[发明专利]一种用于快速准确检测零日恶意软件的图论方法

摘要

本发明公开了一种用于快速准确检测零日恶意软件的图论方法MalZero，其特征在于：从API调用图中提取的特征建立分类器模，良性软件和恶意软件在各自的API调用图中会存在不同的图论性质，从API调用图中提取的图论特征能够用来被有效地、高效地区分恶意软件和良性软件。它涉及三个模块：图构建、特征提取、图分类。本发明MalZero，可在终端主机上快速、准确检测恶意软件，在存储空间和检测时间方面具有高效率，由于较低的开销，MalZero可以补充在终端主机现有的恶意软件检测方案。

主权项

1.一种用于快速准确检测零日恶意软件的图论方法，从API调用图中提取的特征建立分类器模型，良性软件和恶意软件在各自的API调用图中会存在不同的图论性质，从API调用图中提取的图论特征能够用来被有效地、高效地区分恶意软件和良性软件；其特征在于，它涉及三个步骤：步骤一、图构建；步骤二、特征提取；步骤三、图分类；所述图构建：给定一个未知程序的API调用序列<a₁,a₂,…,a_m>，按步骤构建API调用图；对于给定序列中每个唯一的API调用a_i，1≦i≦m，创建一个顶点表示为V(a_i)；对于给定序列中任意两个连续的API调用a_ia_i+1，当a_i和a_i+1是两个唯一的API调用，从顶点V(a_i)到顶点V(a_i+1)创建一条直连边；所述特征提取：使用在不同粒度水平捕获API调用图结构特点的特征来表征API调用图，即从顶点层、子图层和图层三个层次来提取图论特征。