现有的通过行为信息检测恶意代码的方法通常采用图匹配或者应用程序接口（applicationprogramming interface,API）调用序列模式挖掘，存在局限性，如图匹配会随着恶意代码数量的增加而变得越来越复杂。为提高恶意代码检测准确率，提出一种基于逆向工程的恶意代码检测方法。通过逆向方法提取样本行为中的API行为序列，首先采用行为匹配模块对样本进行检测，将样本划分为黑白灰3个区域，黑色区域代表样本为恶意程序，白色区域代表样本为正常程序，灰色区域表示不确定样本的性质。对灰色区域的样本，进一步采用检测模块进行检测，将样本的API调用序列通过马尔可夫链中的状态转移概率矩阵转化为马尔可夫图像，采用卷积神经网络（convolutional neural networks,CNN）算法进行检测，检测准确率为99.7%.

• 单位
  山东理工大学