CN111797396B

CN111797396B - 恶意代码可视化及变种检测方法、装置、设备及存储介质

Info

Publication number: CN111797396B
Application number: CN202010598414.4A
Authority: CN
Inventors: 余健; 冯健文; 黄伟
Original assignee: Hanshan Normal University
Current assignee: Hanshan Normal University
Priority date: 2020-06-28
Filing date: 2020-06-28
Publication date: 2023-08-29
Anticipated expiration: 2040-06-28
Also published as: CN111797396A

Abstract

本发明公开了一种恶意代码可视化及变种检测方法、装置、设备及存储介质，所述恶意代码可视化及变种检测方法的步骤，包括：通过获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号；将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示；将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。本发明可视化地显示恶意代码对应的变分模态分解谱，方便快速定位恶意代码，提高了恶意代码变种检测的效率和准确率。

Description

恶意代码可视化及变种检测方法、装置、设备及存储介质

技术领域

本发明涉及信息安全技术领域，尤其涉及一种恶意代码可视化及变种检测方法、装置、设备及存储介质。

背景技术

据统计目前国际上有数万种病毒，而变种病毒却有成百上千万，恶意代码变种率急剧上升。

目前恶意代码可视化及变种检测方法从所采用的特征角度来看，主要有以下两种：基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度，且通常会涉及判断子图同构的问题，而判断子图同构问题是NP完全(Non-deterministic PolynomialComplete)问题，判断过程耗时较长；基于图像纹理特征的方法需要从图像这种二维数据提取特征，特征提取过程比较复杂，运行效率也比较低。

发明内容

本发明的主要目的在于提供一种恶意代码可视化及变种检测方法，旨在解决现有的恶意代码都是代码化显示，不方便用户查看定位恶意代码位置，且恶意代码变种检测效率低下的技术问题。

为实现上述目的，本发明提供一种恶意代码可视化及变种检测方法，所述恶意代码可视化及变种检测方法包括：

获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号；

将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示；

将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得

可选地，所述获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号的步骤，包括：

获取待检测的恶意代码，及所述恶意代码的二进制可执行文件，将所述二进制可执行文件转换为一维整数数组；

将所述一维整数数组按照预设采样规则进行下采样，获得一维时间序列信号。

可选地，所述将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示的步骤，包括：

将所述一维时间序列信号分解形成预设数量的模态分解函数；

将所述模态分解函数进行组合所堆叠形成一维向量，处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。

可选地，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤之前，所述方法包括：

从预设恶意代码文件数据库中抽取恶意代码样本，将各所述恶意代码样本转换为一维时间序列信号；

将所述一维时间序列信号转化为信号的实函数，将所述实函数进行分解获得模态分解函数；

将各所述模态分解函数进行变换获得解析信号，将所述解析信号进行转化，获得各所述模态分解函数的中心频率；

根据高斯平滑处理各所述模态分解函数的中心频率，获得各所述模态分解函数的带宽和，根据所述带宽和生成变分约束模型；

将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型，获得训练模型；

获取所述训练模型的识别结果，在所述识别结果中识别准确率高于预设识别准确率时，将所述训练模型作为预设恶意代码分类器。

可选地，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤，包括：

将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码的分类结果；

在所述分类结果中的相似度值大于预设阈值时，则输出所述恶意代码的所属家族信息；

在所述分类结果中的相似度值小于或等于预设阈值时，则判定所述恶意代码列为新型恶意代码家族输出提示信息。

将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解，获得各所述恶意代码样本对应的变分模态分解谱；

从各所述变分模态分解谱中提取样本时间序列特征，将各所述样本时间序列特征划分形成特征训练集与特征测试集；

通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练，获得恶意代码分类器；

通过所述特征测试集对所述恶意代码分类器进行验证，获得预设恶意代码分类器。

从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征，将所述待测时间序列特征输入预设恶意代码分类器，获取分类结果；

