。但属于同一恶意“功能”的恶意文件，往往具有相同形式的恶意行为，近年来，机器学习与深度学习方法在恶意代码分析的领域内受到了一定的关注，这些方法能高效率分析大量相似样本。

早在2016年，Kolosnjaji将循环神经网络与动态应用程序接口(ApplicationProgramming Interface，API)融合应用于恶意软件分类，最终得到了精确度为85.6％的分类器模型；在2019年，Zenkov研究包含九种类型的恶意软件，使用的方法是二进制文本和十六进制命令以及长短期记忆网络(Long Short-Term Memory，LSTM)对软件本身文本进行分类研究；Rafique使用基于深度学习的恶意软件检测方法，依赖于静态方法来预测可以使用系统调用序列执行的行为，结果表明，这种方法有效地检测多态和变形恶意软件，准确率为89％，检出率为96％，在提出的检测技术中，支持向量机(Support Vector Machine,SVM)被用作特征选择器，卷积神经网络(Convolutional Neural Network，CNN)自动编码器被用作特征提取器，多层感知器作为分类器；Lu开发了一个18层的深度残差网络，将文件字节码转换为3通道RGB图像，然后应用深度学习对恶意软件进行分类。为了将恶意软件转换成图像，他首先将恶意软件二进制文件转换成8位向量的字节码，字节码再被转换成为0到255的灰度图像，随后将灰度通道复制三次，然后收集所有三个通道数值以创建三通道RGB图像。实验结果表明，网络残差模型的平均准确率达到86.54％；Oliveira提出了一种基于深度图卷积神经网络的恶意软件检测方法，直接从API调用序列和相关行为图中学习，实验结果表明，该模型的ROC曲线的F1评分达到了96％；2020年，Zhang提出了一种基于敏感系统调用和深度信任网络的恶意软件变体检测方法。采用不同的实验组和不同的数据样本进行分析，实验结果表明，该方法能够检测到包装后的恶意软件，准确率达到92％；He认为基于循环神经网络的深度学习算法容易受到冗余API注入的影响，他继续研究了冗余API注入对卷积神经网络的有效性，最后将恶意软件文件转换成图像表示，并用CNN对图像表征进行分类；Catak构建了八种类型的恶意软件API序列公开数据集，并使用LSTM网络做分类实验；2021年Schofield在公开数据集上使用传统文本处理方法与一维卷积网络的组合方案，进行分类研究，取得92％左右的平均准确率。

应该注意，上面对技术背景的介绍只是为了方便对本申请的技术方案进行清楚、完整的说明，并方便本领域技术人员的理解而阐述的。不能仅仅因为这些方案在本申请的背景技术部分进行了阐述而认为上述技术方案为本领域技术人员所公知。