1.一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，包括以下步骤：（1）从恶意软件的ASM文件中提取操作码序列和静态API调用序列作为原始输入，对序列进行去重和长度截取预处理；

（2）通过改进的Res2Net模块对操作码序列进行多尺度行为特征提取，同时将静态API调用序列解析为动作‑对象‑类别的三元组语义链，并映射为嵌入向量；

（3）将获得的操作码特征向量与API语义特征向量拼接为融合特征；

（4）对融合特征添加位置编码后输入多头自注意力机制，通过注意力加权增强关键行为特征表示；

（5）将注意力输出经池化降维后输入全连接层，完成恶意软件家族分类。

2.根据权利要求1所述的一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，步骤（1）中预处理包括：操作码序列长度截取为150，静态API调用序列长度截取为75；去除连续重复的操作码及API调用。

3.根据权利要求1所述的一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，步骤（2）中，改进的Res2Net模块具体如下：将操作码嵌入向量  分解为 s个分组特征  , ,…, ， ； 对除 外的每个分组 执行一维卷积操作，并与前一尺度输出 进行残差融合，公式如下：;

其中， 是前一尺度的输出特征； ；

将多尺度输出 , ,…, 在通道维度拼接，经1*1卷积和批量归一化后与原始输入进行残差连接，公式如下：；

其中 表示批量归一化， 是线性激活函数。

4.根据权利要求1所述的一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，步骤（2）中，构建API语义链包括：将单个API调用解析为三元组，表示动作、对象及类别；

构建包含所有三元组词元的统一词典，为每个词元分配索引并映射至 k维嵌入向量；对每个API调用的三元组嵌入向量，执行步长为3的一维卷积，融合动作、对象和类别语义，公式如下：；

其中，  为 sigmoid 激活函数，为最终的API语义特征表示。

5.根据权利要求1所述的一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，步骤（4）中，位置编码的计算公式为：；

其中， 表示token在序列中的位置，表示位置编码的维度，为嵌入向量的维度。

6.根据权利要求1所述的一种基于多特征融合的轻量化恶意软件分类方法，其特征在于，步骤（4）中多头自注意力机制的计算包括：将融合特征通过线性变换生成查询矩阵、键矩阵、值矩阵；经过线性变换后，将查询矩阵、键矩阵、值矩阵输入到相应的特征头中计算子空间下的注意力输出；将多头输出拼接后线性映射为最终特征。

7.一种基于多特征融合的轻量化恶意软件分类方法系统，其特征在于，包括：预处理模块：用于从恶意软件的ASM文件中提取操作码序列和静态API调用序列作为原始输入，对序列进行去重和长度截取预处理；

特征提取模块：用于通过改进的Res2Net模块对操作码序列进行多尺度行为特征提取，同时将静态API调用序列解析为动作‑对象‑类别的三元组语义链，并映射为嵌入向量；

拼接模块：用于将获得的操作码特征向量与API语义特征向量拼接为融合特征；

加权特征模块；用于对融合特征添加位置编码后输入多头自注意力机制，通过注意力加权增强关键行为特征表示；

分类模块：用于将注意力输出经池化降维后输入全连接层，完成恶意软件家族分类。

8.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述程序时实现权利要求1‑6中任一项所述方法的步骤。

9.一种计算机可读存储介质，其特征在于，存储有计算机程序，所述程序被处理器执行时实现权利要求1‑6中任一项所述方法的步骤。