本发明专利技术公开了一种恶意软件的检测方法、电子装置和计算机可读存储介质,可获取待检测软件的汇编代码作为第一汇编代码,对第一汇编代码进行预设处理使得其中的每一行代码的汇编符号数量相等;获取第一汇编代码中各汇编符号对应的替换编码,以各替换编码替换对应的汇编符号,得到编码文件;前述方案中,本发明专利技术针对待检测软件的汇编代码进行编码,得到了待检测软件的编码特征,使得深度神经网络更容易发现恶意软件之间的共性,能够应用于当前快速改变的恶意软件生态系统,本发明专利技术得到编码文件后,获取已训练的深度神经网络,输入编码文件,根据输出结果判断待检测软件是否为恶意软件,通过机器学习的高效性,可以进一步保证对恶意软件的有效识别。
Malware detection methods, electronic devices and computer-readable storage media
【技术实现步骤摘要】
恶意软件的检测方法、电子装置及计算机可读存储介质
本申请涉及网络安全
,尤其涉及一种恶意软件的检测方法、电子装置及计算机可读存储介质。
技术介绍
随着信息技术的发展,互联网改变了人类的生产生活方式,人们越来越离不开网络,随之而来的是各种“安全”问题。软件的安全性是网络安全的重要组成部分,恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序,恶意软件通过破坏正常软件的进程来实施控制,破坏软件安全性。目前,“如何有效地检测恶意软件”已经成为了大家共同的网络安全问题。一次恶意软件感染事件将有可能给用户带来数百万美金的经济损失,而当前的反病毒产品以及恶意软件检测工具一般使用的是基于签名的检测技术,这种方法需要手动设置一系列规则来识别已知的不同类型的恶意软件。这种方法优点是针对性比较强,而缺点则是无法识别新型的恶意软件。但是由于不同环境所采用的元素不一样,每天会出现数百万种新型的恶意软件。相关技术中的恶意软件识别方法存在识别成功率低的问题,因此,我们急需一种能够应用于当前快速改变的恶意软件生态系统的检测技术。
技术实现思路
本申请实施例提供一种恶意软件的检测方法、电子装置及计算机可读存储介质,能够应用于当前快速改变的恶意软件生态系统。本申请实施例第一方面提供一种恶意软件的检测方法,该检测方法包括:步骤1、获取待检测软件的汇编代码,其中,所述汇编代码为第一汇编代码;步骤2、对所述第一汇编代码进行预设处理,其中,预设处理后的第一汇编代码中组成每一行代码的汇编符号的数量相等;步骤3、获取所述第一汇编代码中各汇编符号对应的替换编码,以所述各汇编符号对应的替换编码替换各汇编符号,得到所述待检测软件对应的编码文件,其中,各替换编码的字符长度相同;步骤4、获取已训练完成的深度神经网络,将所述编码文件输入所述深度神经网络,获取所述深度神经网络的输出结果,根据所述输出结果判断所述待检测软件是否为恶意软件,其中,所述深度神经网络为基于已知的恶意软件训练样本训练得到,所述恶意软件训练样本为将已知的恶意软件作为所述待检测软件,经过所述步骤1-3的处理得到的编码文件。可选的,所述对所述第一汇编代码进行预设处理包括:对所述第一汇编代码进行预设字段的填充处理,以使得所述第一汇编代码的每一行代码中汇编符号的数量相等,其中,所述预设字段不属于填充前所述第一汇编代码中出现的汇编符号,并且所述预设字段视为汇编符号。可选的,所述对所述第一汇编代码进行预设字段的填充处理,以使得所述第一汇编代码的每一行代码中汇编符号的数量相等包括:确定所述第一汇编代码中每一行代码的汇编符号数量,将所述汇编符号数量中的最大值作为目标数量;对于所述第一汇编代码中汇编符号数量低于所述目标数量的各行代码,从所述各行代码的末尾开始填充所述预设字段,直到所述各行代码的汇编符号数量均为所述目标数量。可选的,所述对所述第一汇编代码进行预设字段的填充处理前,还包括:对所述第一汇编代码按照预设拆分规则进行拆分。可选的,所述获取所述第一汇编代码中各汇编符号对应的替换编码包括:获取汇编符号与替换编码的预设映射关系;在所述预设映射关系中,查找所述第一汇编代码中各汇编符号对应的替换编码。