此外，为实现上述目的，本发明还提供一种恶意代码可视化及变种检测装置，所述恶意代码可视化及变种检测装置包括：

获取转化模块，用于获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号；

变化谱生成模块，用于将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示；

检测确定模块，用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。

此外，为实现上述目的，本发明还提供一种恶意代码可视化及变种检测设备，所述恶意代码可视化及变种检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序，所述恶意代码可视化及变种检测程序被所述处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。

此外，为实现上述目的，本发明还提供一种存储介质，所述存储介质上存储有恶意代码可视化及变种检测程序，所述恶意代码可视化及变种检测程序被处理器执行时实现如上述的恶意代码可视化及变种检测方法的步骤。

本发明提供一种恶意代码可视化及变种检测方法、装置、设备及存储介质。本发明实施例中通过将恶意代码转化为一维时间序列信号，以便获取恶意代码的时间序列信号特征，将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示，通过输出恶意代码所对应的变分模态分解谱，便于直观感知各个变种的共同之处和细微差异，使得用户快速地定位恶意代码的位置，采用本发明实施例中的可视化分析方法在进行恶意代码同个家族的样本分析时，能够明显发现各个变种的共同之处和细微差异，使得用户方便理解和掌握该恶意代码家族变种演化进程，将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得恶意代码所属的家族信息，使得恶意代码家族分类更加快速准确；与此同时，本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求，减少了人力资源浪费。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图；

图2为本发明恶意代码可视化及变种检测方法第一实施例的流程示意图；

图3为本发明恶意代码可视化及变种检测方法一具体实施例中的检测流程示意图；

图4为本发明恶意代码可视化及变种检测方法一种预设恶意代码分类器的训练方式示意图；

图5为本发明恶意代码可视化及变种检测方法一具体实施例中Malimg恶意代码分类混淆矩阵示意图；

图6为本发明恶意代码可视化及变种检测方法另一种预设恶意代码分类器的训练方式示意图；

图7为本发明恶意代码可视化及变种检测方法一具体实施例中Malheur恶意代码分类混淆矩阵示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示，图1是本发明实施例方案涉及的硬件运行环境的恶意代码可视化及变种检测设备结构示意图。

本发明实施例恶意代码可视化及变种检测设备可以是PC、平板电脑等具有显示功能的恶意代码可视化及变种检测设备。

如图1所示，该恶意代码可视化及变种检测设备可以包括：处理器1001，例如CPU，通信总线1002，用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选的用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。

本领域技术人员可以理解，图1中示出的恶意代码可视化及变种检测设备结构并不构成对恶意代码可视化及变种检测设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作装置、网络通信模块、用户接口模块以及恶意代码可视化及变种检测程序。

在图1所示的恶意代码可视化及变种检测设备中，网络接口1004主要用于连接后台服务器，与后台服务器进行数据通信；用户接口1003主要用于连接客户端(用户端)，与客户端进行数据通信；而处理器1001可以用于调用存储器1005中存储的恶意代码可视化及变种检测程序，并恶意代码可视化及变种检测方法。

基于上述硬件结构，提出本发明恶意代码可视化及变种检测方法的各个实施例。

据统计目前国际上有数万种病毒，而变种病毒却有成百上千万，恶意代码变种率从2011年的每个家族变种率为5:1，到如今1000:1以上。研究表明绝大多数的新型恶意代码都是由已知的恶意代码变异而得，而这样的变种恶意代码间只有不到2％的代码差异，这给分析恶意代码的安全研究人员提供了变种检测依据，通过检测恶意代码核心模块的相似度来对恶意代码进行变种检测。恶意代码可视化及变种检测已经成为了恶意代码检测的重点和难点。

目前，恶意代码可视化及变种检测方法从所采用的特征角度来看，主要有以下两种：基于静态语义特征的方法和基于图像纹理特征的方法。基于静态语义特征的方法主要是从恶意代码中提取操作码序列、应用程序接口(API，Application ProgrammingInterface)函数调用序列、控制流、数据流和程序依赖关系等进行分析。这种方法对程序代码的分析依赖于反汇编代码的精度，且通常会涉及判断子图同构的问题，而判断子图同构问题是NP完全(Non-deterministic Polynomial Complete)问题，判断过程耗时较长。基于图像纹理特征的方法)需要从图像这种二维数据提取特征，特征提取过程比较复杂，运行效率也比较低。故上述的种种情况均反映出现有的恶意代码可视化及变种检测方法的效率低下的技术问题。

为解决上述问题，本发明提供一种恶意代码可视化及变种检测方法，即通过将恶意代码转化为一维时间序列信号，以便获取恶意代码的时间序列信号特征，相比提取静态语义特征以及二维图像纹理特征，大大减小了时间开销；通过输出恶意代码所对应的变分模态分解谱，便于从视觉上直观感知各个变种的共同之处和细微差异，为理解和掌握该家族变种演化提供了依据；通过基于恶意代码样本对应的变分模态分解谱进行分类模型训练，使得恶意代码家族分类更加快速准确。本发明的可视化分析能够采用程序化的方式执行，相比恶意代码静态语义特征的分析，降低了恶意代码分析人员的专业技术要求，从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。所述恶意代码可视化及变种检测方法应用于装有恶意代码可视化及变种检测装置的恶意代码可视化及变种检测设备。

参照图2，图2为恶意代码可视化及变种检测方法第一实施例的流程示意图。

在本发明恶意代码可视化及变种检测方法第一实施例中，所述恶意代码可视化及变种检测方法包括以下步骤：

步骤S10，获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号。

本实施例中的恶意代码可视化及变种检测方法运用与恶意代码可视化及变种检测设备，恶意代码可视化及变种检测设备获取待检测的恶意代码，恶意代码是指故意编制或设置的、对网络或装置会产生威胁或潜在威胁的计算机代码，最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等，恶意代码通常记录于二进制可执行文件中，恶意代码的获取方式可为用户向恶意代码可视化及变种检测设备导入，或是恶意代码可视化及变种检测设备根据预设程序自动获取等。

恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时，从恶意代码文件中读取恶意代码数据，并按照预设读取规则，将二进制的恶意代码数据转换成多个一维无符号整数数组。例如，读取规则为，每八位二进制数据读取成一个对应的取值范围在0至255的无符号整数，则可将当前恶意代码文件中所有的二进制恶意代码数据全部转换为对应的一维整数数组。

恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号，并按照固定长度或是一定比例进行下采样，即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中，对于一个样值序列间隔几个样值取样一次，这样得到新序列就是原序列的下采样。需要说明的是，恶意代码所对应的一维时间序列可对用户进行显示，以增强恶意代码可视化及变种检测的可视性。

步骤S20，将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示。

恶意代码可视化及变种检测设备将一维时间序列信号进行变分模态分解(又叫VMD，Variational Mode Decomposition)，获得恶意代码对应的变分模态分解谱，即，恶意代码可视化及变种检测设备设定一维时间序列信号S的长度为n(S＝(s₁,s₂,…,s_n))，将这个一维时间序列信号S＝(s₁,s₂,…,s_n)，记为集合{s_t∈[0,255]|t＝1,2,…,n}，将所述一维时间序列信号分解形成预设数量的模态分解函数；将所述模态分解函数进行组合所堆叠形成一维向量，处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。

如图3所示，恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时，将此恶意代码二进制可执行文件中的数据按照每8位对应一无符号整数的转换规则进行转换，即可将恶意代码的二进制数据转换为一维整数数组，并将此一维整数数据看作是恶意代码的样本时间序列信号，对其进行下采样，得到恶意代码的时间序列信号，恶意代码可视化及变种检测设备再对恶意代码的时间序列信号进行变分模态分解获得变分模态分解谱并显示出来，以供分析人员进行直观分析。恶意代码可视化及变种检测设备在屏幕上显示当前所检测的恶意代码对应的变分模态分解谱，以便用户直观地对当前所检测的恶意代码的变分模态分解变换谱进行特征分析，分析其同源性。

此外，本发明实施例中还可以直接通过已训练的恶意代码分类器对恶意代码进行检测，输出对其的同源性分析结果，具体地：

步骤S30，将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得。

恶意代码可视化及变种检测设备中预设恶意代码分类器，预设恶意代码分类器是预先根据恶意代码样本的变分模态分解变换谱训练所得，具体的训练方式既可为直接使用恶意代码样本的变分模态分解变换谱进行机器学习训练，也可为先提取恶意代码样本的变分模态分解变换谱的时间序列信号特征后，再使用时间序列信号特征进行机器学习训练。训练过程中具体采用的分类算法可为贝叶斯分类器，K最近邻(kNN，k-NearestNeighbor)，支持向量机(SVM，Support Vector Machine)，决策树等，可根据实际情况灵活选择，本实施例对此不作具体限定。

恶意代码可视化及变种检测设备将当前需要检测的恶意代码所对应的变分模态分解变换谱作为恶意代码分类器的输入，或提取出变分模态分解变换谱的时间序列特征，将其时间序列特征作为恶意代码分类器的输入，分类器即可依据变分模态分解变换谱或是时间序列特征对恶意代码进行同源性分析，最终输出当前待检测恶意代码的所述家族信息。另外，在当前所要检测的恶意代码在经过恶意代码分类器的同源性分析后，也可作为新的恶意代码样本对分类器进行训练，以进一步优化分类器的判别性能。

本发明实施例中通过将恶意代码转化为一维时间序列信号，以便获取恶意代码的时间序列信号特征，相比提取静态语义特征以及二维图像纹理特征，大大减小了时间开销；通过输出恶意代码所对应的变分模态分解谱，便于从视觉上直观感知各个变种的共同之处和细微差异，为理解和掌握该家族变种演化提供了依据；通过基于恶意代码样本对应的变分模态分解谱进行分类模型训练，使得恶意代码家族分类更加快速准确。本发明实施例中的可视化分析能够采用程序化的方式执行，相比恶意代码静态语义特征的分析，降低了恶意代码分析人员的专业技术要求，从而解决了现有的恶意代码可视化及变种检测方法的效率低下的技术问题。

通过本发明实施例的方法，可以有效的将恶意代码可视为一维的时间序列信号，对恶意代码的变种能够产生更抗混淆性和抗干扰性的谱特征，能够按照恶意代码家族进行划分，并发现新的家族，对数据集具有更好的适应性和健壮性，从而有效提高恶意代码变种检测效率，也可以通过家族划分来追溯恶意代码来源，达到恶意代码同源性判定的作用。

进一步地，基于本发明恶意代码可视化及变种检测方法的第一实施例，提出本发明恶意代码可视化及变种检测方法的第二实施例。

在本实施例是第一实施例中步骤S10的细化，本实施例与上述实施例的区别在于：

恶意代码可视化及变种检测设备确定当前需要检测的恶意代码的二进制可执行文件，恶意代码可视化及变种检测设备在获取到当前需要检测的恶意代码文件时，从中读取恶意代码数据，并按照每预设二进制位数对应一无符号整数的转换规则，将二进制的恶意代码数据转换成一维无符号整数数组。优选地，预设二进制位数为八位，取值范围为0至255，待文件全部读取完毕时，即可将需要检测的恶意代码全部转换为一维整数数组。恶意代码可视化及变种检测设备将二进制恶意代码数据转换得到的一维整数数组视为一维样值时间序列信号，并按照固定长度或是一定比例进行下采样，即可在一维样值时间序列信号的基础上得到一维时间序列信号。其中，对于一个样值序列间隔几个样值取样一次，这样得到新序列就是原序列的下采样。其中，固定长度与一定比例可根据实际情况灵活调节，本实施例不做具体限定。

本实施例中恶意代码可视化及变种检测设备将恶意代码转化为一维时间序列信号，以方便进行准确分析。

进一步地，基于本发明恶意代码可视化及变种检测方法的上述实施例，提出本发明恶意代码可视化及变种检测方法的第三实施例

在本实施例是第一实施例中步骤S20的细化，本实施例与上述实施例的区别在于：

本实施例中恶意代码可视化及变种检测设备将一维时间序列信号分解形成预设数量(预设数量可以根据具体场景灵活设置，例如预设数量设置为5)的模态分解函数；恶意代码可视化及变种检测设备将模态分解函数进行组合所堆叠形成一维向量，恶意代码可视化及变种检测设备处理一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。

