基于异构图嵌入的恶意软件检测

和同构图相比，异构图包含多种节点类型和关系类型，可以表征更丰富更复杂的内容。文中提出了一种基于异构图嵌入的恶意软件检测方法，从威胁情报平台得到恶意样本的基本信息和行为报告，提取出报告中的函数调用行为、文件行为和注册表行为，构造出包含软件及其动静态特征的异构图；根据设计的元模式在图上随机游走生成语料库，通过嵌入模型得到特征向量；将嵌入降维后的特征向量送入分类器进行分类完成检测。实验筛选了4 902个样本用于验证方法效果，结果表明提出的方法检测准确率达到99.1%，可以有效检测恶意软件。