分类引擎诊断方法、装置及计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种分类引擎诊断方法，包括：通过待检测分类引擎，确定各个恶意代码家族对应的原型样本；将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量；基于所述加壳映射向量，确定待检测分类引擎对各个恶意代码家族的依赖程度。本发明专利技术还公开了一种分类引擎诊断装置及计算机可读存储介质。本发明专利技术通过加壳映射向量准确确定分类引擎对各个恶意代码家族的依赖程度，使得分类引擎能够根据各个恶意代码家族的依赖程度准确区分加壳的恶意代码文件，同时通过根据依赖程度调整分类引擎，降低分类引擎对各个恶意代码家族的依赖程度，提高分类引擎对恶意代码文件的检测的准确性。

【技术实现步骤摘要】
分类引擎诊断方法、装置及计算机可读存储介质
本专利技术涉及数据处理
，尤其涉及一种分类引擎诊断方法、装置及计算机可读存储介质。
技术介绍
对二进制文件加壳已经成为计算机信息安全领域应用比较广泛的一种技术手段，壳大致分为：压缩壳、加密壳、保护壳等种类，主要用于防止商业软件被逆向工程，压缩软件、躲避反病毒软件查杀这些方向上。现有的检测引擎在对加壳软件进行检测时，加壳混淆了恶意代码的特征，在一定程度上帮助恶意代码逃脱杀软引擎的检测，同时，由于加壳软件的数据本身蕴含的偏见，基于数据集训练的恶意代码检测引擎对加壳正常软件存在误报，导致基于数据集训练的恶意代码检测引擎对恶意代码文件进行错误的家族分类，造成分类引擎难以区分加壳的恶意代码文件，导致恶意代码检测引擎对恶意代码文件的检测不准确。上述内容仅用于辅助理解本专利技术的技术方案，并不代表承认上述内容是现有技术。
技术实现思路
本专利技术的主要目的在于提供一种分类引擎诊断方法、装置及计算机可读存储介质，旨在解决现有检测引擎难以区分加壳的恶意代码文件而导致检测不准确的技术问题。为实现上述目的，本专利技术提供一种分类引擎诊断方法，所述分类引擎诊断方法包括以下步骤：通过待检测分类引擎，确定各个恶意代码家族对应的原型样本；将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量；基于所述加壳映射向量，确定待检测分类引擎对各个恶意代码家族的依赖程度。进一步地，所述基于所述加壳映射向量，确定检测分类引擎对各个恶意代码家族的依赖程度的步骤包括：基于所述加壳映射向量对应的加壳类别数量，对所述加壳映射向量进行整数化处理，以获得整形后的加壳映射向量；基于整形后的加壳映射向量，确定各个加壳映射向量对应的信息熵，并将所述信息熵作为待检测分类引擎对各个恶意代码家族的依赖程度。进一步地，所述基于整形后的加壳映射向量，确定各个加壳映射向量对应的信息熵的步骤包括：分别统计各个整形后的加壳映射向量中各个整数对应的概率；基于各个整数对应的概率，确定各个加壳映射向量对应的信息熵。进一步地，所述基于多个恶意代码家族对应的数据集，通过待检测分类引擎，确定各个恶意代码家族对应的原型样本的步骤包括：确定待检测分类引擎的预设层神经元对应的最大化激活；基于所述最大化激活确定各个恶意代码家族对应的原型样本。进一步地，所述基于所述最大化激活确定各个恶意代码家族对应的原型样本的步骤包括：将各个所述最大化激活分别输入生成对抗网络，以通过生成对抗网络的输出层获得确定各个恶意代码家族对应的最大化激活的最优解；基于各个所述最优解，确定各个恶意代码家族对应的原型输入；基于所述原型输入确定各个恶意代码家族对应的原型样本。进一步地，所述基于所述原型输入确定各个恶意代码家族对应的原型样本的步骤包括：对各个原型输入进行归一化处理，基于归一化后的原型输入确定各个恶意代码家族对应的原型样本。进一步地，所述将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量的步骤之前，还包括：获取各个恶意代码家族对应的文件样本，将文件样本输入多层感知机，以获得文件样本对应的加壳类别预测结果；基于所述文件样本对应的实际加壳类别、加壳类别预测结果以及多层感知机，确定预训练的加壳分类器。进一步地，所述基于所述文件样本对应的实际加壳类别、加壳类别预测结果以及多层感知机，确定预训练的加壳分类器的步骤包括：基于所述实际加壳类别以及加壳类别预测结果，确定交叉熵损失函数；基于所述交叉熵损失函数以及多层感知机，确定预训练的加壳分类器。进一步地，所述基于所述交叉熵损失函数以及多层感知机，确定预训练的加壳分类器的步骤包括：基于交叉熵损失函数更新多层感知机，以获得更新后的多层感知机；若更新后的多层感知机收敛，则将更新后的多层感知机作为预训练的加壳分类器。进一步地，所述获取各个恶意代码家族对应的文件样本的步骤包括：获取各个恶意代码家族对应的恶意代码文件，并确定恶意代码文件中文件大小小于预设值的第一恶意代码文件，以及文件大小大于预设值的第二恶意代码文件；基于所述预设值对第一恶意代码文件进行补齐操作，并基于所述预设值对第二恶意代码文件进行截断操作；基于补齐后的第一恶意代码文、截断后的第二恶意代码文件以及第三恶意代码文件，确定恶意代码样本，并将各个所述恶意代码样本分别转换为一维向量，以获得所述文件样本，其中，第三恶意代码文件为恶意代码文件中除所述第一恶意代码文以及第二恶意代码文件之外的其他文件。此外，为实现上述目的，本专利技术还提供一种分类引擎诊断装置，所述分类引擎诊断装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的分类引擎诊断程序，所述分类引擎诊断程序被所述处理器执行时实现前述的分类引擎诊断方法的步骤。此外，为实现上述目的，本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有分类引擎诊断程序，所述分类引擎诊断程序被处理器执行时实现前述的分类引擎诊断方法的步骤。本专利技术通过待检测分类引擎，确定各个恶意代码家族对应的原型样本；接着将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量；然后基于所述加壳映射向量，确定待检测分类引擎对各个恶意代码家族的依赖程度，通过加壳分类器得到原型样本的加壳映射向量，通过加壳映射向量准确确定分类引擎对各个恶意代码家族的依赖程度，使得分类引擎能够根据各个恶意代码家族的依赖程度准确区分加壳的恶意代码文件，同时通过根据依赖程度调整分类引擎，降低分类引擎对各个恶意代码家族的依赖程度，提高分类引擎对恶意代码文件的检测的准确性。附图说明图1是本专利技术实施例方案涉及的硬件运行环境的分类引擎诊断装置的结构示意图；图2为本专利技术分类引擎诊断方法第一实施例的流程示意图；图3为本专利技术分类引擎诊断方法中的加壳分类器的训练流程示意图；图4为本专利技术一实施例中加壳分类器的结构示意图。本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。具体实施方式应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，图1是本专利技术实施例方案涉及的硬件运行环境的分类引擎诊断装置的结构示意图。本专利技术实施例分类引擎诊断装置可以是PC，也可以是智能手机、平板电脑、电子书阅读器、MP3（MovingPictureExpertsGroupAudioLayerIII，动态影像专家压缩标准音频层面3）播放器、MP4（MovingPictureExpertsGroupAudioLayerIV，动态影像专家压缩标准音频层面4）播放器、便携计算机等具有显示功能的可移动式终端设备。如图1所示，该分类引擎诊断装置可以包括：处理器1001，例如CPU，网本文档来自技高网...