具体地，为了方便理解本实施例中给出了一种将一维时间序列信号进行变分模态分解，获得恶意代码对应的变分模态分解谱的具体实现方式，包括：

1.将该整数数组视为一维时间序列信号，按固定长度或一定比例进行下采样，得到长度为n的一维时间序列信号S；

2.将这个一维时间序列信号S＝(s₁,s₂,…,s_n)，表示为信号的实函数s(t),t∈[1,n]；

3.设分解后的函数个数为K，u_k(t)是分解得到的函数，ω_k是它的频率，将u_k(t)进行Hilbert(希尔伯特)变换求得解析信号：

4.将得到的解析信号乘以使得各模态函数移动到各自的中心频率：

5.利用高斯平滑求解各模态函数的带宽之和：

6.形成变分约束模型：在各模态之和为待分解信号的约束下求带宽最小和：

其中，ω_k为各模态u_k(t)对应的中心频率；

7.引入二次惩罚因子α和拉格朗日乘法算子λ(t)，将约束性变分问题转换到非约束性变分问题领域。扩展的拉格朗日表达式为

通过交替更新到频域来寻求扩展拉格朗日表达式的鞍点，具体更新过程如下:

第1步：初始化和n；

第2步：执行循环n＝n+1，k的取值为1到K；

第3步：更新

第4步：更新

第5步：更新

其中，τ是更新系数；

第6步：对于给定的判别精度ε>0，如果

则停止迭代，否则返回第2步；

将恶意代码转化为的一维时间序列信号S＝(s₁,s₂,…,s_n)，经过VMD分解后的K个u_k(t)函数的任意组合所堆叠成的一维向量称为恶意代码的VMD谱。本实施例中将恶意代码转化为变分模态分解谱可以实现恶意代码直观查询，以方便分析人员快速地定位恶意代码。

进一步地，基于本发明恶意代码可视化及变种检测方法第一实施例，提出了本发明的第四实施例。

在本实施例中是第一实施例中步骤S30之前的步骤，本实施例给出了一种恶意代码分类器具体训练方式，包括：

在本实施例中，恶意代码可视化及变种检测设备从将所述一维时间序列信号转化为信号的实函数，将所述实函数进行分解获得模态分解函数；将各所述模态分解函数进行变换获得解析信号，将所述解析信号进行转化，获得各所述模态分解函数的中心频率；根据高斯平滑处理各所述模态分解函数的中心频率，获得各所述模态分解函数的带宽和，根据所述带宽和生成变分约束模型；将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型，获得训练模型；获取所述训练模型的识别结果，在所述识别结果中识别准确率高于预设识别准确率时，将所述训练模型作为预设恶意代码分类器。

具体地，如图4所示，图4为第一种预设恶意代码分类器的训练方式示意图。本实施例中选择malimg恶意代码文件数据库，该数据库包含了25个恶意代码家族，共有9327个恶意代码文件，将该数据库中的每一个恶意代码文件，按每8位二进制作为一个无符号整数，转换为一个时间序列信号，再按n＝4096进行下采样，再将下采样后的时间序列信号进行变分模态分解，按恶意代码二进制执行文件名生成对应恶意代码VMD谱数据。循环执行，最终生成malimg恶意代码VMD谱数据库；采用机器学习方法，训练恶意代码VMD谱数据库，将80％的数据作为训练集，20％的数据作为测试集，重复10次交叉验证，对恶意代码家族进行分类。采用随机森林，分类准确率为98.46％；采用极端随机树，分类准确率为98.59％。其中，采用极端随机树训练的恶意代码分类混淆矩阵如图5所示，图5为Malimg恶意代码分类混淆矩阵示意图，左边的纵列标明了恶意代码的真实类别名称索引(Index of True Classes)，下方的纵列均标明了恶意代码的预测类别名称索引(Index of Predict Classes)，如位列第一位的ADULTBROWSER(一种病毒种类名称)，位列末位的ZHELATIN(一种病毒种类名称)等。矩阵中的数字代表真实类别与预测类别之间的相似度。

