摘要
本发明涉及包级行为和操作意图编码的恶意软件包检测方法,属于软件工程领域。本发明首先通过FNN对所有脚本文件的统计特征进行编码;其次构建各脚本文件的AST并遍历节点构建API行为图,通过双曲图网络模型生成图编码,拼接各脚本文件的图编码得到软件包行为编码;然后使用正则规则和各脚本文件的AST构建软件包操作序列,通过滑动窗口提取子序列,计算其与预定义恶意操作模板的相似度,将相似度输入MLP得到操作意图编码;最后将统计特征编码、软件包行为编码和操作意图编码通过门控机制融合,使用MLP作为分类器判断是否为恶意软件包。本发明针对现有方法结构关系表征不足和操作顺序丢失的问题,通过编码包级行为和操作意图,有效提升检测准确率。
