一种基于关联行为分析的恶意软件检测方法

本发明请求保护一种基于关联行为分析的恶意软件检测方法，属于恶意软件检测领域。包括下列主要步骤：S1，用去冗余组合算法对扰动序列进行处理；S2，用马尔可夫网状结构提取序列中的顺序信息构建家族独特的特征矩阵；S3，挖掘关联行为特征，将特征划分为近邻特征与关联特征；S4，对S2、S3分别得到的特征群做加权线性融合；S5，比较测试序列与各家族的特征链后得到检测结果。本发明方法与现有的方法相比，具有以下主要优点：(1)采用马尔可夫模型和关联行为表征家族特征，提高检测的解释性。(2)利用加权融合策略，构建更加完整的、信息量涵盖更高的家族语义体。(3)通过相似度衡量公式量化差异，提高检测的准确率。