申请/专利权人：玉溪师范学院

申请日：2020-03-31

公开（公告）日：2023-05-19

公开（公告）号：CN111400713B

主分类号：G06F21/56

分类号：G06F21/56;G06N3/0499;G06N3/084

优先权：

专利状态码：有效-授权

法律状态：2023.05.19#授权;2020.09.25#实质审查的生效;2020.07.10#公开

摘要：本发明公开了一种基于操作码邻接图特征的恶意软件族群分类方法，先对输入的包含多个软件族群的软件样本进行反汇编处理，得到软件样本的反汇编代码；从软件样本的反汇编代码中提取其操作码序列；将软件样本的操作码序列转换为操作码邻接图；然后将软件样本的操作码邻接图转换为特征矢量；将软件样本中族群分类已知的软件作为训练样本，并将训练样本的特征矢量输入深度神经网络，训练基于深度神经网络的恶意软件族群分类模型；最后将软件样本中族群分类未知的软件作为测试样本，并将测试样本的特征矢量输入基于深度神经网络的恶意软件族群分类模型，对测试样本进行族群分类。解决了现有恶意软件族群分类方法准确度不高的问题。

主权项：1.基于操作码邻接图特征的恶意软件族群分类方法，其特征在于，按照以下步骤进行：步骤S1、对输入的包含多个软件族群的软件样本进行反汇编处理，得到软件样本的反汇编代码；步骤S2、从软件样本的反汇编代码中提取其操作码序列；步骤S3、将软件样本的操作码序列转换为操作码邻接图；步骤S4、将软件样本的操作码邻接图转换为特征矢量；步骤S5、将软件样本中族群分类已知的软件作为训练样本，并将训练样本的特征矢量输入深度神经网络，训练基于深度神经网络的恶意软件族群分类模型；步骤S6、将软件样本中族群分类未知的软件作为测试样本，并将测试样本的特征矢量输入基于深度神经网络的恶意软件族群分类模型，对测试样本进行族群分类；所述步骤S3的具体实现过程如下：步骤S31、基于汇编指令的操作码功能将操作码序列分组，相似功能的操作码分为一组，得到多个操作码组；步骤S32、将每个操作码组表示为操作码邻接图的一个结点，并确定每个结点的结点权值；所述结点权值为当前操作码组的所有操作码在与其对应的操作码序列中出现的频率和；步骤S33、依据操作码序列中操作码的前后顺序，判断任意两个结点的操作码的邻接关系，并依据该邻接关系确定两个结点间操作码邻接的频率以及操作码的邻接方向；步骤S34、用箭头表示存在邻接关系的两个结点间操作码的邻接方向，箭头指向为两个结点间操作码的邻接方向，得到两个结点间的有向邻接边；步骤S35、将该存在邻接关系的两个结点间操作码邻接的频率作为其有向邻接边的结点邻接权值，得到样本软件的操作码邻接图；所述步骤S31的操作码功能分为堆栈出入指令、通用数据传送指令、输入输出端口传送指令、目的地址传送指令、标志传送指令、算术运算指令、逻辑运算指令、串指令、程序转移指令、处理机控制指令、浮点运算指令以及其他指令这12类；所述输入输出端口传送指令、目的地址传送指令、标志传送指令这3类对应的操作码共同分为一组，所述堆栈出入指令、通用数据传送指令、算术运算指令、逻辑运算指令、串指令、程序转移指令、处理机控制指令、浮点运算指令这9类对应的操作码分别分为一组，将当前操作码序列分为10个操作码组，形成10个结点，最多能够产生100条有向邻接边；所述步骤S4得到的特征矢量包含110个特征，其对应特征值分别是10个结点的结点权值和100个有向邻接边的结点邻接权值，对于不存在的有向邻接边，其结点邻接权值为0，即其对应的特征值为0。

全文数据：

权利要求：

百度查询： 玉溪师范学院 基于操作码邻接图特征的恶意软件族群分类方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD