恶意代码检测模型的训练方法、装置以及设备转让专利
申请号 : CN202210252257.0
文献号 : CN114329475B
文献日 : 2022-08-02
发明人 : 王闰婷 , 沈传宝 , 白兴伟
申请人 : 北京华云安信息技术有限公司
摘要 :
本公开的实施例提供了一种恶意代码检测模型的训练方法、装置以及设备。该方法包括:获取代码文件训练集,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签;将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据灰度图的模糊区域,确定灰度图是否满足训练条件,根据满足训练条件的灰度图及其所属二进制代码文件的标签,生成灰度图训练集;采用灰度图训练集对预设恶意代码检测模型进行训练。以此方式,可以快速训练预设恶意代码检测模型,得到检测能力较强的恶意代码检测模型,进而基于该模型快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件。
权利要求 :
1.一种恶意代码检测模型的训练方法,其特征在于,所述方法包括:获取代码文件训练集,其中,所述代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签;
将所述代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据所述灰度图的模糊区域,确定所述灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集;
采用所述灰度图训练集对预设恶意代码检测模型进行训练;
所述将所述代码文件训练集中的二进制代码文件分别转换为灰度图,包括:对所述代码文件训练集中的二进制代码文件分别进行静态分析,删除所述二进制代码文件中与所述二进制代码文件的标签无关的代码;
将删除无关代码后的二进制代码文件分别转换为灰度图;
所述根据所述灰度图的模糊区域,确定所述灰度图是否满足训练条件,包括:从标准灰度图数据库中,查找所述灰度图所属二进制代码文件的代码种类对应的标准灰度图;
确定所述灰度图的模糊区域是否位于所述标准灰度图中的关键区域,其中,所述关键区域为影响恶意代码检测结果的位置;
若所述灰度图的模糊区域位于所述标准灰度图中的关键区域,则确定所述灰度图不满足训练条件;
若所述灰度图的模糊区域未位于所述标准灰度图中的关键区域,则确定所述灰度图满足训练条件。
2.根据权利要求1所述的方法,其特征在于,所述对每个二进制代码文件的灰度图的模糊区域进行标注,包括:采用等距缩放采样方式,将每个二进制代码文件的灰度图转换为同一目标尺寸的灰度图;
对转换后的每个灰度图的模糊区域进行标注。
3.根据权利要求1所述的方法,其特征在于,所述预设恶意代码检测模型为卷积神经网络;
所述采用所述灰度图训练集对预设恶意代码检测模型进行训练,包括:所述卷积神经网络的输入层接收所述灰度图训练集中的灰度图;
所述卷积神经网络的隐含层提取接收的灰度图的图像特征;
所述卷积神经网络的输出层基于提取的图像特征对接收的灰度图进行分类;
根据接收的灰度图的分类结果与标签对所述卷积神经网络的参数进行迭代更新,直至满足训练停止条件,得到训练后的恶意代码检测模型。
4.根据权利要求3所述的方法,其特征在于,所述卷积神经网络的输出层为极限梯度提升分类器。
5.一种恶意代码检测方法,其特征在于,所述方法包括:获取待检测二进制代码文件;
将所述待检测二进制代码文件转换为灰度图;
基于恶意代码检测模型对所述待检测二进制代码文件的灰度图进行检测,确定所述待检测二进制代码文件是否为恶意二进制代码文件,其中,所述恶意代码检测模型基于权利要求1‑4中任一项所述的恶意代码检测模型的训练方法得到。
6.一种恶意代码检测模型的训练装置,其特征在于,所述装置包括:获取模块,用于获取代码文件训练集,其中,所述代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签;
转换模块,用于将所述代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据所述灰度图的模糊区域,确定所述灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集;
训练模块,用于采用所述灰度图训练集对预设恶意代码检测模型进行训练;
所述转换模块具体用于:
对所述代码文件训练集中的二进制代码文件分别进行静态分析,删除所述二进制代码文件中与所述二进制代码文件的标签无关的代码;
将删除无关代码后的二进制代码文件分别转换为灰度图;
所述转换模块还用于:
