申请/专利权人：沈阳理工大学

申请日：2021-09-24

公开（公告）日：2024-03-22

公开（公告）号：CN113806746B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/25;G06F18/241;G06N3/0464;G06N3/084

优先权：

专利状态码：有效-授权

法律状态：2024.03.22#授权;2022.01.04#实质审查的生效;2021.12.17#公开

摘要：本发明提供一种基于改进CNN网络的恶意代码检测方法，通过图像化技术将恶意代码转换成灰度图像特征，再通过N‑Gram技术提取恶意代码的操作码序列特征，通过特征融合技术将全局特征和局部特征进行特征融合，得到的融合特征输入到改进的卷积神经网络模型训练并选用合适的分类器进行检测；该方法实现了自动及深层次的特征提取，而且还不受制于恶意代码的数量和种类，解决了恶意代码快速增长及变形的问题；针对恶意代码检测的静态和多层特征，采用图像化和特征融合来设计检测模型，提高了检测速度以及准确度。

主权项：1.一种基于改进CNN网络的恶意代码检测方法，其特征在于，包括：步骤1：提取检测代码的灰度图像特征；步骤2：提取.asm格式文件中的操作码序列特征；步骤3：将操作码的局部特征和灰度图的全局特征进行融合，得到融合后的融合特征；步骤4：构建改进的CNN网络结构，利用融合特征作为训练样本对改进的CNN网络进行训练；步骤5：利用训练后的改进CNN网络检测恶意代码；所述步骤1包括：步骤1.1：将待检测代码经过汇编语言反编译，得到.asm格式的文件；步骤1.2：以8bit为一个单位，依次读取.asm格式文件中的二进制序列；步骤1.3：将每个单位的二进制序列转换成一个无符号的十进制数字形式；步骤1.4：将得到的十进制数值转换成一个二维数组；步骤1.5：重复步骤1.2～步骤1.4，直到读取完.asm格式文件中的所有二进制序列；所述步骤3包括；步骤3.1：分别读取操作码序列特征f1、读取灰度图像特征f2；步骤3.2：读取恶意代码的标签文件labels；步骤3.3：通过恶意代码的ID找到对应的两种特征；步骤3.4：将操作码序列特征向量叠加在灰度图像特征向量的末尾，通过函数pandas.merge进行融合；步骤3.5：通过恶意代码的ID找到对应的标签，将两者的标签通过函数pandas.merge进行融合，得到融合后的带标签的融合特征f；所述步骤4中改进的CNN网络结构共12层，包括恶意代码输入层，4个卷积层、3个池化层、增加层、全连接层、softmax层和输出层；输入层之后连接卷积层，前3个卷积层之后分别连接1个池化层，在最大池化层的池化窗口中进行特征元素的概率统计，并按照概率值大小随机选择，最后一个卷积层之后连接增加层，所述增加层根据空间金字塔层原理设计，通过增加层选择不同的池化窗口实现固定特征数的输出，增加层之后连接全连接层，全连接层通过整合增加层输出的局部特征，最终将整合结果输入到softmax层进行种类判别。

全文数据：

权利要求：

百度查询： 沈阳理工大学 基于改进CNN网络的恶意代码检测方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD