技术特征:
1.一种恶意程序分类方法,其特征在于,所述分类方法包括:将恶意程序样本集中的各个恶意程序样本转换为api函数调用序列文档;并将所述api函数调用序列文档转换成第一数量个空间稠密实量;将所述第一数量个空间稠密实量输入至循环神经网络模型中提取双向动态行为特征向量;将所述双向动态行为特征输入至卷积神经网络模型中进行分类,得到所述恶意程序样本的分类结果。2.根据权利要求1所述的方法,其特征在于,将恶意程序样本集中的各个恶意程序样本转换为api函数调用序列文档的步骤包括:将所述各个恶意程序样本分别通过沙箱环境进行运行分析,针对所述各个恶意程序样本生成对应的样本报告,对样本报告分别解析,以得到所述api函数调用序列文档。3.根据权利要求2所述的方法,其特征在于,所述样本报告包括:不同时刻调用的api函数类型和api函数名称。4.根据权利要求1所述的方法,其特征在于,所述第一数量与所述恶意程序样本集对应的api函数调用序列文档中调用的api函数的数量相关。5.根据权利要求1所述的方法,其特征在于,所述双向动态行为特征向量用于表征api调用时序特征和调用频率特征。6.根据权利要求1所述的方法,其特征在于,所述循环神经网络模型为双向长短期记忆网络(lstm)模型。7.一种恶意程序分类装置,其特征在于,所述装置包括:第一转换单元,其将恶意程序样本集中的各个恶意程序样本转换为api函数调用序列文档;第二转换单元,其将所述api函数调用序列文档转换成第一数量个空间稠密实量;提取单元,其将所述第一数量个空间稠密实量输入至循环神经网络模型中提取双向动态行为特征向量;分类单元,其将所述双向动态行为特征输入至卷积神经网络模型中进行分类,得到所述恶意程序样本的分类结果。8.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任意一项所述方法。9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6任意一项所述方法的计算机程序。10.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至6任意一项所述方法。
技术总结
本申请实施例提供一种恶意程序分类方法和装置。通过将恶意程序样本转换为API函数调用序列文档,并将API函数调用序列文档转换成第一数量个空间稠密实量,进而基于循环神经网络模型提取双向动态行为特征向量,再通过卷积神经网络模型对双向动态行为特征向量进行分类。由此,不仅能够捕获系统调用的序列中N-Gram词组间的联系,还能保留恶意程序动态行为在时序上的前后依赖关系,能够捕获恶意软件的动态行为信息,并且能够全面捕获到恶意软件在实际执行中的行为特征,较少地受到代码混淆转换的影响,从而提高分析准确度与检测覆盖率;并且,能够建立具备更强分类能力的恶意程序功能分类模型,更有效的获取功能级别的本质恶意行为。行为。行为。
技术研发人员:黎星宇
受保护的技术使用者:中国工商银行股份有限公司
技术研发日:2022.08.19
技术公布日:2022/11/11
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