进一步地，基于本发明恶意代码可视化及变种检测方法第一实施例，提出了本发明的第五实施例。

在本实施例中是第一实施例中步骤S30之前的步骤，本实施例给出了另一种恶意代码分类器具体训练方式，包括：

即，恶意代码可视化及变种检测设备将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解，获得各所述恶意代码样本对应的变分模态分解谱；从各所述变分模态分解谱中提取样本时间序列特征，将各所述样本时间序列特征划分形成特征训练集与特征测试集；通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练，获得恶意代码分类器；通过所述特征测试集对所述恶意代码分类器进行验证，获得预设恶意代码分类器。

如图6所示，图6为另一种恶意代码分类器的训练方式示意图。恶意代码可视化及变种检测设备选择malheur恶意代码文件数据库，该数据库包含了24个恶意代码家族，共有3131个恶意代码文件；将该数据库中的每一个恶意代码文件，按每8位二进制作为一个无符号整数，转换为一个时间序列信号，再按n＝4096进行下采样，再将下采样后的时间序列信号进行变分模态分解(VMD)，按恶意代码二进制执行文件名生成对应恶意代码VMD谱数据。再对恶意代码VMD谱，提取对数梅尔滤波器组能量(log Mel-filterbank energy)时间序列特征。循环执行，最终生成malheur恶意代码VMD谱及特征数据库。

需要说明的是，若装置是通过预设恶意代码分类器训练方式得到恶意代码分类器，则在对当前需要检测的恶意代码进行变种检测时，需要获取到其对应的变分模态分解变换谱，并从变分模态分解变换谱中提取出时间序列特征，才可通过该恶意代码分类器对恶意代码进行变种检测。如图7所示，图7为Malheur恶意代码分类混淆矩阵示意图。左边的纵列标明了恶意代码的真实类别名称索引(Index of True Classes)，下采用机器学习方法，训练恶意代码VMD谱及特征数据库，将80％的数据作为训练集，20％的数据作为测试集，重复10次交叉验证，对恶意代码家族进行分类。采用随机森林，分类准确率为98.79％；采用极端随机树，分类准确率为99.03％。其中，采用极端随机树训练的恶意代码分类混淆矩阵如图7所示。

在本实施例中，第二种是先提取恶意代码的变分模态分解变换谱的时间序列信号特征，再使用时间序列信号特征来进行机器学习训练。样本时间序列特征为在模型训练阶段中，从恶意代码样本所对应的变分模态分解变换谱中提取出的时间序列特征。特征训练集为采用预设恶意代码分类器训练方式时的训练集数据，特征测试集为采用预设恶意代码分类器训练方式时的测试集数据。第二预设分类算法为采用第二种训练方式进行分类器训练时所使用的分类算法，具体可为随机森林算法、极端随机数算法等，第二预设分类算法可与第一预设分类算法相同，也可不同。其中，时间序列信号特征优选为对数梅尔滤波器组能量。

进一步地，基于本发明恶意代码可视化及变种检测方法的上述实施例，提出本发明恶意代码可视化及变种检测方法的第六实施例。

本实施例是第一实施例中步骤S30的细化，本实施中给出了两种通过预设恶意代码分类器进行恶意代码可视化及变种检测的具体实现方式，

实现方式一为：

恶意代码可视化及变种检测设备将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码的分类结果；在所述分类结果中的相似度值大于预设阈值(预设阈值根据具有场景设置，例如，设置为70％)时，则输出所述恶意代码的所属家族信息；在所述分类结果中的相似度值小于或等于预设阈值时，则判定所述恶意代码列为新型恶意代码家族输出提示信息。

实现方式二为：

恶意代码可视化及变种检测设备从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征，将所述待测时间序列特征输入预设恶意代码分类器，获取分类结果；在所述分类结果中的相似度值大于预设阈值(预设阈值根据具有场景设置，例如，设置为70％)时，则输出所述恶意代码的所属家族信息；在所述分类结果中的相似度值小于或等于预设阈值时，则判定所述恶意代码列为新型恶意代码家族输出提示信息。