从标准灰度图数据库中,查找所述灰度图所属二进制代码文件的代码种类对应的标准灰度图;
确定所述灰度图的模糊区域是否位于所述标准灰度图中的关键区域,其中,所述关键区域为影响恶意代码检测结果的位置;
若所述灰度图的模糊区域位于所述标准灰度图中的关键区域,则确定所述灰度图不满足训练条件;
若所述灰度图的模糊区域未位于所述标准灰度图中的关键区域,则确定所述灰度图满足训练条件。
7.一种恶意代码检测装置,其特征在于,所述装置包括:获取模块,用于获取待检测二进制代码文件;
转换模块,用于将所述待检测二进制代码文件转换为灰度图;
检测模块,用于基于恶意代码检测模型对所述待检测二进制代码文件的灰度图进行检测,确定所述待检测二进制代码文件是否为恶意二进制代码文件,其中,所述恶意代码检测模型基于权利要求1‑4中任一项所述的恶意代码检测模型的训练方法得到。
8.一种电子设备,其特征在于,所述设备包括:至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器执行权利要求1‑5中任一项所述的方法。
说明书 :
恶意代码检测模型的训练方法、装置以及设备
技术领域
[0001] 本公开涉及机器学习领域,尤其涉及一种恶意代码检测模型的训练方法、装置以及设备。
背景技术
[0002] 网络安全行业一直致力于防治恶意代码的攻击行为,攻击者可利用恶意代码感染受害设备,达到破坏用户和企业数据资源保密性、完整性的目的。目前传统方案通常利用人工检测、静态检测、动态检测和启发式检测等技术来检测设备是否感染恶意代码。但是人工检测的效率低,高度依赖人员经验。静态检测针对字符特征、签名特征、字节序列、操作码、API调用、反汇编等因素进行分析,但对混淆模式下的恶意代码信息获取不全面。动态检测则在虚拟环境中执行恶意代码,梳理分析特征属性,但存在一定的条件局限性。而启发式检测是根据所定义的规则库形成特征码,从而判定是否为恶意代码,但仅能根据相似度推断。因此,传统恶意代码检测技术的检测效率较低,逐渐无法满足需要。
发明内容
[0003] 本公开提供了一种恶意代码检测模型的训练方法、装置以及设备,能够提高恶意代码的检测效率。
[0004] 第一方面,本公开实施例提供了一种恶意代码检测模型的训练方法,该方法包括:
[0005] 获取代码文件训练集,其中,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签;
[0006] 将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据灰度图的模糊区域,确定灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集;
[0007] 采用灰度图训练集对预设恶意代码检测模型进行训练。
[0008] 在第一方面的一些可实现方式中,将代码文件训练集中的二进制代码文件分别转换为灰度图,包括:
[0009] 对代码文件训练集中的二进制代码文件分别进行静态分析,删除二进制代码文件中与二进制代码文件的标签无关的代码;
[0010] 将删除无关代码后的二进制代码文件分别转换为灰度图。
[0011] 在第一方面的一些可实现方式中,对每个二进制代码文件的灰度图的模糊区域进行标注,包括:
[0012] 采用等距缩放采样方式,将每个二进制代码文件的灰度图转换为同一目标尺寸的灰度图;
[0013] 对转换后的每个灰度图的模糊区域进行标注。
[0014] 在第一方面的一些可实现方式中,根据灰度图的模糊区域,确定灰度图是否满足训练条件,包括:
[0015] 从标准灰度图数据库中,查找灰度图所属二进制代码文件的代码种类对应的标准灰度图;
[0016] 确定灰度图的模糊区域是否位于标准灰度图中的关键区域,其中,关键区域为影响恶意代码检测结果的位置;
[0017] 若灰度图的模糊区域位于标准灰度图中的关键区域,则确定灰度图不满足训练条件;
[0018] 若灰度图的模糊区域未位于标准灰度图中的关键区域,则确定灰度图满足训练条件。
[0019] 在第一方面的一些可实现方式中,预设恶意代码检测模型为卷积神经网络;
[0020] 采用灰度图训练集对预设恶意代码检测模型进行训练,包括:
[0021] 卷积神经网络的输入层接收灰度图训练集中的灰度图;
[0022] 卷积神经网络的隐含层提取接收的灰度图的图像特征;
[0023] 卷积神经网络的输出层基于提取的图像特征对接收的灰度图进行分类;
[0024] 根据接收的灰度图的分类结果与标签对卷积神经网络的参数进行迭代更新,直至满足训练停止条件,得到训练后的恶意代码检测模型。
[0025] 在第一方面的一些可实现方式中,卷积神经网络的输出层为极限梯度提升分类器。
[0026] 第二方面,本公开实施例提供了一种恶意代码检测方法,该方法包括:
