一种恶意文件检测方法、系统、设备及计算机存储介质技术方案

本申请公开了一种恶意文件检测方法、系统、设备及计算机存储介质，获取目标恶意文件；输入目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收生成模型对目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为生成式对抗网络的判别模型，基于变种文件对判别模型进行训练，以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的恶意文件检测方法，借助生成式对抗网络自动生成目标恶意文件的变种文件以及对判别模型进行训练，提高了恶意文件检测方法的运行效率。本申请提供的恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。

A Malicious File Detection Method, System, Equipment and Computer Storage Media

【技术实现步骤摘要】
一种恶意文件检测方法、系统、设备及计算机存储介质
本申请涉及信息安全
，更具体地说，涉及一种恶意文件检测方法、系统、设备及计算机存储介质。
技术介绍
在计算机、服务器等设备的运行过程中，可能遭受恶意文件的破坏，恶意文件指的是能够攻击设备对设备造成破坏的文件，为了保护设备的安全，需要对恶意文件进行检测。现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测，本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力，而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本，所以为了提高恶意文件检测引擎的泛化能力，需要丰富恶意文件检测引擎的训练样本集合，比如直接对恶意文件样本应用传统的恶意文件免杀手段，如加壳混淆等，来模拟变种文件的生成，但是传统的恶意文件免杀手段的使用需要人工介入，使得变种文件的生成速率较慢，影响恶意文件检测方法的运行效率。综上所述，如何提高恶意文件检测方法的运行效率是目前本领域技术人员亟待解决的问题。
技术实现思路
本申请的目的是提供一种恶意文件检测方法，其能在一定程度上解决如何提高恶意文件检测方法的运行效率的技术问题。本申请还提供了一种恶意文件检测系统、设备及计算机可读存储介质。为了实现上述目的，本申请提供如下技术方案：一种恶意文件检测方法，包括：获取目标恶意文件；输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为所述生成式对抗网络的判别模型，基于所述变种文件对所述判别模型进行训练，以基于训练好的所述判别模型检测目标文件是否为恶意文件。优选的，所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件；其中，所述强化学习算法中的状态S表示所述变种文件的特征向量；奖赏函数R表示所述判别模型对所述特征向量的判别结果；代理G表示基于所述状态S及所述奖赏函数R选择的变种动作A；环境E表示所述判别模型。优选的，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过Q-learning算法对所述目标恶意文件进行变种后生成的变种文件。优选的，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过PolicyGradient算法对所述目标恶意文件进行变种后生成的变种文件。优选的，所述目标恶意文件的类型包括可执行文件、文档型文件。优选的，当所述目标恶意文件的类型为所述可执行文件时，所述变种动作A的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。优选的，所述基于所述变种文件对所述判别模型进行训练，包括：将所述变种文件输入至所述判别模型，接收所述判别模型对所述变种文件的检测结果；判断所述变种文件的检测结果是否满足预设要求，若否，则执行基于所述变种文件对所述判别模型进行训练的步骤。一种恶意文件检测系统，包括：第一获取模块，用于获取目标恶意文件；第一输入模块，用于输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件；第一训练模块，用于将恶意文件检测引擎作为所述生成式对抗网络的判别模型，基于所述变种文件对所述判别模型进行训练，以基于训练好的所述判别模型检测目标文件是否为恶意文件。一种恶意文件检测设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如上任一所述恶意文件检测方法的步骤。一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上任一所述恶意文件检测方法的步骤。本申请提供的一种恶意文件检测方法，获取目标恶意文件；输入目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收生成模型对目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为生成式对抗网络的判别模型，基于变种文件对判别模型进行训练，以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法，将恶意文件检测引擎作为生产对抗网络的判别模型，并借助生成式对抗网络的生成模型来自动生成目标恶意文件的变种文件，再基于生成的变种文件对判别模型进行训练，最后基于训练好的判别模型来检测目标文件是否为恶意文件，也即本申请借助生成式对抗网络自动生成目标恶意文件的变种文件以及自动对判别模型进行训练，可以自动提高恶意文件检测引擎的泛化能力，提高恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例提供的一种恶意文件检测方法的第一流程图；图2为本申请中生成式对抗网络和强化学习算法的框架图；图3为本申请实施例提供的一种恶意文件检测方法的第二流程图；图4为本申请实施例提供的一种恶意文件检测系统的结构示意图；图5为本申请实施例提供的一种恶意文件检测设备的结构示意图；图6为本申请实施例提供的一种恶意文件检测设备的另一结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在计算机、服务器等设备的运行过程中，可能遭受恶意文件的破坏，恶意文件指的是能够攻击设备对设备造成破坏的文件，为了保护设备的安全，需要对恶意文件进行检测。现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测，本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力，而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本，所以为了提高恶意文件检测引擎的泛化能力，需要丰富恶意文件检测引擎的训练样本集合，比如直接对恶意文件样本应用传统的恶意文件免杀手段，如加壳混淆等，来模拟变种文件的生成，但是传统的恶意文件免杀手段的使用需要人工介入，使得变种文件的生成速率较慢，影响恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测方法可以提高恶意文件检测方法的运行效率。请参阅图1，图1为本申请实施例提供的一种恶意文件检测方法的第一流程图。本申请实施例提供的一种恶意文件检测方法，可以包括以下步骤：步骤S101：获取目标恶意文件。实际应用中，可以先获取目标恶意文件，目标恶意文件的类型可以根据具本文档来自技高网...

【技术保护点】
1.一种恶意文件检测方法，其特征在于，包括：获取目标恶意文件；输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为所述生成式对抗网络的判别模型，基于所述变种文件对所述判别模型进行训练，以基于训练好的所述判别模型检测目标文件是否为恶意文件。

【技术特征摘要】
1.一种恶意文件检测方法，其特征在于，包括：获取目标恶意文件；输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为所述生成式对抗网络的判别模型，基于所述变种文件对所述判别模型进行训练，以基于训练好的所述判别模型检测目标文件是否为恶意文件。2.根据权利要求1所述的方法，其特征在于，所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件；其中，所述强化学习算法中的状态S表示所述变种文件的特征向量；奖赏函数R表示所述判别模型对所述特征向量的判别结果；代理G表示基于所述状态S及所述奖赏函数R选择的变种动作A；环境E表示所述判别模型。3.根据权利要求2所述的方法，其特征在于，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过Q-learning算法对所述目标恶意文件进行变种后生成的变种文件。4.根据权利要求2所述的方法，其特征在于，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：接收所述生成模型通过PolicyGradient算法对所述目标恶意文件进行变种后生成的变种文件。5.根据权利要求2所述的方法，其特征在于，所述目标恶意文件的类型包括可执行文件、文档型文件。6.根据权利...

【专利技术属性】
技术研发人员：刘彦南，王大伟，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东,44