可选的,在所述获取待检测软件的汇编代码前,还包括:获取若干恶意软件的汇编代码,其中,所述汇编代码作为第二汇编代码;对所述第二汇编代码进行预设处理,其中,预设处理后的第二汇编代码中组成每一行代码的汇编符号的数量相等;获取所述第二汇编代码中各汇编符号对应的替换编码,以所述各汇编符号对应的替换编码替换各汇编符号,得到所述恶意软件对应的编码文件,其中,各替换编码的字符长度相同;将所述恶意软件对应的编码文件作为深度神经网络的恶意软件训练样本,对所述深度神经网络进行训练;在所述深度神经网络满足训练完成条件时,停止对所述深度神经网络的训练。可选的,所述在所述深度神经网络满足训练完成条件时,停止对所述深度神经网络的训练包括:在所述深度神经网络的训练次数达到预设次数阈值时,判断所述深度神经网络满足训练完成条件,停止对所述深度神经网络的训练;或者,在所述深度神经网络对所述恶意软件的识别准确度达到预设准确度阈值时,判断所述深度神经网络满足训练完成条件,停止对所述深度神经网络的训练。本申请实施例第二方面提供一种电子装置,该电子装置包括:获取模块,用于获取待检测软件的汇编代码,其中,所述汇编代码为第一汇编代码;预处理模块,用于对所述第一汇编代码进行预设处理,其中,预设处理后的第一汇编代码中组成每一行代码的汇编符号的数量相等;替换模块,用于获取所述第一汇编代码中各汇编符号对应的替换编码,以所述各汇编符号对应的替换编码替换各汇编符号,得到所述待检测软件对应的编码文件,其中,各替换编码的字符长度相同;判断模块,用于获取已训练完成的深度神经网络,将所述编码文件输入所述深度神经网络,获取所述深度神经网络的输出结果,根据所述输出结果判断所述待检测软件是否为恶意软件,其中,所述深度神经网络为基于已知的恶意软件训练样本训练得到,所述恶意软件训练样本为将已知的恶意软件作为所述待检测软件,经过所述获取模块、预处理模块以及替换模块的处理得到的编码文件。本申请实施例第三方面提供一种电子装置,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现本申请实施例第一方面所述方法中的步骤。本申请实施例第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现本申请实施例第一方面所述方法中的步骤。本申请实施例公开了一种恶意软件的检测方法、电子装置和计算机可读存储介质,可以获取待检测软件的汇编代码作为第一汇编代码,对第一汇编代码进行预设处理使得其中的每一行代码的汇编符号的数量相等;获取第一汇编代码中各汇编符号对应的替换编码,以各汇编符号对应的替换编码替换各汇编符号,得到待检测软件对应的编码文件;前述过程中,本实施例获取了待检测软件的汇编代码,再针对汇编代码进行编码,从而得到了待检测软件的编码特征,本实施例采用的编码方案可以有效降低不同环境的软件之间的差异,使得深度神经网络更容易发现恶意软件之间的共性,提升本实施例对各类型恶意软件的普适性,使得本实施例的恶意软件的检测方法可以应用于当前快速改变的恶意软件生态系统,得到编码文件后,本实施例获取已训练完成的深度神经网络,将编码文件输入该深度神经网络,根据深度神经网络的输出结果判断待检测软件是否为恶意软件,通过机器学习的高效性,可以进一步保证对恶意程序的有效识别。附图说明图1为本申请提供的一种电子装置的硬件结构示意图;图2为本申请第一实施例提供的恶意软件的检测方法的流程示意图;图3为本申请第一实施例中,Malware1以及Malware2对应的汇编代码的示意图;图4为图3中,Malware1以及Malware2对应的汇编代码拆分和填充之后得到的代码序列的示意图;图5为本申请第一实施例中,ResNet神经网络的网络架构示意图;图6为本申请第二实施例提供的一种电子装置的结构示意图;图7为本申请第三实施例提供的一种电子装置的结构示意图。具体实施方式为使得本申请的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本申请本文档来自技高网...