[0027] 获取待检测二进制代码文件;
[0028] 将待检测二进制代码文件转换为灰度图;
[0029] 基于恶意代码检测模型对待检测二进制代码文件的灰度图进行检测,确定待检测二进制代码文件是否为恶意二进制代码文件,其中,恶意代码检测模型基于如以上所述的恶意代码检测模型的训练方法得到。
[0030] 第三方面,本公开实施例提供了一种恶意代码检测模型的训练装置,该装置包括:
[0031] 获取模块,用于获取代码文件训练集,其中,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签;
[0032] 转换模块,用于将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据灰度图的模糊区域,确定灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集;
[0033] 训练模块,用于采用灰度图训练集对预设恶意代码检测模型进行训练。
[0034] 第四方面,本公开实施例提供了一种恶意代码检测装置,该装置包括:
[0035] 获取模块,用于获取待检测二进制代码文件;
[0036] 转换模块,用于将待检测二进制代码文件转换为灰度图;
[0037] 检测模块,用于基于恶意代码检测模型对待检测二进制代码文件的灰度图进行检测,确定待检测二进制代码文件是否为恶意二进制代码文件,其中,恶意代码检测模型基于如以上所述的恶意代码检测模型的训练方法得到。
[0038] 第五方面,本公开实施例提供了一种电子设备,该电子设备包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如以上所述的方法。
[0039] 第六方面,本公开实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行如以上所述的方法。
[0040] 第七方面,本公开实施例提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现如以上所述的方法。
[0041] 在本公开中,可以将二进制代码文件转换为可视化的灰度图,并采用满足训练条件的灰度图来快速训练预设恶意代码检测模型,得到检测能力较强的恶意代码检测模型,进而基于该模型可以快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件。
[0042] 应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0043] 结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
[0044] 图1示出了一种能够在其中实现本公开的实施例的示例性运行环境的示意图;
[0045] 图2示出了本公开实施例提供的一种恶意代码检测模型的训练方法的流程图;
[0046] 图3示出了本公开实施例提供的一种恶意代码检测方法的流程图;
[0047] 图4示出了本公开实施例提供的一种恶意代码检测模型的训练装置的结构图;
[0048] 图5示出了本公开实施例提供的一种恶意代码检测装置的结构图;
[0049] 图6示出了一种能够实施本公开的实施例的示例性电子设备的结构图。
具体实施方式
[0050] 为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0051] 另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0052] 针对背景技术中出现的问题,本公开实施例提供了一种恶意代码检测模型的训练方法、装置以及设备。具体地,可以将二进制代码文件转换为可视化的灰度图,并采用满足训练条件的灰度图来快速训练预设恶意代码检测模型,得到检测能力较强的恶意代码检测模型,进而基于该模型可以快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件。
[0053] 下面结合附图,通过具体的实施例对本公开实施例提供的恶意代码检测模型的训练方法、装置以及设备进行详细地说明。
[0054] 图1示出了一种能够在其中实现本公开的实施例的示例性运行环境的示意图,如图1所示,运行环境100中可以包括电子设备110和服务器120。
[0055] 其中,电子设备110可以是移动电子设备,也可以是非移动电子设备。例如,移动电子设备可以是手机、平板电脑、笔记本电脑、掌上电脑或者超级移动个人计算机(Ultra‑Mobile Personal Computer,UMPC)等,非移动电子设备可以是个人计算机(Personal Computer,PC)、电视(Television,TV)、超级计算机或者服务器等。
[0056] 服务器120可以是开源数据平台,其中存储有代码文件训练集,示例性地,其可以是单个服务器、服务器集群或者云服务器等。具有较高的硬件配置和较强的运算能力。
[0057] 作为一个示例,电子设备110可以从服务器120中获取代码文件训练集。其中,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签,可知,标签用于标注二进制代码文件是否为恶意二进制代码文件,也即标注二进制代码文件是正常二进制代码文件,还是恶意二进制代码文件。
[0058] 然后将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,并根据灰度图的模糊区域,确定灰度图是否满足训练条件,也即判别灰度图是否可用,进而根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集。其中,灰度图训练集包括满足训练条件的灰度图及其标签,可知,灰度图的标签为灰度图所属二进制代码文件的标签。
[0059] 接着采用生成的灰度图训练集对预设恶意代码检测模型进行训练,得到训练后的恶意代码检测模型。
[0060] 在需要检测二进制代码文件是否为恶意二进制代码文件时,可以获取待检测二进制代码文件,将待检测二进制代码文件转换为灰度图,基于恶意代码检测模型对待检测二进制代码文件的灰度图进行检测,进而确定待检测二进制代码文件是否为恶意二进制代码文件。
[0061] 以此方式,可以将二进制代码文件转换为可视化的灰度图,并采用满足训练条件的灰度图来快速训练预设恶意代码检测模型,得到检测能力较强的恶意代码检测模型,进而基于该模型可以快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件,有效提高恶意代码的检测效率。
[0062] 下面将详细介绍本公开实施例提供的恶意代码检测模型的训练方法,其中,该训练方法的执行主体可以是图1所示的电子设备110。
[0063] 图2示出了本公开实施例提供的一种恶意代码检测模型的训练方法的流程图,如图2所示,训练方法200可以包括以下步骤:
[0064] S210,获取代码文件训练集。
[0065] 其中,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签,可知,标签用于标注二进制代码文件是否为恶意二进制代码文件,也即标注二进制代码文件是正常二进制代码文件,还是恶意二进制代码文件。
[0066] S220,将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据灰度图的模糊区域,确定灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集。
[0067] 在一些实施例中,可以对代码文件训练集中的二进制代码文件分别进行静态分析,确定二进制代码文件中与二进制代码文件的标签无关的代码,并将其删除,进而将删除无关代码后的二进制代码文件分别转换为灰度图。
[0068] 如此一来,可以筛选出具有代表性的关键代码,从而将保留关键代码的文件转换为灰度图,便于后续模型训练,提高模型训练的速度以及模型的检测精度。
[0069] 示例性地,可以将删除无关代码后的二进制代码文件按照原代码顺序每8bit作为一单位转换为无符号整型向量。可知,8位的无符号整型的数值范围是0 255,刚好可以与像~素灰度值0 255相对应,其中,0对应黑色,255对应白色。然后根据二进制代码文件的大小,~
将该向量保存成矩阵形式,得到数值范围在[0,255]的矩阵。进而将该矩阵按照数值对应像素值来生成像素矩阵,并将像素矩阵可视化为灰度图。
将该向量保存成矩阵形式,得到数值范围在[0,255]的矩阵。进而将该矩阵按照数值对应像素值来生成像素矩阵,并将像素矩阵可视化为灰度图。
[0070] 在一些实施例中,由于二进制代码文件的大小不一致,导致可视化后的特征灰度图大小不一,影响后续模型检测精度。因此可以采用等距缩放采样方式,将每个二进制代码文件的灰度图转换为同一目标尺寸的灰度图,然后对转换后的每个灰度图的模糊区域进行标注例如颜色标注,将其突出显示。其中,模糊区域是灰度图生成期间受到噪声等因素影响而生成的不清晰区域,区域内各个像素间的像素差值小于或等于预设阈值,也即区域内各个像素间的区别不明显。示例性地,可以计算出灰度图中密度变化快速的区域即为模糊区域,具体地,可以对灰度图计算Laplacian算子并计算方差,即可达到检测灰度图中模糊区域的要求。也可以采用模糊区域检测模型对灰度图进行检测来确定灰度图中的模糊区域,模糊区域检测模型采用卷积神经网络结构,在深度学习框架下进行训练得到。
[0071] 如此一来,可以在确保灰度图的特征顺序也即像素顺序不被更改的同时实现量纲的统一,进而对统一量纲后的灰度图的模糊区域进行标注,有利于提高后续模型检测精度。
[0072] 在一些实施例中,可以从标准灰度图数据库中,查找灰度图所属二进制代码文件的代码种类对应的标准灰度图。示例性地,若灰度图所属二进制代码文件是恶意二进制代码文件,则从标准灰度图数据库中,查找该二进制代码文件中恶意代码的种类对应的标准灰度图。若灰度图所属二进制代码文件是正常二进制代码文件,则从标准灰度图数据库中,查找该二进制代码文件中正常代码的种类对应的标准灰度图。
[0073] 例如,若灰度图所属二进制代码文件是恶意二进制代码文件,其中的恶意代码为某种木马病毒,则标准灰度图为该木马病毒种类对应的标准灰度图。若灰度图所属二进制代码文件是正常二进制代码文件,其中的代码为某种程序代码,则标准灰度图为该程序代码种类对应的标准灰度图。
[0074] 然后确定灰度图的模糊区域是否位于标准灰度图中的关键区域。例如,可以计算模糊区域在关键区域中所占的比例,若比例大于预设阈值,则确定模糊区域位于关键区域,若比例小于或等于预设阈值,则确定模糊区域不位于关键区域。
[0075] 其中,关键区域为影响恶意代码检测结果的区域,例如,可以根据恶意二进制代码文件中的恶意代码映射在对应灰度图的区域确定,也可以根据正常二进制代码文件中的关键代码映射在对应灰度图的区域确定。
[0076] 若灰度图的模糊区域位于标准灰度图中的关键区域,则确定灰度图不满足训练条件,也即该灰度图不可用。
[0077] 若灰度图的模糊区域未位于标准灰度图中的关键区域,则确定灰度图满足训练条件,也即该灰度图可用。
[0078] 如此一来,可以通过与同种类的标准灰度图的比较,快速准确地确定灰度图是否可用。
[0079] 需要注意的是,灰度图训练集包括满足训练条件的灰度图及其标签,可知,灰度图的标签为灰度图所属二进制代码文件的标签。
[0080] S230,采用灰度图训练集对预设恶意代码检测模型进行训练。
[0081] 示例性地,预设恶意代码检测模型可以为卷积神经网络。
[0082] 相应地,卷积神经网络的输入层可以接收灰度图训练集中的灰度图,卷积神经网络的隐含层(包括卷积层、池化层等)提取接收的灰度图的图像特征,卷积神经网络的输出层基于提取的图像特征对接收的灰度图进行分类。
[0083] 根据灰度图的分类结果与标签对卷积神经网络的参数进行迭代更新,直至满足训练停止条件(例如损失函数值小于或等于预设阈值,或者迭代更新次数达到预设阈值),得到训练后的恶意代码检测模型。
[0084] 其中,卷积神经网络的激活函数为Sigmoid函数,池化操作采用平均池化,卷积神经网络的输出层为集成分类器,例如极限梯度提升分类器等,用以准确区分恶意代码文件和正常文件。
[0085] 可知,极限梯度提升分类器的训练过程依据集成学习的方式,经多次迭代产生多个弱分类器,不断降低残差,从而减小损失函数,使得各个分类树的结果达到局部最优。通过集成多个分类树的结果,对多个弱分类器的结果投票,使最终结果趋于全局最优,以此达到提升分类精度的效果。
[0086] 根据本公开的实施例,可以将二进制代码文件转换为可视化的灰度图,并采用满足训练条件的灰度图来快速训练预设恶意代码检测模型,得到检测能力较强的恶意代码检测模型,进而基于该模型可以快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件,避免出现漏报、误报的情况,有效提高恶意代码的检测效率。
[0087] 下面可以结合一个具体的实施例对本公开实施例提供的训练方法200进行详细介绍,具体如下:
[0088] 步骤1:获取代码文件训练集。
[0089] 步骤2:对代码文件训练集中的二进制代码文件分别进行静态分析,然后删除二进制代码文件中与二进制代码文件的标签无关的代码,进而将删除无关代码后的二进制代码文件分别转换为灰度图。
[0090] 步骤3:采用等距缩放采样方式,将每个灰度图转换为同一目标尺寸的灰度图,然后对转换后的每个灰度图的模糊区域进行颜色标注,将其突出显示。
[0091] 步骤4:从标准灰度图数据库中,查找灰度图所属二进制代码文件的代码种类对应的标准灰度图,然后确定灰度图的模糊区域是否位于标准灰度图中的关键区域。若灰度图的模糊区域位于标准灰度图中的关键区域,则确定灰度图不满足训练条件。若灰度图的模糊区域未位于标准灰度图中的关键区域,则确定灰度图满足训练条件。
[0092] 步骤5:根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集。
[0093] 步骤6:采用灰度图训练集对预设恶意代码检测模型进行训练。
[0094] 基于本公开实施例提供的恶意代码检测模型的训练方法200,本公开实施例还提供了一种恶意代码检测方法,如图3所示,该恶意代码检测方法300可以应用于图1所示的电子设备110,包括以下步骤:
[0095] S310,获取待检测二进制代码文件。
[0096] 其中,待检测二进制代码文件为需要进行恶意代码检测的二进制代码文件。
[0097] S320,将待检测二进制代码文件转换为灰度图。
[0098] S330,基于恶意代码检测模型对待检测二进制代码文件的灰度图进行检测,确定待检测二进制代码文件是否为恶意二进制代码文件,其中,恶意代码检测模型基于如以上所述的训练方法得到。
[0099] 具体地,可以将灰度图输入恶意代码检测模型,由恶意代码检测模型对灰度图进行分析计算,确定待检测二进制代码文件是否为恶意二进制代码文件。
[0100] 根据本公开的实施例,可以基于恶意代码检测模型快速精确地检测待检测二进制代码文件是否为恶意二进制代码文件,有效提高恶意代码的检测效果,帮助用户及时采取防治策略。
[0101] 需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受所描述的动作顺序的限制,因为依据本公开,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于可选实施例,所涉及的动作和模块并不一定是本公开所必须的。
[0102] 以上是关于方法实施例的介绍,以下通过装置实施例,对本公开所述方案进行进一步说明。
[0103] 图4示出了根据本公开的实施例提供的一种恶意代码检测模型的训练装置的结构图,如图4所示,训练装置400可以包括:
[0104] 获取模块410,用于获取代码文件训练集,其中,代码文件训练集包括多个二进制代码文件以及多个二进制代码文件的标签。
[0105] 转换模块420,用于将代码文件训练集中的二进制代码文件分别转换为灰度图,对每个二进制代码文件的灰度图的模糊区域进行标注,根据灰度图的模糊区域,确定灰度图是否满足训练条件,根据满足训练条件的灰度图以及灰度图所属二进制代码文件的标签,生成灰度图训练集。
[0106] 训练模块430,用于采用灰度图训练集对预设恶意代码检测模型进行训练。
[0107] 在一些实施例中,转换模块420具体用于:
[0108] 对代码文件训练集中的二进制代码文件分别进行静态分析,删除二进制代码文件中与二进制代码文件的标签无关的代码。
[0109] 将删除无关代码后的二进制代码文件分别转换为灰度图。
[0110] 在一些实施例中,转换模块420具体用于:
[0111] 采用等距缩放采样方式,将每个二进制代码文件的灰度图转换为同一目标尺寸的灰度图。
[0112] 对转换后的每个灰度图的模糊区域进行标注。
[0113] 在一些实施例中,转换模块420具体用于:
[0114] 从标准灰度图数据库中,查找灰度图所属二进制代码文件的代码种类对应的标准灰度图。
[0115] 确定灰度图的模糊区域是否位于标准灰度图中的关键区域,其中,关键区域为影响恶意代码检测结果的位置。
[0116] 若灰度图的模糊区域位于标准灰度图中的关键区域,则确定灰度图不满足训练条件。
[0117] 若灰度图的模糊区域未位于标准灰度图中的关键区域,则确定灰度图满足训练条件。
[0118] 在一些实施例中,预设恶意代码检测模型为卷积神经网络。
[0119] 训练模块430具体用于:
[0120] 卷积神经网络的输入层接收灰度图训练集中的灰度图。
[0121] 卷积神经网络的隐含层提取接收的灰度图的图像特征。
[0122] 卷积神经网络的输出层基于提取的图像特征对接收的灰度图进行分类。
[0123] 根据接收的灰度图的分类结果与标签对卷积神经网络的参数进行迭代更新,直至满足训练停止条件,得到训练后的恶意代码检测模型。
[0124] 在一些实施例中,卷积神经网络的输出层为极限梯度提升分类器。
[0125] 可以理解的是,图4所示的训练装置400中的各个模块/单元具有实现本公开实施例提供的训练方法200中的各个步骤的功能,并能达到其相应的技术效果,为了简洁,在此不再赘述。
[0126] 图5示出了根据本公开的实施例提供的一种恶意代码检测装置的结构图,如图5所示,恶意代码检测装置500可以包括:
[0127] 获取模块510,用于获取待检测二进制代码文件。
[0128] 转换模块520,用于将待检测二进制代码文件转换为灰度图。
[0129] 检测模块530,用于基于恶意代码检测模型对待检测二进制代码文件的灰度图进行检测,确定待检测二进制代码文件是否为恶意二进制代码文件,其中,恶意代码检测模型基于如以上所述的训练方法得到。
[0130] 可以理解的是,图5所示的恶意代码检测装置500中的各个模块/单元具有实现本公开实施例提供的恶意代码检测方法300中的各个步骤的功能,并能达到其相应的技术效果,为了简洁,在此不再赘述。
