[发明专利]基于多特征的恶意软件自动化检测方法

说明书

本发明公开了基于多特征的恶意软件自动化检测方法，包括以下步骤，步骤S1：预处理数据；步骤S2：将数据进行特征提取得到特征向量；步骤S3：有效地对齐和融合上述步骤S2得出的二进制特征向量和三角注意力机制生成的操作码特征向量，生成最终的融合向量；步骤S4：负责恶意软件的检测和分类；本发明能够更有效地检测恶意软件的变体，具备较高的准确率，在实际生产环境中，本发明通过增加恶意软件变体的识别效率来增强了自动恶意软件分析工具的性能，减少了人工成本。

技术领域

本发明属于软件领域，具体涉及基于多特征的恶意软件自动化检测方法。

背景技术

互联网正在逐渐渗透到人类生活和工作的各个领域，不断大量涌现的新颖的互联网应用也正在深刻的改变着信息时代的社会生活。COVID-19在全球的爆发使得各领域的办公模式逐步转向线上，网络办公谷的激增也给恶意软件的开发者提供了商机，网络犯罪分子开发出各种恶意软件，如恶意广告、勒索软件和挖矿病毒等。根据KasperskySecurityNetwork(KSN)统计的2019年11月至2021年10月的数据表示，仅在一年中，全球15.45％的互联网用户计算机至少遭受过一次恶意软件攻击，其中勒索软件和矿工病毒尤其猖獗。这些恶意软件在目标网络上收集私人信息，滥用服务器资源，甚至会通过僵尸应用程序感染整个互联网上的主机，这些行为对个人及各领域的安全都造成了巨大威胁，及时检测并响应出现的恶意软件成为保证网络办公安全的基础建设。

恶意软件的检测方法主要分为静态检测和动态检测。静态检测方法一般通过反编译等静态分析工具提取出恶意软件的特征如：二进制序列、汇编代码、操作码序列等来判断是否为恶意代码，这种方法将提取出的关键特征生成特征签名，在检测时通常使用基于规则匹配的方法。动态检测通常分为动态监控和动态分析，动态监控是指通过虚拟运行目标软件，使用即时调试等方式观察软件的行为，而动态分析是指在沙箱等环境中运行目标软件后得到相关的API调用序列，系统资源使用等信息，再进一步进行分析。

发明内容

针对现有技术的不足或改进需求，本发明提出了基于多特征的恶意软件自动化检测方法。

具体技术方案如下：

基于多特征的恶意软件自动化检测方法，包括以下步骤，

步骤S1：预处理数据；

步骤S2：将数据进行特征提取得到特征向量；

步骤S3：有效地对齐和融合上述步骤S2得出的二进制特征向量和三角注意力机制生成的操作码特征向量，生成最终的融合向量；

步骤S4：负责恶意软件的检测和分类。

优选地，步骤S1包括以下子步骤：

子步骤S11：在拿到原始的恶意软件文件后，使用IDApro工具对文件进行静态反编译，以获得恶意软件的二进制文件和汇编文件；

子步骤S12：从汇编文件中统计得到关键操作码频次。

优选地，子步骤S12包括以下子步骤：

子步骤S121：将每个程序划分为多个子程序块，并计算出每个子程序块个的关键操作码所出现的频次；

子步骤S122：这些关键操作码包括基本操作码，变量名和寄存器名称。

优选地，步骤2包括以下子步骤：

子步骤S21：由二进制表示的恶意软件序列信息中包含着核心函数和资源调用等关键信息，通常会随编译分散到序列的不同位置，使用堆叠的双层一维卷积神经网络模型对二进制文件进行特征编码，能够克服二进制文本远距离信息依赖的问题；

子步骤S22：提取操作码信息，使用目前先进的三角注意力算法来计算操作码块的内部关联以及不同操作码块之间的长距离关系；