本發明公開了一種惡意代碼可視化及變種檢測方法、裝置、設備及存儲介質，所述惡意代碼可視化及變種檢測方法的步驟，包括：通過獲取待檢測的惡意代碼，將所述惡意代碼轉換為一維時間序列信號；將所述一維時間序列信號進行變分模態分解，獲得所述惡意代碼對應的變分模態分解譜并輸出顯示；將所述惡意代碼對應的變分模態分解譜輸入至預設惡意代碼分類器進行變種檢測，獲得所述惡意代碼所屬的家族信息，其中，所述預設惡意代碼分類器是基于惡意代碼樣本的變分模態分解譜訓練獲得。本發明可視化地顯示惡意代碼對應的變分模態分解譜，方便快速定位惡意代碼，提高了惡意代碼變種檢測的效率和準確率。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種惡意代碼可視化及變種檢測方法、裝置、設備及存儲介質。

背景技術

據統計目前國際上有數萬種病毒，而變種病毒卻有成百上千萬，惡意代碼變種率急劇上升。

目前惡意代碼可視化及變種檢測方法從所采用的特征角度來看，主要有以下兩種：基于靜態語義特征的方法和基于圖像紋理特征的方法。基于靜態語義特征的方法主要是從惡意代碼中提取操作碼序列、應用程序接口函數調用序列、控制流、數據流和程序依賴關系等進行分析。這種方法對程序代碼的分析依賴于反匯編代碼的精度，且通常會涉及判斷子圖同構的問題，而判斷子圖同構問題是NP完全(Non-deterministic?PolynomialComplete)問題，判斷過程耗時較長；基于圖像紋理特征的方法需要從圖像這種二維數據提取特征，特征提取過程比較復雜，運行效率也比較低。

發明內容

本發明的主要目的在于提供一種惡意代碼可視化及變種檢測方法，旨在解決現有的惡意代碼都是代碼化顯示，不方便用戶查看定位惡意代碼位置，且惡意代碼變種檢測效率低下的技術問題。

為實現上述目的，本發明提供一種惡意代碼可視化及變種檢測方法，所述惡意代碼可視化及變種檢測方法包括：

獲取待檢測的惡意代碼，將所述惡意代碼轉換為一維時間序列信號；

將所述一維時間序列信號進行變分模態分解，獲得所述惡意代碼對應的變分模態分解譜并輸出顯示；

將所述惡意代碼對應的變分模態分解譜輸入至預設惡意代碼分類器進行變種檢測，獲得所述惡意代碼所屬的家族信息，其中，所述預設惡意代碼分類器是基于惡意代碼樣本的變分模態分解譜訓練獲得

可選地，所述獲取待檢測的惡意代碼，將所述惡意代碼轉換為一維時間序列信號的步驟，包括：

獲取待檢測的惡意代碼，及所述惡意代碼的二進制可執行文件，將所述二進制可執行文件轉換為一維整數數組；

將所述一維整數數組按照預設采樣規則進行下采樣，獲得一維時間序列信號。

可選地，所述將所述一維時間序列信號進行變分模態分解，獲得所述惡意代碼對應的變分模態分解譜并輸出顯示的步驟，包括：

將所述一維時間序列信號分解形成預設數量的模態分解函數；

將所述模態分解函數進行組合所堆疊形成一維向量，處理所述一維向量獲得所述惡意代碼對應的變分模態分解譜并輸出顯示。

可選地，所述將所述惡意代碼對應的變分模態分解譜輸入至預設惡意代碼分類器進行變種檢測，獲得所述惡意代碼所屬的家族信息的步驟之前，所述方法包括：

從預設惡意代碼文件數據庫中抽取惡意代碼樣本，將各所述惡意代碼樣本轉換為一維時間序列信號；

將所述一維時間序列信號轉化為信號的實函數，將所述實函數進行分解獲得模態分解函數；

將各所述模態分解函數進行變換獲得解析信號，將所述解析信號進行轉化，獲得各所述模態分解函數的中心頻率；