[0131] 图6示出了一种可以用来实施本公开的实施例的电子设备的结构图。电子设备600旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备600还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
[0132] 如图6所示,电子设备600可以包括计算单元601,其可以根据存储在只读存储器(ROM)602中的计算机程序或者从存储单元608加载到随机访问存储器(RAM)603中的计算机程序,来执行各种适当的动作和处理。在RAM603中,还可存储电子设备600操作所需的各种程序和数据。计算单元601、ROM602以及RAM603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
[0133] 电子设备600中的多个部件连接至I/O接口605,包括:输入单元606,例如键盘、鼠标等;输出单元607,例如各种类型的显示器、扬声器等;存储单元608,例如磁盘、光盘等;以及通信单元609,例如网卡、调制解调器、无线通信收发机等。通信单元609允许电子设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
[0134] 计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理,例如方法200或方法300。例如,在一些实施例中,方法200或方法300可被实现为计算机程序产品,包括计算机程序,其被有形地包含于计算机可读介质,例如存储单元608。在一些实施例中,计算机程序的部分或者全部可以经由ROM602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到RAM603并由计算单元601执行时,可以执行上文描述的方法200或方法300的一个或多个步骤。备选地,在其他实施例中,计算单元601可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法200或方法300。
[0135] 本文中以上描述的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
[0136] 用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
[0137] 在本公开的上下文中,计算机可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。计算机可读介质可以是计算机可读信号介质或计算机可读储存介质。计算机可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。计算机可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD‑ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
[0138] 需要注意的是,本公开还提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行方法200或方法300,并达到本公开实施例执行其方法达到的相应技术效果,为简洁描述,在此不再赘述。
[0139] 另外,本公开还提供了一种计算机程序产品,该计算机程序产品包括计算机程序,计算机程序在被处理器执行时实现方法200或方法300。
[0140] 为了提供与用户的交互,可以在计算机上实施以上描述的实施例,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);
以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
[0141] 可以将以上描述的实施例实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
[0142] 计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端‑服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
[0143] 应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
[0144] 上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。