1.一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法，包括以下步骤：

1)获取数据集，将其划分为训练集和测试集；具体包括：

1.1)收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

1.2)考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比80％、测试集占比20％的比例划分；

2)转换为恶意软件图像格式，具体包括：

2.1)对于步骤1.1)中的“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；

2.2)再通过进制转换转化为十进制的数字，恶意软件的长字符串就转化为十进制的长数组；

2.3)将十进制长数组以一定的方式进行拼接转换为64×64大小的恶意软件灰度图像；

2.4)最后获取图像格式的恶意软件样本；

3)构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型；黑盒攻击模型结构分为生成器和判别器两部分，具体包括：

3.1)由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

3.2)由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来；输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；

网络共5层，共2,161,728个带训练参数；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签的交叉熵作为损失函数，A样本的标签为0，B样本的标签为1，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

4)经过步骤3.1)构建的生成器和3.2)构建的判别器之间的不断对抗过程，生成器最终生成能够模仿样本B的对抗样本；

5)将步骤4)获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

6)利用能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，能够防御对恶意软件检测模型的对抗攻击。

2.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：所述步骤1)中，获取了9个恶意软件家族样本数据集，共10868个恶意软件样本，将恶意软件原始“.asm”后缀的汇编语言文件通过ASCII映射、进制转换、拼接转换为64×64大小的恶意软件灰度图像。

3.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤3.1)中，生成器将高维空间的噪声通过全连接和反卷积过程转换为扰动图像并叠加到A样本的原始图像上形成对抗样本，以对抗样本被判别器识别错误作为目标和损失函数进行训练；在所述步骤3.2)中，判别器将A样本的对抗样本和真实的B样本进行判断，以把对抗样本和真实样本同时分类正确作为目标和损失函数进行训练，双方不断对抗，最终生成器通过非线性映射将噪声转换成能把A图像生成B图像的扰动图像。

4.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤4)中，设置生成器和判别器的总迭代训练次数为100次，其中每训练一次判别器将训练k次生成器，k是待研究超参数；高维空间的噪声是一维向量，其长度z是另一待研究超参数；训练结束后随机选取500个样本A的测试样本用于生成对抗样本以进行黑盒攻击，测试恶意软件检测器的精度变化情况；当z＝1000，k＝20时，恶意软件图像分类器的攻击效果达到最佳，分类精度降低到16.8％左右；其中精度为分类正确的样本占总样本的比例，精度的计算公式如下：

其中f(xi)为分类器对样本i的分类结果，yi为样本真实的标签，样本总数为n。

5.如权利要求1所述的面向恶意软件图像格式检测模型的黑盒攻击的防御方法，其特征在于：在所述步骤4)中，生成器与判别器的对抗过程具体包括：假设pdata(x)为真实数据的概率分别，pz(z)为噪声的分布；那么生成器G的目标就是找到一个映射关系，使得噪声的分布pz(z)通过映射后能逼近于真实的数据的分布pdata(x)，从而迷惑判别器D；训练过程的优化目标如公式(2)所示：

其由判别器的log损失函数的期望和判别器对生成器生成的分布的期望构成,首先训练判别器，使损失函数最大化来增大判别器的真伪识别能力；然后训练生成器，使损失函数最小化来提高生成器的模仿能力。

6.实施如权利要求1所述的一种面向恶意软件图像格式检测模型的黑盒攻击的防御方法的装置，其特征在于：包括依次连接的获取模块、转换模块、生成模块、对抗模块、防御模块；

获取模块获取数据集，并将其划分为训练集和测试集；具体包括：收集各个恶意软件家族样本数据集，数据以“.asm”后缀的汇编语言文件类型保存；

考虑各个类别的样本数量差异以及为便于后续的工作，将各个类别数据集以训练集占比80％、测试集占比20％的比例划分；

转换模块将获取模块获取的数据集转换为恶意软件图像格式，具体包括：对于“.asm”后缀的汇编语言文件，文件的每个字符都可以在ASCII编码中找到，首先将其通过ASCII标准表映射为十六进制的数字；

再通过进制转换转化为十进制的数字，恶意软件的长字符串就转化为十进制的长数组；

将十进制长数组以一定的方式进行拼接转换为64×64大小的恶意软件灰度图像；

最后获取图像格式的恶意软件样本；

生成模块构建基于深度卷积生成对抗网络(DCGAN)生成扰动的黑盒攻击模型；所述生成模块包含两个单元，具体包括：

第一生成单元，用于构建生成器，由神经网络搭建生成器(Generator)的结构模型，生成器学习将随机分布z映射为扰动图，扰动图加到原始样本A上生成模仿样本B的对抗样本；

从噪声中采样出长度为N的一维数组，将其通过全连接层和尺度变化操作转为(4,4,1024)大小的特征图；通过四层卷积核为3×3、步长为2的反卷积层，将噪声转变的特征图进行一步步地反卷积操作直到和原始数据图具有一样的尺寸(64,64,1)；整个生成器网络共五层，共6,194,304个带训练参数；生成器完成从噪声随机分布的采样到扰动图的映射，它使用扰动图加到原始样本A中生成的对抗样本被判别器分类的概率和被攻击样本B的标签的交叉熵作为损失函数，使扰动能让样本A尽可能地模仿样本B，迷惑判别器；

第二生成单元，用于构建判别器，由神经网络搭建判别器(Discriminator)的结构模型，判别器学习如何将3.1)中生成器生成的样本A的对抗样本和样本B区分开来；输入的一个通道的图像，通过四层卷积核为4×4、步长为2的卷积层逐层提取特征，最后通过全连接层输出分类概率的数值大小；网络共5层，共2,161,728个带训练参数；判别器完成对样本A、B的区分，它以当前样本的分类概率和当前样本的标签的交叉熵作为损失函数，A样本的标签为0，B样本的标签为1，使得判别器能抵挡住生成器的迷惑，具有良好的分类鲁棒性；

对抗模块，将第一生成单元构建的生成器和第二生成单元构建的判别器进行不断地对抗，最终第一单元构建的生成器生成能够模仿样本B的对抗样本；

防御模块，将对抗模块获取的对抗样本对恶意软件汇编格式检测模型重训练进行优化，获得能够防御对抗攻击的恶意软件检测模型；

利用防御模块获取的能够防御对抗攻击的恶意软件检测模型对恶意软件进行识别，防御对恶意软件检测模型的对抗攻击。