本發明提供一種惡意軟件的檢測方法，首先把軟件二進制轉換為圖片，使問題轉換為一個圖片分類問題，然后使用一種基于CNN的深度學習模型Inception?Resnet?v2對圖片進行遷移學習，通過大量數據的訓練讓模型自動尋找特征去對正常軟件和惡意軟件進行分類，無需大量特征工程。Inception?Resnet?v2模型已經在ImageNet這個數據集上取得非常好的圖片分類效果。本發明使用基于ImageNet數據集預訓練后的模型再來對軟件的圖片進行遷移學習，能達到非常好的效果，準確率達95%以上。

技術領域

本發明涉及計算機、服務器安全防護技術領域，特指一種惡意軟件的檢測方法。

背景技術

惡意軟件（Malware, malicious software），又稱“流氓軟件”，一般是指通過網絡、便攜式存儲設備等途徑散播的，故意對個人計算機、服務器、智能設備、計算機網絡等造成隱私或機密數據外泄、系統損害、數據丟失等非使用預期故障及信息安全問題，并且試圖以各種方式阻擋用戶移除它們，惡意軟件的形式包括二進制可執行檔、腳本、活動內容等。就定義來說，計算機病毒、計算機蠕蟲、特洛伊木馬、勒索軟件、間諜軟件、恐嚇軟件、利用漏洞運行的軟件、甚至是一些廣告軟件，也被囊括在惡意軟件的分類中。

惡意軟件對設備造成的安全威脅很大，它們通常通過各種手段偽裝自己，使得對其的檢測十分困難。過去的一些檢測方式多采用md5庫匹配，特征匹配，沙箱運行行為觀察等手段。但如果惡意軟件稍微修改代碼后就可以使這些方式失效，造成不能及時發現新的惡意軟件，基于這些方法檢測方法已經過時，目前較為先進的方法是使用深度學習對大量正常和惡意軟件進行訓練，從而識別惡意軟件，主要專利有《WO2017084586A1：基于深度學習方法推斷惡意代碼規則的方法、系統及設備》《CN102243699A：未知惡意代碼的深度學習檢測方法》。但是這樣的深度學習方法需要做大量的特征工程，針對軟件的二進制字節抽取特征，比如字節長度， n-gram的隱式馬爾科夫概率，信息熵等。還有的針對二進制字符做詞嵌入來訓練惡意軟件的特征，而且只能針對某一種軟件格式，比如Android軟件。這都需要非常大的工作量和計算成本，同時檢測準確率完全依賴于特征的處理，并且泛化能力弱，不能對大量的其他類型的惡意軟件進行檢測。

現有的惡意軟件檢測技術主要有基于惡意軟件二進制的靜態檢測和基于惡意軟件沙箱運行的動態檢測。這些檢測技術對于代碼混淆，加殼，變異后的惡意軟件檢測效果很差。不管是對于代碼的反向分析，還是觀察惡意軟件在沙箱里運行的行為是否有害，這些檢測方式成本都很高，而且對安全分析人員的素質要求也高，準確率非常不穩定。

發明內容

本發明的目的在于針對已有的技術現狀，提供一種惡意軟件的檢測方法，該方法能減少人工特征的提取工作，支持多種文件格式，增加可解釋性，同時相應的提高了檢測準確率。

為達到上述目的，本發明采用如下技術方案：

本發明為一種惡意軟件的檢測方法，將軟件的二進制代碼轉換為圖片，使用一種基于CNN的深度學習模型對圖片進行遷移學習，通過數據訓練讓深度學習模型自動尋找特征，從而對正常軟件和惡意軟件進行分類。

進一步的，深度學習模型為Inception-Resnet-v2。

本發明的惡意軟件的檢測方法，具體包括以下步驟：

（1）數據準備：收集大量正常軟件和惡意軟件，對所收集的軟件進行訓練，所收集的軟件格式涵蓋了大部分常用的軟件格式，主要有exe, apk, jar, doc, docx, xls, xlsx,ppt, pptx, pdf, csv, txt, png, log, tsv, html, js, css, xml；惡意代碼有可能隱藏在以上的這些軟件格式里，對這些軟件格式的文件進行訓練能達到最大限度的檢測各類惡意軟件。