一种恶意代码检测方法及系统
基本信息
| 申请号 | CN201911270920.4 | 申请日 | - |
| 公开(公告)号 | CN111143842B | 公开(公告)日 | 2022-07-01 |
| 申请公布号 | CN111143842B | 申请公布日 | 2022-07-01 |
| 分类号 | G06F21/56(2013.01)I;G06K9/62(2022.01)I | 分类 | 计算;推算;计数; |
| 发明人 | 范美华;李树栋;吴晓波;韩伟红;杨航锋;付潇鹏;方滨兴;田志宏;殷丽华;顾钊铨;仇晶;李默涵;唐可可 | 申请(专利权)人 | 广州大学 |
| 代理机构 | 广州市华学知识产权代理有限公司 | 代理人 | - |
| 地址 | 510006广东省广州市番禺区大学城外环西路230号 | ||
| 法律状态 | - | ||
摘要
| 摘要 | 本发明公开了一种恶意代码检测方法及系统,方法包括:S1、将每个恶意代码运行过程中的WindowsAPI动作序列视作一个具有上下文关系的文本,分别使用TF‑IDF和Doc2vec进行特征抽取;S2、在分别获得TF‑IDF和Doc2vec特征矩阵后,将TF‑IDF和Doc2vec抽取到的特征进行拼接,降维后获得恶意代码的特征矩阵;S3、构造基于聚类的集成分类改进模型,采用多个基学习器对数据集进行分类,并在最后采用投票的方式获得最终分类结果,S4、在预测阶段将样本分别输入每个基学习器中与之最近的单一类别类簇/SVM分类器中并输出预测类别,最后根据投票原则,学习器输出类别中占多数的类别为最终预测类别。本发明将TF‑IDF和Doc2vec结合,不仅考虑恶意代码动作序列中API的频率,也考虑动作序列的上下文关联,提高恶意代码检测的准确性。 |
