1.一种基于三通道图像的恶意软件分类方法,其特征在于:使用三种恶意软件灰度图像合成三通道彩色图像,将EfficientNetB0微调模型用于恶意软件三通道图像训练和测试,包括以下步骤:
步骤1、提取样本的字节流;
步骤2、提取字节流的Bigram序列;
步骤3、提取样本的反编译Lst文件并提取Lst文件的字节流;
步骤4、将样本字节流、标准化后的Bigram序列、Lst字节流转化成三种灰度图像,并生成恶意软件的三通道彩色图像;
步骤5、使用EfficientNetB0微调模型对恶意软件三通道图像训练和测试。
2.如权利要求1所述的一种基于三通道图像的恶意软件分类方法,其特征在于:具体步骤为:
步骤1、将目标样本以二进制形式打开,获得恶意软件样本的二进制流,再将二进制流八位为一个字节转化为字节流;
步骤2、将N‑gram算法的N值设置为2,提取样本字节流的Bigram序列,并将Bigram标准化到[0,255]范围内;标准化公式如下:X是一个样本的Bigram特征,首先分别使用(1)式、(2)式找出X的最小值min和最大值max,再使用(3)式计算出系数k,最后通过(4)式将X标准化后取整,使其范围落到[0,255];
步骤3、使用IDA_Pro工具提取样本的反编译Lst文件,Lst文件比传统的Asm文件包含了更多的信息,该文件的内容包含了每一行汇编代码的段信息;再用步骤1的方式将反编译文件转化成字节流;
步骤4、使用Bin2Pixel算法将恶意软件, Lst文件的字节流以及标准化过后的Bigram序列转化成灰度图像,该算法伪代码如下,将三种文件的灰度图像合并成三通道彩色图像;
步骤5、修改EfficientNetB0的全连接层输出为20,然后使用该模型加载不含全连接层的ImageNet权重,并在恶意软件三通道图像上进行训练和测试。