摘要
恶意程序的数量及其复杂程度均持续增长。对海量数据中恶意行为的分析需要消耗大量资源,因此亟需高效的恶意软件分类方法。本文将恶意程序的内容表示为一个熵流(entropy stream),其中每个数值描述文件中特定位置处一小段代码的熵值。随后,对这一熵信号应用小波变换(wavelet transform),以刻画熵能变化的特征。受同一家族恶意软件熵流之间具有视觉相似性的启发,本文提出一种不依赖文件格式的深度学习分类方法,用于恶意软件的分类。该方法利用了多数变种均通过通用混淆技术生成,且压缩与加密算法在处理过程中保留了原始代码部分特性的事实,从而能够识别出同一家族中几乎所有变种共有的判别性模式。本方法在微软提供的“BigData Innovators Gathering 反恶意软件预测挑战赛”数据集上进行了评估,实验结果表明,其性能优于当前主流技术,展现出良好的分类效果。