在本实施例中待测时间序列特征为利用已训练的分类器对待测恶意代码进行变种检测时，从待检测的恶意代码所对应的变分模态分解变换谱中提取出的时间序列特征。若当前所使用的分类器是采用第一种训练方式训练所得，则将当前所要检测的恶意代码所对应的变分模态分解变换谱作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入；若当前所使用的分类器是采用第二种训练方式训练所得，则先对当前所要检测的恶意代码所对应的变分模态分解变换谱进行时间序列特征提取，再将提取出的待测时间序列特征作为预先已训练好的用于恶意代码同源性分析的恶意代码分类器的输入。分类器即可对其进行变种检测，判断当前所要检测的恶意代码是否为已有恶意代码的变种。若装置判定当前所要检测的恶意代码为已有恶意代码的变种，则获取与当前恶意代码同源的已有恶意代码的所属家族信息，以便用户获知当前所检测的恶意代码为已有恶意代码的变种；若装置判定当前所要检测的恶意代码并非已有恶意代码的变种，也即是当前的恶意代码不与任何一种已知的恶意代码同源，则将该恶意代码列为新的一种恶意代码家族，同时可输出为查询到同源信息的相关提示信息，以便用户获知该恶意代码不与已有恶意代码同源，是一种新型恶意代码。

在本实施例中通过将恶意代码转换为一维整数数组，并对其进行下采样得到一维时间序列信号并输出，可以有效的将恶意代码可视为一维的时间序列信号，对恶意代码的变种能够产生更抗混淆性和抗干扰性的谱特征，能够按照恶意代码家族进行划分，并发现新的家族，对数据集具有更好的适应性和健壮性，从而有效提高恶意代码可视化及变种检测效率，也可以通过家族划分来追溯恶意代码来源，达到恶意代码同源性判定的作用。

在本实施例中，进一步通过设置两种分类器的训练方式，预先对一定数量的训练数据集与测试数据集进行机器学习训练，使得能够采用已训练的分类器对待检测的恶意代码进行快速准确的变种检测，提升了变种检测的效率。

本发明还提供一种恶意代码可视化及变种检测装置。

在一实施例中，所述获取转化模块，包括：

获取转换单元，用于获取待检测的恶意代码，及所述恶意代码的二进制可执行文件，将所述二进制可执行文件转换为一维整数数组；

采用获取单元，用于将所述一维整数数组按照预设采样规则进行下采样，获得一维时间序列信号。

在一实施例中，所述变化谱生成模块，包括：

分解单元，用于将所述一维时间序列信号分解形成预设数量的模态分解函数；

射出单元，用于将所述模态分解函数进行组合所堆叠形成一维向量，处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。

