恶意软件检测方法、装置、设备及存储介质制造方法及图纸

本申请实施例提供一种恶意软件检测方法、装置、设备及存储介质，涉及网络信息安全技术领域，所述方法包括：静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；结合所述语义特征向量与所述函数调用图，生成属性函数调用图；将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息。本申请的恶意软件检测方法能够自动化的提取二进制程序的语义特征和结构特征，将语义特征和结构特征结合通过图神经网络进行判断，改善了现有检测方法中存在的特征表示不完备、漏报率和误报率较高的问题，能够快速准确检测恶意软件。意软件。意软件。

【技术实现步骤摘要】
恶意软件检测方法、装置、设备及存储介质


[0001]本申请实施例涉及网络信息安全
，具体而言，涉及一种恶意软件检测方法、装置、设备及存储介质。

技术介绍

[0002]计算机技术的高速发展使人们日常生活更加便捷的同时，也促使黑客的攻击手段和技术不断提高，导致网络攻击问题日益严重，网络空间的安全威胁数量逐年递增，而恶意软件是所有安全威胁中的占比最大一类。恶意软件是指对计算机系统造成破坏或执行不良操作的程序。攻击者可以通过恶意软件攻击计算机系统，实现特权提升、远程控制、隐私窃取等目的，并进一步攻击计算机网络中的其他终端。
[0003]早期的恶意软件结构简单，并且不采用复杂的保护技术，安全厂商能够使用签名等技术对其进行检测。但是，计算机技术日新月异，恶意软件也不断采用新的攻击方法来实施恶意攻击。首先，新一代的恶意软件可以同时使用多个不同的进程，并使用一些混淆技术来隐藏自身，从而使其可以持久存在于系统中。其次，为了绕过或禁用各种安全机制来实现恶意行为，新恶意软件使用了更复杂的代码、结构和技术，使其更具破坏性且更难被检测。
[0004本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意软件检测方法，其特征在于，所述方法包括：静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；结合所述语义特征向量与所述函数调用图，生成属性函数调用图；将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息。2.根据权利要求1所述方法，其特征在于，所述静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图，包括：判断所述二进制文件是否采用加壳技术；当所述二进制文件采用加壳技术时，利用自动脱壳技术对所述二进制文件进行处理；对脱壳后的二进制文件进行反汇编，获得所述待检测软件的汇编代码；根据所述汇编代码构建所述待检测软件的函数调用图。3.根据权利要求1所述方法，其特征在于，所述对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量，包括：规范化处理所述汇编代码，得到规范化汇编代码；将每个函数的规范化汇编代码转为多个格式规范的词法单元token；将每个token映射为向量表示；聚合函数内所有token的向量表示，得到函数的语义特征向量。4.根据权利要求1所述方法，其特征在于，所述图神经网络分类模型包括：图神经网络层、全连接层和激活层，所述图神经网络层后接所述全连接层，所述全连接层后接所述激活层；所述将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息，包括：将所述属性函数调用图输入图神经网络层，获取程序嵌入向量表示；其中，所述全连接层用于判断所述程序嵌入向量表示与恶意属性的非线性关系；所述激活层用于依据所述非线性关系预测所述待检测软件的恶意属性信息。5.一种恶意软件检测装置，其特征在于，所述装置包括：静态分析信息提取器，用于静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；语义特征提取器，用于对所述汇编代码进行转换，得到所述待检测软件中每个函...

【专利技术属性】
技术研发人员：贾鹏，王炎，方勇，吴小王，
申请(专利权)人：四川大学，
类型：发明
国别省市：