申请/专利权人：哈尔滨工程大学

申请日：2022-02-18

公开（公告）日：2024-07-05

公开（公告）号：CN114510721B

主分类号：G06F21/56

分类号：G06F21/56;G06F18/24;G06V10/40;G06V10/80;G06N20/00;G06F8/53

优先权：

专利状态码：有效-授权

法律状态：2024.07.05#授权;2022.06.03#实质审查的生效;2022.05.17#公开

摘要：一种基于特征融合的静态恶意代码分类方法，它属于静态恶意代码特征提取和融合领域。本发明解决了传统静态恶意代码检测和分类方法仅考虑了单一维度特征的问题。本发明将hash值转换成像素矩阵生成灰度图像，再提取图像纹理全局特征和局部特征，并将全局特征和局部特征融合，在获取恶意代码图像全局特征信息的前提条件下突出局部特点。基于控制流程图的n‑gram方法对操作码进行特征提取，这种方法的检测颗粒度较小，与控制流程图相结合会得到代码上下文之间的关联，从而将操作码转换成特征向量形式。将两种特征向量融合成一个向量，弥补了在单一层面提取特征的局限性。本发明方法可以应用于对静态恶意代码进行分类。

主权项：1.一种基于特征融合的静态恶意代码分类方法，其特征在于，所述方法具体包括以下步骤：步骤一、对静态恶意代码二进制文件进行反编译，再从反编译结果中提取出操作码序列；步骤二、对提取出的操作码序列进行预处理后，再计算预处理后的操作码序列中每位操作码的哈希值，根据计算出的哈希值获得操作码序列对应的SimHash值序列；步骤三、根据操作码序列对应的SimHash值序列生成灰度图；步骤四、采用SIFT算法提取灰度图的局部纹理特征，采用GIST算法提取灰度图的全局纹理特征；再对灰度图的局部纹理特征和灰度图的全局纹理特征进行融合，将融合结果作为灰度图的纹理特征；步骤五、利用IDAPro从静态恶意代码二进制文件中得到函数的调用关系，再将得到的函数调用关系利用控制流程图的逻辑关系表示；再根据控制流程图从静态恶意代码二进制文件中提取操作码，提取的操作码组成操作码序列；步骤六、设置滑动窗口长度，将滑动窗口在步骤五提取的操作码序列上滑动，得到步骤五中提取出的操作码序列的各个操作码子序列，将各个操作码子序列组成的子序列集合记为S；再根据子序列集合S提取出静态恶意代码二进制文件的操作码特征；步骤七、将步骤四获得的灰度图纹理特征和步骤六获得的操作码特征进行融合，将融合结果作为静态恶意代码二进制文件的特征；将获得的静态恶意代码二进制文件的特征和静态恶意代码二进制文件所属的类别作为机器学习模型的训练数据集；再利用训练好的机器学习模型对待分类的静态恶意代码二进制文件的类别进行检测。

全文数据：

权利要求：

百度查询： 哈尔滨工程大学 一种基于特征融合的静态恶意代码分类方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD