本申请公开了用于检测恶意漏洞文件的方法、装置及终端。所述方法的一具体实施方式包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。该实施方式通过提取待检测文件的熵向量,并基于待检测文件的熵向量,确定该待检测文件是否为恶意漏洞文件。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的技术问题,提高了对恶意漏洞文件的查杀效率。
【技术实现步骤摘要】
本申请涉及计算机
,具体漏洞检测
,尤其涉及用于检测恶意漏洞文件的方法、装置及终端。
技术介绍
目前,随着计算机技术的不断发展,计算机已经被广泛地应用于人们的日常生活中,并且功能也越来越多,成为人们生活和工作的重要工具。然而,有一些个人或组织利用先进的攻击手段对特定目标进行长期持续性网络攻击,从而导致恶意代码的执行及敏感信息泄露,威胁了网络的安全。现有的检测恶意漏洞文件的方法有两种:一种为静态检测方法,一种为动态执行的检测方法。静态特征检测方法是比较常用的方法,检测的方式有两种:A、通过文件格式的异常检测异常文档。B、通过检测漏洞利用文件的固定特征检测异常文档。动态执行检测方法是一种启发式检测的方法。在一些较为高级的启发环境中会使用模拟环境执行待执行的文档,检测正常文档不存在的行为。如果文档触发了shellcode(填充数据,属于漏洞代码),就会具有文档本身不应该有的行为。比如:链接网络、执行程序、注入进程等等。然而,对于静态检测方法来说,可以通过构造文档结构和改变shellcode,很容易的绕过静态检测的方法。因此,静态检测方法启发查杀能力很差,对于新出现的恶意漏洞文件没有什么查杀的能力。对于动态执行检测方法来说,有多种方法可以检测动态执行的虚拟环境,导致不触发相关的病毒代码,从而使得检测失败。因此,动态执行检测方法有一定的启发能力,但是效率低下,速度慢,并且启发能力不是很高。
技术实现思路
本申请提供了一种用于检测恶意漏洞文件的方法、装置及终端。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的问题。第一方面,本申请提供了一种用于检测恶意漏洞文件的方法,所述方法包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。在某些实施方式中,所述训练并输出检测模型包括:基于所述训练文件的熵向量和安全类别标识获得初始检测模型;测试所述初始检测模型的误判率是否小于预定阈值;如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。在某些实施方式中,所述获得初始检测模型,包括:从所述训练文件中获取部分文件作为第一文件;对所述第一文件的熵向量进行特征分类;基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。在某些实施方式中,测试检测模型的误判率是否小于预定阈值,包括:从所述训练文件中获取部分文件作为第二文件;使用待测试的检测模型对所述第二文件的熵向量进行检测;根据检测的结果以及所述第二文件的安全类别标识确定误判率;将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;其中,所述第二文件中不包含所述第一文件。在某些实施方式中,所述修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型;以及调整熵向量的维度数并重新学习得到检测模型。在某些实施方式中,通过如下方式确定文件的熵向量:将文件切分为预定数量的切片;获取每个所述切片的熵值;将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。第二方面,本申请提供了一种用于检测恶意漏洞文件的装置,获取单元,用于获取待检测文件;确定单元,用于确定所述待检测文件的熵向量;检测单元,用于使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。在某些实施方式中,所述训练并输出检测模型包括:基于所述训练文件的熵向量和安全类别标识获得初始检测模型;测试所述初始检测模型的误判率是否小于预定阈值;如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。在某些实施方式中,所述获得初始检测模型,包括:从所述训练文件中获取部分文件作为第一文件;对所述第一文件的熵向量进行特征分类;基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。在某些实施方式中,测试检测模型的误判率是否小于预定阈值,包括:从所述训练文件中获取部分文件作为第二文件;使用待测试的检测模型对所述第二文件的熵向量进行检测;根据检测的结果以及所述第二文件的安全类别标识确定误判率;将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;其中,所述第二文件中不包含所述第一文件。在某些实施方式中,所述修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型;以及调整熵向量的维度数并重新学习得到检测模型。在某些实施方式中,所述确定单元配置用于:将文件切分为预定数量的切片;获取每个所述切片的熵值;将所述切片的数量作为熵向量的维度数,每个所述切片对应一个熵向量的方向,基于每个所述切片的熵值确定文件的熵向量。第三方面,本申请提供了一种终端,所述终端包括处理器,存储器;其中,所述存储器用于存储经过训练的检测模型,所述处理器用于获取待检测文件,确定所述待检测文件的熵向量,并使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。在某些实施方式中,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。本申请提供的用于识别手势的方法、装置及终端,通过提取待检测文件的熵向量,并基于待检测文件的熵向量,确定该待检测文件是否为恶意漏洞文件。解决了现有技术中对恶意漏洞文件查杀速度慢,查杀能力和效率低下的技术问题,提高了对恶意漏洞文件的查杀效率。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1是本申请实施例提供的用于检测恶意漏洞文件的方法的一个实施例的流程图;图2是本申请实施例提供的恶意漏洞文本文档来自技高网...
【技术保护点】
一种用于检测恶意漏洞文件的方法,其特征在于,所述方法包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。
【技术特征摘要】
1.一种用于检测恶意漏洞文件的方法,其特征在于,所述方法包括:获取待检测文件;确定所述待检测文件的熵向量;使用经过训练的检测模型对所述待检测文件的熵向量进行检测,以确定所述待检测文件是否为恶意漏洞文件,其中,所述待检测文件的文件类型和所述检测模型对应的文件类型相同。2.根据权利要求1所述的方法,其特征在于,所述检测模型通过如下方式获得:获取多个文件类型相同且安全类别已知的文件作为训练文件,其中,所述安全类别包括恶意漏洞文件类别以及非恶意漏洞文件类别;按照所述安全类别对所述训练文件进行安全类别的标识;确定所述训练文件的熵向量;基于所述训练文件的熵向量和安全类别标识训练并输出检测模型。3.根据权利要求2所述的方法,其特征在于,所述训练并输出检测模型包括:基于所述训练文件的熵向量和安全类别标识获得初始检测模型;测试所述初始检测模型的误判率是否小于预定阈值;如果否,循环执行修正当前检测模型的步骤以及测试修正后的检测模型的误判率是否小于预定阈值的步骤;响应于修正后的检测模型的误判率小于预定阈值,停止循环并输出所述修正后的检测模型。4.根据权利要求3所述的方法,其特征在于,所述获得初始检测模型,包括:从所述训练文件中获取部分文件作为第一文件;对所述第一文件的熵向量进行特征分类;基于所述特征分类的结果以及所述第一文件的安全类别标识,学习得到初始检测模型。5.根据权利要求4所述的方法,其特征在于,测试检测模型的误判率是否小于预定阈值,包括:从所述训练文件中获取部分文件作为第二文件;使用待测试的检测模型对所述第二文件的熵向量进行检测;根据检测的结果以及所述第二文件的安全类别标识确定误判率;将所述误判率与所述预定阈值进行比较,以确定所述误判率是否小于预定阈值;其中,所述第二文件中不包含所述第一文件。6.根据权利要求5所述的方法,其特征在于,所述修正当前检测模型,包括以下至少一项:增加第一文件的数量并重新学习得到检测模型;以及调整熵向量的维度数并重新学习得到检测模型。7.根据权利要求1-6中任意一项所述的方法,其...
【专利技术属性】
技术研发人员:张壮,赵长坤,曹亮,董志强,
申请(专利权)人:安一恒通北京科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。