【技术实现步骤摘要】
加壳软件是否误报的判定方法、装置、设备及存储介质
本申请涉及金融科技(Fintech)的人工智能
,尤其涉及一种加壳软件是否误报的判定方法、装置、设备及存储介质。
技术介绍
目前,为了软件的安全,常常需要对软件的恶意代码进行查杀,进行恶意代码查杀的方式包括特征码方式,而为了躲避特征码方式的查杀,恶意代码开发人员使用加壳等方法对恶意代码进行处理,使生成的新型恶意代码文件不再体现可被检测的特征,为了提升对新型恶意代码的检测能力,往往将软件中加壳区域的特征用于恶意代码检测,而将软件中加壳区域的特征用于恶意代码检测致使检测误报增加,例如,根据Rahbarinia等人在2014年的研究,58%的恶意代码与54%的正常软件均使用了知名壳,这些壳中有69个(包括INNO、UPX等)被恶意代码和正常软件同时使用,而96.7%的加壳的正常软件被判定为恶意代码,杀软厂商使用鉴定为恶意代码的文件但实际正常的软件继续训练检测引擎等,导致更多误报,也即,目前,识别对加壳软件是否存在恶意代码的误报,是一个亟需解决的问题。专利技术内...
【技术保护点】
1.一种加壳软件是否误报的判定方法,其特征在于,所述加壳软件是否误报的判定方法包括:/n在检测到目标软件的待处理数据时,获取所述待处理数据的是否存在恶意代码的目标分类结果;/n确定所述待处理数据的映射指向所述目标分类结果的第一目标决策显著向量,并确定所述待处理数据的映射指向恶意代码的结果的第二目标决策显著向量;/n获取用于确定是否误报的均方误差基线,基于所述均方误差基线,所述第一目标决策显著向量以及所述第二目标决策显著向量,确定所述加壳软件误报与否的判定结果;/n其中,所述均方误差基线由具有预设误报标签的各加壳软件的加壳决策向量与对应恶意代码决策向量确定的。/n
【技术特征摘要】
1.一种加壳软件是否误报的判定方法,其特征在于,所述加壳软件是否误报的判定方法包括:
在检测到目标软件的待处理数据时,获取所述待处理数据的是否存在恶意代码的目标分类结果;
确定所述待处理数据的映射指向所述目标分类结果的第一目标决策显著向量,并确定所述待处理数据的映射指向恶意代码的结果的第二目标决策显著向量;
获取用于确定是否误报的均方误差基线,基于所述均方误差基线,所述第一目标决策显著向量以及所述第二目标决策显著向量,确定所述加壳软件误报与否的判定结果;
其中,所述均方误差基线由具有预设误报标签的各加壳软件的加壳决策向量与对应恶意代码决策向量确定的。
2.如权利要求1所述的加壳软件是否误报的判定方法,其特征在于,
所述均方误差基线由具有预设误报标签的各加壳软件的加壳决策向量与对应恶意代码决策向量确定的步骤,包括:
所述均方误差基线是基于预设编码模型得到的,所述预设编码模型是基于具有预设误报标签的加壳软件的包括加壳决策向量与恶意代码决策向量的训练集,对预设基础模型进行训练后得到的满足预设条件的目标模型。
3.如权利要求2所述的加壳软件是否误报的判定方法,其特征在于,所述获取用于确定是否误报的均方误差基线的步骤之前,所述方法包括:
获取具有预设误报标签的加壳软件的包括加壳决策向量与恶意代码决策向量的训练集,对预设基础模型进行训练,得到满足预设条件的目标模型,其中,所述预设条件包括预设损失函数收敛;
将所述目标模型设置为所述预设编码模型。
4.如权利要求1所述的加壳软件是否误报的判定方法,其特征在于,所述确定所述待处理数据的映射指向所述目标分类结果的第一目标决策显著向量的步骤,包括:
获取所述待处理数据映射到各个分类结果的映射值,以得到指向所述目标分类结果的最大映射值;
确定所述待处理数据中每个字节向量对所述最大映射值的第一扰动力度;
基于所述第一扰动力度,确定指向所述目标分类结果的第一目标决策显著向量。
5.如权利要求1所述的加壳软件是否误报的判定方法,其特征在于,所述在检测到目标软件的待处理数据时,获取所述待处理数据的是否存在恶意代码的目标分类结果的步骤之前,所述方法包括:
获取目标软件的可移植执行体PE文件;
确定所述PE文件的文件体积,并获取所述文件体积与预设体积的比对结果;
基于所述比对结果对所述可移植执行体PE文件进行预处理,得到待处理数据。
6.如权利要求1所述的加壳软件是否误报的判定方法,其特征在于,所述确定所述待处理数据的映射指向恶意代码的结果的第二目标决策显著向量的步骤,包括:
对所述待处...
【专利技术属性】
技术研发人员:张伟哲,乔延臣,方滨兴,张宾,
申请(专利权)人:鹏城实验室,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。