本發明涉及一種基于軟件圖譜的閾值機制惡意軟件檢測方法及系統，屬于軟件安全技術領域。首先通過反編譯技術來獲取惡意軟件的字節碼，其次將連續8bit位的數據轉化為0至255以內的無符號整數，用以生成惡意軟件圖譜。然后利用圖像的紋理特點，并借助注意力機制，用于提取惡意軟件的相關特征；最后通過軟閾值化的方法，去除無關信息，進一步提升特征提取的準確性從而提高檢測的性能。結果表明：基于軟閾值機制的惡意軟件檢測方法在檢測效率上明顯優于其他傳統的深度學習方法。解決了計算資源不足、模型訓練速度慢、系統魯棒性差等問題。

技術領域

本發明屬于軟件安全技術領域，涉及一種在海量軟件檢測環境下的惡意軟件檢測方法，具體為惡意軟件的圖譜生成方法、基于惡意軟件的軟閾值方法和基于軟閾值機制的惡意軟件軟件檢測方法。

背景技術

隨著物聯網、云計算、大數據等技術的進一步發展，各種應用軟件給人們生活提供便捷服務的同時，也帶來了諸多安全問題，如木馬以及蠕蟲病毒，誘導用戶進行點擊，從而感染用戶的系統文件、注冊列表，危害用戶的信息安全，同時給軟件的開發廠商以及國家的財產安全造成巨大的危害，嚴重影響互聯網的健康發展。目前，在惡意軟件檢測領域還存在兩方面的不足：一是隨著惡意軟件數量的增多，現有安全審查機制的準確性和可擴展性較差，同時惡意軟件檢測技術受到存儲資源、計算資源和網絡資源的限制，在海量惡意軟件行為檢測的場景下，已有的惡意軟件檢測機制的效率較差；其次，隨著惡意軟件開發技術的發展，很多惡意軟件通過代碼混淆技術來躲避檢測，導致已有的惡意軟件檢測方法精度下降，魯棒性變差。

發明內容

本發明所要解決的技術問題是：

隨著惡意軟件數量的增多，現有安全審查機制的準確性和可擴展性較差，同時惡意軟件檢測技術受到存儲資源、計算資源和網絡資源的限制，在海量惡意軟件行為檢測的場景下，已有的惡意軟件檢測機制的效率較差。為了避免現有技術的不足之處，本發明提供一種基于軟閾值機制的惡意軟件檢測方法，借助軟閾值機制來大幅度提高海量惡意軟件檢測場景下的檢測系統準確率。

為了解決上述技術問題，本發明采用的技術方案為：

一種基于軟件圖譜的閾值機制惡意軟件檢測方法，其特征在于包括：

S1：對惡意軟件反編譯得到二進制代碼，對得到的二進制代碼經過裁剪變換得到惡意軟件圖譜；

S2：將惡意軟件圖譜輸入基于軟閾值機制的惡意軟件檢測模型，提取惡意軟件圖譜中的特征并對惡意軟件檢測模型進行反復訓練；

所述特征：惡意軟件圖譜樣本通過向前傳播和反向傳播階段，經過層層卷積池化后得到惡意軟件圖譜的淺層特征圖；將淺層特征圖譜經過軟閾值處理，獲取到惡意軟件圖譜的深層次特征；

S3：利用訓練好的模型進行惡意軟件檢測。

本發明進一步的技術方案：S1具體步驟如下：

S11：打開逆向工具IDA-Pro，點擊導入按鈕，將惡意軟件上傳至工具內，然后選擇反編譯按鈕，利用逆向工具IDA-Pro反編譯惡意軟件樣本，獲取惡意軟件的源碼文件；

S12：將惡意軟件的源碼文件反編譯成二進制代碼；

S13：將連續的8bit數據轉化成0到255內的無符號整數；

S14：連續四個字節代表一條指令，分別對應R、G、B、A四個特征通道；

S15：按照固定728*384的長寬，對特征進行裁剪并轉換為RGBA圖像。

本發明進一步的技術方案：還包括：對于惡意軟件圖譜長度小于固定值，或者在裁剪過程中出現了二進制編碼丟失的現象，均用使用0字節進行填充。

本發明進一步的技術方案：所述軟閾值機制的具體公式如下：