【技术保护点】
1.一种分类引擎诊断方法，其特征在于，所述分类引擎诊断方法包括以下步骤：/n通过待检测分类引擎，确定各个恶意代码家族对应的原型样本；/n将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量；/n基于所述加壳映射向量，确定待检测分类引擎对各个恶意代码家族的依赖程度。/n

【技术特征摘要】
1.一种分类引擎诊断方法，其特征在于，所述分类引擎诊断方法包括以下步骤：
通过待检测分类引擎，确定各个恶意代码家族对应的原型样本；
将各个原型样本输入预训练的加壳分类器，以获得各个原型样本对应的加壳映射向量；
基于所述加壳映射向量，确定待检测分类引擎对各个恶意代码家族的依赖程度。


2.如权利要求1所述的分类引擎诊断方法，其特征在于，所述基于所述加壳映射向量，确定检测分类引擎对各个恶意代码家族的依赖程度的步骤包括：
基于所述加壳映射向量对应的加壳类别数量，对所述加壳映射向量进行整数化处理，以获得整形后的加壳映射向量；
基于整形后的加壳映射向量，确定各个加壳映射向量对应的信息熵，并将所述信息熵作为待检测分类引擎对各个恶意代码家族的依赖程度。


3.如权利要求2所述的分类引擎诊断方法，其特征在于，所述基于整形后的加壳映射向量，确定各个加壳映射向量对应的信息熵的步骤包括：
分别统计各个整形后的加壳映射向量中各个整数对应的概率；
基于各个整数对应的概率，确定各个加壳映射向量对应的信息熵。


4.如权利要求1所述的分类引擎诊断方法，其特征在于，所述通过待检测分类引擎，确定各个恶意代码家族对应的原型样本的步骤包括：
确定待检测分类引擎的预设层神经元对应的最大化激活；
基于所述最大化激活确定各个恶意代码家族对应的原型样本。


5.如权利要求4所述的分类引擎诊断方法，其特征在于，所述基于所述最大化激活确定各个恶意代码家族对应的原型样本的步骤包括：
将各个所述最大化激活分别输入生成对抗网络，以通过生成对抗网络的输出层获得确定各个恶意代码家族对应的最大化激活的最优解；
基于各个所述最优解，确定各个恶意代码家族对应的原型输入；
基于所述原型输入确定各个恶意代码家族对应的原型样本。


6.如权利要求5所述的分类引擎诊断方法，其特征在于，所述基于所述原型输入确定各个恶意代码家族对应的原型样本的步骤包括：
对各个原型输入进行归一化处理，基于归一化后的原型输入确定各个恶意代码家族对应的原型样本。


7.如权利要求1至6任一项所述的分类引擎诊断方法，其特征在于，所述将各个原型样本输入预训练的加壳分类...

【专利技术属性】
技术研发人员：乔延臣，张伟哲，方滨兴，张宾，
申请(专利权)人：鹏城实验室，
类型：发明
国别省市：广东;44