[发明专利]一种恶意软件检测方法及系统

权利要求书

1.一种恶意软件检测方法，其特征在于，包括以下步骤：

客户端按预设第一规则对待检测软件进行特征提取，生成待检测软件的特征向量；

在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，其中，一张载体图片对应一种扰动参数；

将嵌入图片发送给预设的图片分类模型，并接受图片分类模型对嵌入图片的分类结果；

根据得到的分类结果与预设的映射关系判断待检测软件是否为恶意软件。

2.如权利要求1所述的恶意软件检测方法，其特征在于，所述客户端按预设第一规则对待检测软件进行特征提取，生成待检测软件的特征向量，包括：

客户端按预设第一规则对待检测软件进行特征提取，对提取的特征进行数值化处理后拼接成特征向量。

3.如权利要求1所述的恶意软件检测方法，其特征在于，所述第一预设规则包括：提取敏感权限特征、敏感动作特征、敏感应用程序编程接口中的至少一种。

4.如权利要求1所述的恶意软件检测方法，其特征在于，在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，包括：

将预设的扰动参数分别加入到预设的载体图片的各像素点；

在预设的载体图片上选取若干预设位置，将每一个预设位置对应待检测软件的特征向量的一个维度数据，将维度数据加入到对应的预设位置，从而生成嵌入图片。

5.如权利要求1所述的恶意软件检测方法，其特征在于，在预设的载体图片上嵌入预设的扰动参数及待检测软件的特征向量，生成嵌入图片，包括：

在预设的载体图片上将每个像素点i得到的邻域标准差δ与预设阈值t进行比较，选取所有δ＞t的位置得到高频区域，得到δ的公式如下：

其中，x_i表示各像素点i的像素值，C_R表示以像素点i为中心半径为R的邻域，N_R为高频区域内像素点的个数，为平均像素值；

将高频区域设置为扰动的限制区域，并从高频区域中选取出若干位置，每一个位置对应待检测软件的特征向量的一个维度数据；

将维度数据、预设的扰动参数加入到载体图片对应的位置，从而生成嵌入图片。

6.如权利要求5所述的恶意软件检测方法，其特征在于，将维度数据、预设的扰动参数加入到载体图片对应的位置，具体包括维度数据、预设的扰动参数、载体图片需要执行以下数学运算：

X＝tanh(G+M⊙W+V)

其中，X表示嵌入图片、G表示载体图片、V表示待检测软件的特征向量所转化的矩阵，其中，与待检测软件的特征向量维度对应的元素取值为维度数据，其余元素取值为0；W表示预设扰动参数对应的矩阵；M是一个0/1的矩阵，其中对应高频区域为1，其余为0；⊙指的是M与W做对应位置相乘的操作，以将扰动限制在高频区域内；所述tanh()函数为归一化函数。