[發明專利]一種基于奇異譜變換的惡意軟件檢測方法在審
| 申請號: | 202110369300.7 | 申請日: | 2021-04-06 |
| 公開(公告)號: | CN113065133A | 公開(公告)日: | 2021-07-02 |
| 發明(設計)人: | 康顯桂;何月旺 | 申請(專利權)人: | 中山大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F17/16;G06K9/62 |
| 代理公司: | 廣州粵高專利商標代理有限公司 44102 | 代理人: | 林麗明 |
| 地址: | 510275 廣東*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 奇異 變換 惡意 軟件 檢測 方法 | ||
1.一種基于奇異譜變換的惡意軟件檢測方法,其特征在于,包括:
S1.獲取惡意軟件,對惡意軟件進行預處理轉換,得到時序惡意信號;
S2.對時序惡意信號進行重采樣,以構建惡意軟件時序譜;
S3.構建惡意軟件奇異譜:基于惡意軟件時序譜進行奇異譜變換,構建軌跡矩陣和測試矩陣,使用軌跡矩陣和測試矩陣的左奇異向量計算變化點得分,得到惡意軟件奇異譜;
S4.對惡意軟件奇異譜的參數進行優化;
S5.將惡意軟件奇異譜作為惡意軟件的特征向量,利用機器學習分類算法對惡意軟件奇異譜進行檢測。
2.根據權利要求1所述的基于奇異譜變換的惡意軟件檢測方法,其特征在于,步驟S1所述對惡意軟件進行預處理轉換的過程為:
將惡意軟件二進制以8bit為整數,轉換為時序惡意信號,每個信號的取值范圍為[0,255],十六進制為0x00到0xFF。
3.根據權利要求2所述的基于奇異譜變換的惡意軟件檢測方法,其特征在于,步驟S2所述對時序惡意信號進行重采樣的方法為快速傅里葉變換法。
4.根據權利要求3所述的基于奇異譜變換的惡意軟件檢測方法,其特征在于,重采樣的時序惡意信號為一維向量,設進行重采樣后的時序惡意信號的長度為n,進行重采樣后的惡意信號樣本表示為:
S=(s1,s2,Λ,sn)
對于時序信號數據{st∈[0,255]|t=1,2,…,n},定義t時刻長度為w的子序列s(t)的表達式如下:
s(t)=(st-w+1,…,st-1,st)T
其中T代表轉置。
5.根據權利要求4所述的基于奇異譜變換的惡意軟件檢測方法,其特征在于,步驟S3所述構建惡意軟件奇異譜的具體過程包括:
S31.基于子序列s(t)構造軌跡矩陣
設原始采樣信號S的長度為N,設軌跡矩陣和測試矩陣之間的時序間隔為L,即時延長度,滿足1LN,設子序列s(t)的階是K,即軌跡矩陣的列數,滿足1KN;設軌跡矩的陣窗口長度是W,即軌跡矩陣的行數,滿足1WN;則軌跡矩陣的構造表達式如下:
次對角線上元素相等,是一個漢克爾矩陣;軌跡矩陣表示子序列s(t)的過去代表性模式;
S32.基于子序列s(t)構造測試矩陣
設原始采樣信號S的長度為N,設軌跡矩陣和測試矩陣之間的時序間隔為L,即時延長度,滿足1LN,設子序列s(t)的階是K,即測試矩陣的列數,滿足1KN;設測試矩陣窗口長度是W,即測試矩陣的行數,滿足1WN;則測試矩陣的構造表達式如下:
次對角線上元素相等,是一個漢克爾矩陣;測試矩陣表示子序列s(t)的當前代表性模式;
S33.計算變化點得分,計算表達式為:
其中,是軌跡矩陣經過奇異值分解后的左奇異向量;μ(t)是測試矩陣經過奇異值分解后的最大左奇異向量;zt表示變化點得分,0≤zt≤1;r是選取左奇異向量個數,κ代表向量內積,惡意信號樣本S=(s1,s2,Λ,sn)所有時刻對應的變化點得分表示為Z=(z1,z2,…,zt,…,zn),構成惡意軟件奇異譜。
6.根據權利要求5所述的基于奇異譜變換的惡意軟件檢測方法,其特征在于,變化點得分能定量地確定惡意軟件時序譜的波動,若在t時刻變化點得分大于閾值E1,則子序列s(t)的過去代表性模式與子序列s(t)的當前代表性模式之間存在較大差異,在惡意軟件時序譜的時刻存在明顯的結構性變化;若變化點得分小于閾值E2時,則子序列s(t)的過去代表性模式與子序列s(t)的當前代表性模式之間無差異。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中山大學,未經中山大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110369300.7/1.html,轉載請聲明來源鉆瓜專利網。
