包级行为和操作意图编码的恶意软件包检测方法

本发明涉及包级行为和操作意图编码的恶意软件包检测方法，属于软件工程领域。本发明首先通过FNN对所有脚本文件的统计特征进行编码；其次构建各脚本文件的AST并遍历节点构建API行为图，通过双曲图网络模型生成图编码，拼接各脚本文件的图编码得到软件包行为编码；然后使用正则规则和各脚本文件的AST构建软件包操作序列，通过滑动窗口提取子序列，计算其与预定义恶意操作模板的相似度，将相似度输入MLP得到操作意图编码；最后将统计特征编码、软件包行为编码和操作意图编码通过门控机制融合，使用MLP作为分类器判断是否为恶意软件包。本发明针对现有方法结构关系表征不足和操作顺序丢失的问题，通过编码包级行为和操作意图，有效提升检测准确率。