本发明专利技术提供一种软件检测的方法、装置及系统,该方法,包括:获取待检测的软件数据;从所述软件数据中筛选出系统文件线程;通过沙箱提取所述系统文件线程中的API序列;对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。可以实现更加高效、准确的恶意软件检测,还可以获得更多种类的恶意软件检测结果。
The Method, Device and System of Software Detection
【技术实现步骤摘要】
软件检测的方法、装置及系统
本专利技术涉及信息安全
,尤其涉及一种软件检测的方法、装置及系统。
技术介绍
随着信息技术、互联网的高速发展,网络安全问题受到人们越来越多的关注,恶意软件无疑是危害最大的,恶意软件来指代故意在计算机系统上执行恶意任务的病毒、蠕虫或者特洛伊木马等等的程序。通过破坏软件进程来实施控制。N-Gram传统检测方法在恶意软件序列检测中被广泛使用。随着恶意软件对抗技术的不断发展,恶意软件检测技术也从静态检测逐渐向动静结合方向发展。然而,大多使用静态序列提取方案的软件检测方法,在基于N-Gram特征提取时,因动态序列存在多线程,序列长度极度不均匀等问题,造成检测结果不准确,同时带来计算开销大,感受野太小。
技术实现思路
本专利技术提供一种软件检测的方法、装置及系统,以实现更加高效、准确的恶意软件检测,还可以获得更多种类的恶意软件检测结果。第一方面,本专利技术实施例提供的一种软件检测的方法,包括:获取待检测的软件数据;从所述软件数据中筛选出系统文件线程;通过沙箱提取所述系统文件线程中的API序列;对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。在一种可能的设计中,在通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果之前,还包括:获取恶意软件数据;所述恶意软件数据包括:感染型病毒、木马程序、挖矿程序、勒索病毒;从所述恶意软件数据中,筛选出恶意软件的系统文件线程;通过沙箱提取所述恶意软件的系统文件线程中的API序列,得到恶意软件的API序列;对所述恶意软件的API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到恶意软件的API多线程序列;构建初始检测模型;所述初始检测模型是基于空洞卷积和TextCNN的分类模型;以多分类logloss为评价目标,通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练,得到所述目标检测模型。在一种可能的设计中,通过沙箱提取所述系统文件线程中的API序列,包括:通过沙箱对所述系统文件线程进行动态执行,获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号。在一种可能的设计中,对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列,包括:当某一线程中调用API的文件数量超过预设的阈值,则对所述线程对应的API序列进行截断,保存预设数量的API记录,得到截断的API序列;按照多线程,对截断的API序列进行重新编码,得到API多线程序列。在一种可能的设计中,通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果,包括:通过目标检测模型对所述API多线程序列进行检测,判断所述API多线程序列对应的软件数据是否为恶意软件数据;若是恶意软件数据,则输出恶意软件数据的类型标签;若不是恶意软件数据,则提示软件数据安全。第二方面,本专利技术实施例提供的一种软件检测的装置,包括:获取模块,用于获取待检测的软件数据;筛选模块,用于从所述软件数据中筛选出系统文件线程;提取模块,用于通过沙箱提取所述系统文件线程中的API序列;编码模块,用于对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;得到模块,用于通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。在一种可能的设计中,在通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果之前,还包括:获取恶意软件数据;所述恶意软件数据包括:感染型病毒、木马程序、挖矿程序、勒索病毒;从所述恶意软件数据中,筛选出恶意软件的系统文件线程;通过沙箱提取所述恶意软件的系统文件线程中的API序列,得到恶意软件的API序列;对所述恶意软件的API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到恶意软件的API多线程序列;构建初始检测模型;所述初始检测模型是基于空洞卷积和TextCNN的分类模型;以多分类logloss为评价目标,通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练,得到所述目标检测模型。在一种可能的设计中,提取模块,具体用于:通过沙箱对所述系统文件线程进行动态执行,获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号。在一种可能的设计中,编码模块,具体用于:当某一线程中调用API的文件数量超过预设的阈值,则对所述线程对应的API序列进行截断,保存预设数量的API记录,得到截断的API序列;按照多线程,对截断的API序列进行重新编码,得到API多线程序列。在一种可能的设计中,得到模块,具体用于:通过目标检测模型对所述API多线程序列进行检测,判断所述API多线程序列对应的软件数据是否为恶意软件数据;若是恶意软件数据,则输出恶意软件数据的类型标签;若不是恶意软件数据,则提示软件数据安全。第三方面,本专利技术实施例提供的一种软件检测的系统,包括存储器和处理器,存储器中存储有所述处理器的可执行指令;其中,所述处理器配置为经由执行所述执行指令来执行第一方面中任一项所述的软件检测的方法。第四方面,本专利技术实施例提供的一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面任一项所述的软件检测的方法。本专利技术提供一种软件检测的方法、装置及系统,该方法,包括:获取待检测的软件数据;从所述软件数据中筛选出系统文件线程;通过沙箱提取所述系统文件线程中的API序列;对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。可以实现更加高效、准确的恶意软件检测,还可以获得更多种类的恶意软件检测结果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一应用场景示意图;图2为本专利技术实施例一提供的软件检测的方法流程图;图3为本专利技术实施例一提供的软件检测的方法中空洞卷积的示意图;图4为本专利技术实施例二提供的软件检测的装置结构示意图;图5为本专利技术实施例三提供的软件检测的系统结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”本文档来自技高网...
【技术保护点】
1.一种软件检测的方法,其特征在于,包括:获取待检测的软件数据;从所述软件数据中筛选出系统文件线程;通过沙箱提取所述系统文件线程中的API序列;对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。
【技术特征摘要】
1.一种软件检测的方法,其特征在于,包括:获取待检测的软件数据;从所述软件数据中筛选出系统文件线程;通过沙箱提取所述系统文件线程中的API序列;对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列;通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果。2.根据权利要求1所述的方法,其特征在于,在通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果之前,还包括:获取恶意软件数据;所述恶意软件数据包括:感染型病毒、木马程序、挖矿程序、勒索病毒;从所述恶意软件数据中,筛选出恶意软件的系统文件线程;通过沙箱提取所述恶意软件的系统文件线程中的API序列,得到恶意软件的API序列;对所述恶意软件的API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到恶意软件的API多线程序列;构建初始检测模型;所述初始检测模型是基于空洞卷积和TextCNN的分类模型;以多分类logloss为评价目标,通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练,得到所述目标检测模型。3.根据权利要求1所述的方法,其特征在于,通过沙箱提取所述系统文件线程中的API序列,包括:通过沙箱对所述系统文件线程进行动态执行,获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号。4.根据权利要求1所述的方法,其特征在于,对所述API序列进行截断,并按照多线程对截断后的API序列进行重新编码,得到API多线程序列,包括:当某一线程中调用API的文件数量超过预设的阈值,则对所述线程对应的API序列进行截断,保存预设数量的API记录,得到截断的API序列;按照多线程,对截断的API序列进行重新编码,得到API多线程序列。5.根据权利要求1-4中任一项所述的方法,其特征在于,通过目标检测模型对所述API多线程序列进行检测分析,得到软件检测结果,包括:通过目标检测模型对所述API多线程序列进行检测,判断所述API多线程序列对应的软件数据是否为恶意软件数据;若是恶意软件数据,则输出恶意软件数据的类型标签;若不是恶意软件数据,则提示软件数据安全。6.一种软件检测的装置,其特征在于,包括:获取模块,用于获取待检测的软件数据;筛选模块,用于从所述软件数据中筛选出...
【专利技术属性】
技术研发人员:徐国爱,徐国胜,孙博文,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。