在一实施例中，所述的恶意代码可视化及变种检测装置，包括：

样本转化模块，用于从预设恶意代码文件数据库中抽取恶意代码样本，将各所述恶意代码样本转换为一维时间序列信号；

函数分解模块，用于将所述一维时间序列信号转化为信号的实函数，将所述实函数进行分解获得模态分解函数；

信号变化模块，用于将各所述模态分解函数进行变换获得解析信号，将所述解析信号进行转化，获得各所述模态分解函数的中心频率；

模型生成模块，用于根据高斯平滑处理各所述模态分解函数的中心频率，获得各所述模态分解函数的带宽和，根据所述带宽和生成变分约束模型；

模型训练模块，用于将预设的二次惩罚因子和预设的拉格朗日乘法算子引入所述变分约束模型，获得训练模型；

模型生成模块，用于获取所述训练模型的识别结果，在所述识别结果中识别准确率高于预设识别准确率时，将所述训练模型作为预设恶意代码分类器。

在一实施例中，所述检测确定模块，包括：

输入检测单元，用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码的分类结果；

第一输出单元，用于在所述分类结果中的相似度值大于预设阈值时，则输出所述恶意代码的所属家族信息；

第二检测单元，用于在所述分类结果中的相似度值小于或等于预设阈值时，则判定所述恶意代码列为新型恶意代码家族输出提示信息。

变分模态分解模块，用于将预设恶意代码文件数据库中的恶意代码样本进行变分模态分解，获得各所述恶意代码样本对应的变分模态分解谱；

特征提取模块，用于从各所述变分模态分解谱中提取样本时间序列特征，将各所述样本时间序列特征划分形成特征训练集与特征测试集；

迭代训练模块，用于通过所述特征训练集中的变分模态分解谱对初始分类算法进行迭代训练，获得恶意代码分类器；

分类器生成模块，用于通过所述特征测试集对所述恶意代码分类器进行验证，获得预设恶意代码分类器。

在一实施例中，所述检测确定模块30，包括：

提取输入单元，用于从所述恶意代码对应的变分模态分解谱中提取的待测时间序列特征，将所述待测时间序列特征输入预设恶意代码分类器，获取分类结果；

第二输出单元，用于在所述分类结果中的相似度值小于或等于预设阈值时，则判定所述恶意代码列为新型恶意代码家族输出提示信息。

本发明实施例中通过将恶意代码转化为一维时间序列信号，以便获取恶意代码的时间序列信号特征，将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示；通过输出恶意代码所对应的变分模态分解谱，便于直观感知各个变种的共同之处和细微差异，将恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得恶意代码所属的家族信息，使得恶意代码家族分类更加快速准确；与此同时，本发明实施例中的技术方法降低了恶意代码分析人员的专业技术要求，减少了人力资源浪费。

其中，所述恶意代码可视化及变种检测装置被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法的各个实施例，此处不再赘述。

本发明还提供一种存储介质。

本发明存储介质上存储有恶意代码可视化及变种检测程序，所述恶意代码可视化及变种检测程序被处理器执行时实现如上所述的恶意代码可视化及变种检测方法的步骤。

其中，所述恶意代码可视化及变种检测程序被执行时所实现的方法可参照本发明恶意代码可视化及变种检测方法各个实施例，此处不再赘述。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台恶意代码可视化及变种检测设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种恶意代码可视化及变种检测方法，其特征在于，所述恶意代码可视化及变种检测方法包括：

将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得；

其中，所述获取待检测的恶意代码，将所述恶意代码转换为一维时间序列信号的步骤，包括：

将所述一维整数数组按照预设采样规则进行下采样，获得一维时间序列信号；

所述将所述一维时间序列信号进行变分模态分解，获得所述恶意代码对应的变分模态分解谱并输出显示的步骤，包括：

2.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤之前，所述方法包括：

3.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤，包括：

4.如权利要求1所述的恶意代码可视化及变种检测方法，其特征在于，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤之前，所述方法包括：

5.如权利要求1至4任意一项所述的恶意代码可视化及变种检测方法，其特征在于，所述将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息的步骤，包括：

6.一种恶意代码可视化及变种检测装置，其特征在于，所述恶意代码可视化及变种检测装置包括：

检测确定模块，用于将所述恶意代码对应的变分模态分解谱输入至预设恶意代码分类器进行变种检测，获得所述恶意代码所属的家族信息，其中，所述预设恶意代码分类器是基于恶意代码样本的变分模态分解谱训练获得；

所述获取转化模块，还用于获取待检测的恶意代码，及所述恶意代码的二进制可执行文件，将所述二进制可执行文件转换为一维整数数组；将所述一维整数数组按照预设采样规则进行下采样，获得一维时间序列信号；

所述变化谱生成模块，还用于将所述一维时间序列信号分解形成预设数量的模态分解函数；将所述模态分解函数进行组合所堆叠形成一维向量，处理所述一维向量获得所述恶意代码对应的变分模态分解谱并输出显示。

7.一种恶意代码可视化及变种检测设备，其特征在于，所述恶意代码可视化及变种检测设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意代码可视化及变种检测程序，所述恶意代码可视化及变种检测程序被所述处理器执行时实现如权利要求1至5中任一项所述的恶意代码可视化及变种检测方法的步骤。

8.一种存储介质，其特征在于，所述存储介质上存储有恶意代码可视化及变种检测程序，所述恶意代码可视化及变种检测程序被处理器执行时实现如权利要求1至5中任一项所述的恶意代码可视化及变种检测方法的步骤。