本發明公開了一種基于注意力機制的惡意代碼檢測方法，包括獲取惡意代碼及正常程序并構建特征庫；將惡意代碼進行區塊劃分和處理得到雙通道惡意代碼圖片；構建惡意代碼檢測初步模型并訓練得到最終的惡意代碼檢測模型；采用惡意代碼檢測模型進行惡意代碼檢測。本發明使用3?gram模型處理并構建3?gram特征庫，再將操作碼按照函數劃分塊，通過將塊映射成圖像中的不同行得到一個單通道圖像；然后增加一個新的圖像通道并根據3?gram特征庫填入當前位置操作碼的權重值，該通道可以有效的展現出惡意代碼中關鍵的代碼區域；最后針對該惡意代碼圖像，采用改進的識別模型進行惡意代碼識別；因此，本發明方法可靠性高、實用性好且識別效率高。

技術領域

本發明屬于信息技術領域，具體涉及一種基于注意力機制的惡意代碼檢測方法。

背景技術

隨著經濟技術的發展和人們生活水平的提高，由惡意代碼所引發的安全問題也越來越多。根據國家互聯網應急中心的報告，近幾年惡意代碼的數量迅速增長，惡意代碼帶來的威脅也日益嚴重。如何快速有效的檢測惡意代碼，成為當前信息安全不可回避的挑戰之一。

早期的惡意代碼檢測方法，主要是根據這些特征信息生成特征簽名或者啟發式規則來判斷惡意代碼。然而，隨著惡意代碼的演化，早期的檢測方法并不能有效的識別惡意代碼。

近年來，隨著深度學習算法的興起，研究人員提出了不少基于深度學習的惡意代碼檢測模型。盡管目前基于深度學習的檢測方法在一定程度上提升了惡意代碼的識別率，但是深度學習主要應用于圖像識別和自然語言處理方面，因此無法直接將惡意代碼輸入至神經網絡并進行訓練，而是需要首先將惡意代碼轉換成特征向量或者圖像的形式。目前，惡意代碼轉換為圖像的方法，通常是將其中的操作碼或者字節碼映射成數字作為圖像中的像素值；然而，這種方法生成的圖像包含信息比較單一，而且容易受到混淆的干擾，從而導致神經網絡的識別率下降。

發明內容

本發明的目的在于提供一種可靠性高、實用性好且識別效率高的基于注意力機制的惡意代碼檢測方法。

本發明提供的這種基于注意力機制的惡意代碼檢測方法，包括如下步驟：

S1.獲取惡意代碼及正常程序作為基礎數據，并構建特征庫；

S2.將步驟S1得到的惡意代碼進行區塊劃分；

S3.將步驟S2得到的劃分后的惡意代碼進行處理，從而得到雙通道惡意代碼圖片；

S4.構建惡意代碼檢測初步模型；

S5.采用步驟S3得到的雙通道惡意代碼圖片，以及步驟S1獲取的正常程序，對步驟S4構建的惡意代碼檢測初步模型進行訓練，從而得到最終的惡意代碼檢測模型；

S6.采用步驟S5得到的惡意代碼檢測模型進行惡意代碼檢測。

步驟S1所述的獲取惡意代碼及正常程序作為基礎數據，并構建特征庫，具體為從采用如下步驟構建特征庫：

A.獲取惡意代碼數據集和正常程序數據集；

B.對獲取的惡意代碼進行反匯編，并按照函數進行分塊；

C.采用3-gram模型對每個函數內的操作碼進行切分，從而得到3-gram特征；

D.采用如下算式計算每個3-gram特征的頻率f_y(Dⁱ)：

式中D為3-gram特征集合；Dⁱ為所有3-gram特征中的第i個特征；y為惡意代碼樣本；S(Dⁱ,y)為樣本y中特征Dⁱ的總數；樣本中每個3-gram特征的頻率在區間[0,1]內；