【技术实现步骤摘要】
一种恶意代码的检测方法、装置及计算机可读存储介质
[0001]本专利技术涉及计算机安全领域,特别是涉及一种恶意代码的检测方法、装置 及计算机可读存储介质。
技术介绍
[0002]二进制恶意代码是各种类型恶意软件的统称,包括病毒、特洛伊木马、后 门、蠕虫等。恶意代码已经对互联网企业、个人用户的数据安全、财产安全造 成了极大的威胁。随着各种开发工具的发展,恶意代码产生越来越简单、反检 测能力越来越强,使得各大反病毒和安全厂商面临着巨大的挑战。
[0003]在与恶意代码博弈的过程中,基于特征码的恶意代码检测方法是最常用的 分析手段。特征码检测方法是指从恶意代码中取得代码特征,并用此特征对代 码进行检测的方法。几乎所有主流杀毒软件,如卡巴斯基、赛门铁克、迈克菲 等,都包含基于特征码的恶意代码检测功能。该方法速度快、准确率高,但召 回率与特征码的提取有较大关系,不仅需要技术人员有丰富的经验,而且需要 庞大的病毒库。赛门铁克将启发规则应用到恶意代码的检测中,这种启发式扫 描技术基于定义的扫描技术和给定的判定规则来检测程序中是否存...
【技术保护点】
【技术特征摘要】
1.一种恶意代码的检测方法,用于检测二进制恶意代码的所属类别,其特征在于,包括:获取待检测恶意代码文件的运行信息,所述运行信息包括所述待检测恶意代码文件的API调用信息、或API调用信息和DLL调用信息;将所获取的所述运行信息输入预先利用异构网络的特征训练的恶意代码检测模型,所述恶意代码检测模型输出所述待检测恶意代码文件所述的类别;其中,所述恶意代码检测模型包括词向量模型和分类模型,通过如下步骤训练所述恶意代码检测模型:S1,获取预定数量的恶意代码文件样本作为训练集;S2,提取所述恶意代码文件样本的运行信息,所述恶意代码文件样本的运行信息包括所述待检测恶意代码文件的API调用信息、或API调用信息和DLL调用信息;S3,根据提取的所述运行消息构建异构网络,所述异构网络的节点包括所述恶意代码文件样本的文件名和API、或所述多个待检测恶意代码文件的文件名、API和DLL;S4,根据预定的多个不同的异构网络范式,获得所述异构网络针对每一异构网络范式的关系邻接矩阵,并根据每一关系邻接矩阵,获得所述恶意代码文件样本中每一样本针对每一异构网络范式在所述异构网络中的随机游走向量,所述随机游走向量示出选定节点与其周围节点之间的关联关系,其中,所述异构网络范式定义了节点之间的关系;S5,利用所述文件样本针对每一异构网络范式获得的随机游走信息来构建及训练与每一异构网络范式对应的词向量模型和分类模型,所述词向量模型的输入为对应的随机游走向量,所述词向量模型的输出为经过处理后的随机游走特征向量,所述分类模型的输入为随机游走特征向量,所述分类模型的输出为对应词向量模型的分类结果;S6,对所获得的与多个分类模型对应的多个分类结果进行主角度加权,来确定所述待检测恶意代码文件所属的类别。2.根据权利要求1所述的方法,其特征在于,所述恶意代码文件样本为可执行文件,所述步骤S2中,通过沙箱解析所述可执行文件来获取所述运行信息。3.根据权利要求2所述的方法,其特征在于,所述恶意代码文件样本的运行信息还包括如下信息中的一个或多个:文件的共现概率、网络调用信息;所述异构网络还指示了所述恶意代码文件样本之间的如下关联信息中的一个或多个:共现关联信息和网络关联信息;所述异构网络的节点还包括如下中的一个或多个:所述多个恶意代码文件样本出现的文件夹、出现的压缩包、访问的网站、产生的网络请求。4.根据权利要求3所述的方法,其特征在于,所述不同的异构网络范式包括如下范式MID1到MID4中的一个或多个:如图5所示其中,F表示待检测的...
【专利技术属性】
技术研发人员:姚刚,陈奋,陈荣有,孙晓波,龚利军,
申请(专利权)人:厦门服云信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。