【技术保护点】
1.一种恶意软件的检测方法,其特征在于,包括:步骤1、获取待检测软件的汇编代码,其中,所述汇编代码为第一汇编代码;步骤2、对所述第一汇编代码进行预设处理,其中,预设处理后的第一汇编代码中组成每一行代码的汇编符号的数量相等;步骤3、获取所述第一汇编代码中各汇编符号对应的替换编码,以所述各汇编符号对应的替换编码替换各汇编符号,得到所述待检测软件对应的编码文件,其中,各替换编码的字符长度相同;步骤4、获取已训练完成的深度神经网络,将所述编码文件输入所述深度神经网络,获取所述深度神经网络的输出结果,根据所述输出结果判断所述待检测软件是否为恶意软件,其中,所述深度神经网络为基于已知的恶意软件训练样本训练得到,所述恶意软件训练样本为将已知的恶意软件作为所述待检测软件,经过所述步骤1‑3的处理得到的编码文件。
【技术特征摘要】
1.一种恶意软件的检测方法,其特征在于,包括:步骤1、获取待检测软件的汇编代码,其中,所述汇编代码为第一汇编代码;步骤2、对所述第一汇编代码进行预设处理,其中,预设处理后的第一汇编代码中组成每一行代码的汇编符号的数量相等;步骤3、获取所述第一汇编代码中各汇编符号对应的替换编码,以所述各汇编符号对应的替换编码替换各汇编符号,得到所述待检测软件对应的编码文件,其中,各替换编码的字符长度相同;步骤4、获取已训练完成的深度神经网络,将所述编码文件输入所述深度神经网络,获取所述深度神经网络的输出结果,根据所述输出结果判断所述待检测软件是否为恶意软件,其中,所述深度神经网络为基于已知的恶意软件训练样本训练得到,所述恶意软件训练样本为将已知的恶意软件作为所述待检测软件,经过所述步骤1-3的处理得到的编码文件。2.根据权利要求1所述的恶意软件的检测方法,其特征在于,所述对所述第一汇编代码进行预设处理包括:对所述第一汇编代码进行预设字段的填充处理,以使得所述第一汇编代码的每一行代码中汇编符号的数量相等,其中,所述预设字段不属于填充前所述第一汇编代码中出现的汇编符号,并且所述预设字段视为汇编符号。3.根据权利要求2所述的恶意软件的检测方法,其特征在于,所述对所述第一汇编代码进行预设字段的填充处理,以使得所述第一汇编代码的每一行代码中汇编符号的数量相等包括:确定所述第一汇编代码中每一行代码的汇编符号数量,将所述汇编符号数量中的最大值作为目标数量;对于所述第一汇编代码中汇编符号数量低于所述目标数量的各行代码,从所述各行代码的末尾开始填充所述预设字段,直到所述各行代码的汇编符号数量均为所述目标数量。4.根据权利要求2所述的恶意软件的检测方法,其特征在于,所述对所述第一汇编代码进行预设字段的填充处理前,还包括:对所述第一汇编代码按照预设拆分规则进行拆分。5.根据权利要求1-4任一项所述的恶意软件的检测方法,其特征在于,所述获取所述第一汇编代码中各汇编符号对应的替换编码包括:获取汇编符号与替换编码的预设映射关系;在所述预设映射关系中,查找所述第一汇编代码中各汇编符号对应的替换编码。6.根据权利要求1-4任一项所述的恶意软件的检测方法,其特征在于,在所述获取待检测软件的汇编代码前,还包括:获取若干恶意软件的汇编代...
【专利技术属性】
技术研发人员:李坤,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。