本發明提出一種基于奇異譜變換的惡意軟件檢測方法，解決了現有惡意軟件檢測方法易誤檢、實時效率低的問題，首先由惡意軟件獲得時序惡意信號，然后對惡意信號進行重采樣以構建惡意軟件時序譜，從而保證獲取到最合適的惡意軟件譜長度，便于有效分析和分類惡意軟件，進一步保證后續的檢測準確率，且避免誤檢，基于惡意軟件時序譜進行奇異譜變換，使用軌跡矩陣和測試矩陣的左奇異向量計算變化點得分，得到惡意軟件奇異譜；最后對惡意軟件奇異譜的參數進行優化，利用機器學習分類算法對惡意軟件奇異譜進行檢測，無需逆向工程，也無需對惡意軟件進行動態調試，支持跨平臺惡意軟件檢測，避免了可視化圖形的復雜計算，提高了實時檢測的運算速度和效率。

技術領域

本發明涉及信息安全的技術領域，更具體地，涉及一種基于奇異譜變換的惡意軟件檢測方法。

背景技術

隨著自動化工具如多態和變形引擎、通用封裝程序和遺傳編程的快速發展，許多變種惡意軟件逐漸出現，而由于惡意軟件的興起，信息安全遭受著越來越多的威脅，由于傳統方法的受限，面對大數據時代的批量惡意軟件檢測乏力，惡意軟件檢測已是不可逾越的一道門檻。

為了有效檢測變種惡意軟件，研究人員提出了計算機視覺的方法，可視化惡意軟件的變種以進行深入的惡意軟件分析，可視化的方法具有不使用逆向工程方法、也不對惡意軟件進行動態調試，并且支持跨平臺惡意軟件檢測等優點。如2020年10月20日，中國發明專利(公開號CN111797395 A)中公開了一種惡意代碼可視化及變種檢測方法，該方法檢測的對象為惡意代碼，過程為：首先獲取待檢測的惡意代碼，然后將惡意代碼轉換為一維時間序列信號，進一步進行奇異譜變換，最后將奇異變換譜輸入至預設惡意代碼分類器進行檢測，能實現可視化地顯示惡意代碼對應的奇異變換譜，提高了惡意代碼的檢測效率和準確率，但進行奇異譜變換后，該方法將奇異變換譜直接輸入分類器進行檢測，容易導致誤檢，若對惡意軟件層面，則實時檢測效率也不高，無法滿足大數據時代，高效率低錯誤率的要求。

發明內容

為解決現有惡意軟件檢測方法易誤檢、實時效率低的問題，本發明提出一種基于奇異譜變換的惡意軟件檢測方法，檢測準確率高，可以有效避免誤檢，同時也避免了復雜運算，提高了實時檢測的運算速度和效率。

為了達到上述技術效果，本發明的技術方案如下：

一種基于奇異譜變換的惡意軟件檢測方法，包括：

S1.獲取惡意軟件，對惡意軟件進行預處理轉換，得到時序惡意信號；

S2.對時序惡意信號進行重采樣，以構建惡意軟件時序譜；

S3.構建惡意軟件奇異譜：基于惡意軟件時序譜進行奇異譜變換，構建軌跡矩陣和測試矩陣，使用軌跡矩陣和測試矩陣的左奇異向量計算變化點得分，得到惡意軟件奇異譜；

S4.對惡意軟件奇異譜的參數進行優化；

S5.將惡意軟件奇異譜作為惡意軟件的特征向量，利用機器學習分類算法對惡意軟件奇異譜進行檢測。

優選地，步驟S1所述對惡意軟件進行預處理轉換的過程為：

將惡意軟件二進制以8bit為整數，轉換為時序惡意信號，每個信號的取值范圍為[0，255]，十六進制為0x00到0xFF。

優選地，步驟S2所述對時序惡意信號進行重采樣的方法為快速傅里葉變換法，對時序惡意信號進行重采樣保證獲取到最合適的惡意軟件譜長度，便于有效分析和分類惡意軟件，進一步保證后續的檢測準確率，可以有效避免誤檢。

優選地，重采樣的時序惡意信號為一維向量，設進行重采樣后的時序惡意信號的長度為n，進行重采樣后的惡意信號樣本表示為：

S＝(s₁，s₂，Λ，s_n)