本申請實施例提供一種惡意程序分類方法和裝置。通過將惡意程序樣本轉換為API函數調用序列文檔，并將API函數調用序列文檔轉換成第一數量個空間稠密實量，進而基于循環神經網絡模型提取雙向動態行為特征向量，再通過卷積神經網絡模型對雙向動態行為特征向量進行分類。由此，不僅能夠捕獲系統調用的序列中N?Gram詞組間的聯系，還能保留惡意程序動態行為在時序上的前后依賴關系，能夠捕獲惡意軟件的動態行為信息，并且能夠全面捕獲到惡意軟件在實際執行中的行為特征，較少地受到代碼混淆轉換的影響，從而提高分析準確度與檢測覆蓋率；并且，能夠建立具備更強分類能力的惡意程序功能分類模型，更有效的獲取功能級別的本質惡意行為。

技術領域

本申請涉及計算機技術領域，特別涉及一種惡意程序分類方法和裝置。

背景技術

目前大部分金融機構的個人計算機(personal computer，PC)設備使用微軟旗下的Windows系統，這一系列系統方便易用，安全機制較薄弱，版本多，使用范圍廣。

而銀行機構作為金融領域內的核心組織，常年面臨嚴峻的網絡攻擊挑戰，其中惡意軟件攻擊是最突出的一種攻擊技術。惡意軟件可以利用電子郵件，網頁窗口，第三方軟件等方式入侵設備，后續呈現典型功能行為，以達到不同的感染目的。而目前網絡黑客論壇有大量的惡意軟件制作工具和教程，學習制作惡意軟件的門檻低、收益高。攻擊者通過修改，混淆，加殼等手段就能批量生成大量相似功能的惡意代碼，再運用各種策略使他們看起來像許多不同的文件。這使得研究者會陷入這種指數級別增長的無限分析之中，重復著大量而相似的冗余工作。但屬于同一惡意“功能”的惡意文件，往往具有相同形式的惡意行為，近年來，機器學習與深度學習方法在惡意代碼分析的領域內受到了一定的關注，這些方法能高效率分析大量相似樣本。

早在2016年，Kolosnjaji將循環神經網絡與動態應用程序接口(ApplicationProgramming Interface，API)融合應用于惡意軟件分類，最終得到了精確度為85.6％的分類器模型；在2019年，Zenkov研究包含九種類型的惡意軟件，使用的方法是二進制文本和十六進制命令以及長短期記憶網絡(Long Short-Term Memory，LSTM)對軟件本身文本進行分類研究；Rafique使用基于深度學習的惡意軟件檢測方法，依賴于靜態方法來預測可以使用系統調用序列執行的行為，結果表明，這種方法有效地檢測多態和變形惡意軟件，準確率為89％，檢出率為96％，在提出的檢測技術中，支持向量機(Support Vector Machine,SVM)被用作特征選擇器，卷積神經網絡(Convolutional Neural Network，CNN)自動編碼器被用作特征提取器，多層感知器作為分類器；Lu開發了一個18層的深度殘差網絡，將文件字節碼轉換為3通道RGB圖像，然后應用深度學習對惡意軟件進行分類。為了將惡意軟件轉換成圖像，他首先將惡意軟件二進制文件轉換成8位向量的字節碼，字節碼再被轉換成為0到255的灰度圖像，隨后將灰度通道復制三次，然后收集所有三個通道數值以創建三通道RGB圖像。實驗結果表明，網絡殘差模型的平均準確率達到86.54％；Oliveira提出了一種基于深度圖卷積神經網絡的惡意軟件檢測方法，直接從API調用序列和相關行為圖中學習，實驗結果表明，該模型的ROC曲線的F1評分達到了96％；2020年，Zhang提出了一種基于敏感系統調用和深度信任網絡的惡意軟件變體檢測方法。采用不同的實驗組和不同的數據樣本進行分析，實驗結果表明，該方法能夠檢測到包裝后的惡意軟件，準確率達到92％；He認為基于循環神經網絡的深度學習算法容易受到冗余API注入的影響，他繼續研究了冗余API注入對卷積神經網絡的有效性，最后將惡意軟件文件轉換成圖像表示，并用CNN對圖像表征進行分類；Catak構建了八種類型的惡意軟件API序列公開數據集，并使用LSTM網絡做分類實驗；2021年Schofield在公開數據集上使用傳統文本處理方法與一維卷積網絡的組合方案，進行分類研究，取得92％左右的平均準確率。

應該注意，上面對技術背景的介紹只是為了方便對本申請的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本申請的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。