本公开公开了代码检测模型的更新方法及装置、电子设备和存储介质,涉及信息处理领域,主要技术方案包括:将第一代码样本输入代码检测模型;代码检测模型执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;根据第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;根据所述第二特征向量对所述代码检测模型进行更新。与相关技术相比,本公开实施例通过使第一特征向量与第二特征向量合并,能在原有代码检测模型的基础上更新代码检测模型的特征向量,代码检测模型通过其含有的特征向量来判断代码样本是否为恶意代码,进而实现了当代码检测模型需要对新类型恶意代码检测时,无需重新训练代码检测模型。测模型。测模型。
【技术实现步骤摘要】
代码检测模型的更新方法及装置、电子设备和存储介质
[0001]本公开涉及信息处理领域,尤其涉及一种代码检测模型的更新方法及装置,电子设备和存储介质。
技术介绍
[0002]随着居家办公模式的流行,人们对网络依赖大大增加,从而导致网络攻击引发的危害越来越严重。网络攻击威胁着人们的财产、隐私安全,随着攻击方式向高级、持续等方向发展,甚至影响到一个国家的国防安全、战略部署等。而恶意代码,正是网络攻击中最常见的工具,包括病毒、木马、蠕虫等。因此,对恶意代码的检测对网络安全威胁都有着重要的作用。宏观上,恶意代码家族的分布可以预测网络攻击趋势的变化,提示已经发生或即将发生的网络安全事件;微观上,恶意代码家族可以为新变种的分析提供一定的信息,从而节约大量时间和人力,有效提高恶意代码的处置效率。
[0003]目前,常见的恶意代码检测方法主要包括人工检测和自动化检测两类,其中,人工检测,由网络安全专家对每个恶意代码样本进行分析,根据专家知识检测出不同类型的恶意代码。该方法的优点是准确率比较高,可以针对不同类型的恶意代码提取出检测特征,生成检测码,支持对恶意代码的快速检测。与之相对的缺点是检测效率非常低,严重依赖于人工,无法大规模检测。自动化检测为基于代码检测模型的检测,基于代码检测模型的检测极大提高了恶意代码的检测效率,缓解了对人工的依赖。
[0004]上述现有自动化检测方法虽然在一定程度上提高了恶意代码检测的效率,但是,由于代码检测模型一旦训练完成,检测能力就被固化了,如果需要对新类型恶意代码检测,代码检测模型就需要重新训练。
技术实现思路
[0005]本公开提供了一种代码检测模型的更新方法及装置、电子设备和存储介质。其主要目的在于解决现有自动化检测方法存在着代码检测模型一旦训练完成,如果需要对新类型恶意代码检测,代码检测模型就要重新训练的问题。本公开实施例能够实现当已训练完成的代码检测模型需要对新类型恶意代码检测时,无需重新训练代码检测模型。
[0006]根据本公开的第一方面,提供了一种代码检测模型的更新方法,包括:
[0007]将第一代码样本输入代码检测模型,所述第一代码样本为已知类型的恶意代码样本;
[0008]由所述代码检测模型执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;
[0009]基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;
[0010]根据所述第二特征向量对所述代码检测模型进行更新。
[0011]可选的,所述根据所述第二特征向量对所述代码检测模型进行更新包括:
[0012]获取针对所述第二特征向量的训练结果;
[0013]将所述训练结果与所述代码检测模型中的第一特征向量进行合并;
[0014]根据合并结果对预设分类器进行更新。
[0015]可选的,所述方法还包括:
[0016]获取待检测代码的应用程序接口调用序列;
[0017]将应用程序接口调用序列转换为所述代码检测模型识别的序号序列;
[0018]将所述待检测代码的序号序列输入所述代码检测模型,由所述代码检测模型执行特征提取,得到所述待检测代码对应的第二样本特征;
[0019]计算所述第二样本特征分别与预设分类器中各类型特征向量之间的距离;
[0020]根据所述距离确定待检测样本属于各类型特征向量的概率值,并根据概率值输出待检测样本对应的检测类别。
[0021]可选的,所述基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量包括:
[0022]基于预设注意力网络确定所述第一样本特征与所述代码检测模型中的第一特征向量的相关关系;
[0023]根据所述相关关系生成所述第二特征向量。
[0024]根据本公开的第二方面,提供了一种代码检测模型的更新装置,包括:
[0025]第一输入单元,用于将第一代码样本输入代码检测模型,所述第一代码样本为已知类型的恶意代码样本;
[0026]提取单元,用于由提取单元执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;
[0027]生成单元,用于基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;
[0028]更新单元,用于根据所述第二特征向量对所述代码检测模型进行更新。
[0029]可选的,所述更新单元包括:
[0030]获取模块,用于获取针对所述第二特征向量的训练结果;
[0031]合并模块,用于将所述训练结果与所述代码检测模型中的第一特征向量进行合并;
[0032]更新模块,用于根据合并结果对预设分类器进行更新。
[0033]可选的,所述装置还包括:
[0034]获取单元,用于获取待检测代码的应用程序接口调用序列;
[0035]转换单元,用于将应用程序接口调用序列转换为所述代码检测模型识别的序号序列;
[0036]第二输入单元,用于将所述待检测代码的序号序列输入所述代码检测模型,由所述代码检测模型执行特征提取,得到所述待检测代码对应的第二样本特征;
[0037]计算单元,用于计算所述第二样本特征分别与预设分类器中各类型特征向量之间的距离;
[0038]确定单元,用于根据所述距离确定待检测样本属于各类型特征向量的概率值,并根据概率值输出待检测样本对应的检测类别,以生成所述代码检测模型。
[0039]可选的,所述生成单元包括:
[0040]确定模块,用于基于预设注意力网络确定所述第一样本特征与所述代码检测模型中的第一特征向量的相关关系;
[0041]生成模块,用于根据所述相关关系生成所述第二特征向量。
[0042]根据本公开的第三方面,提供了一种电子设备,包括:
[0043]至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行前述第一方面所述的方法。
[0044]根据本公开的第四方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行前述第一方面所述的方法。
[0045]根据本公开的第五方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如前述第一方面所述的方法。
[0046]本公开提供的代码检测模型的更新方法及装置、电子设备和存储介质,将第一代码样本输入代码检测模型,所述第一代码样本为已知类型的恶意代码样本;由所述代码检测模型执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;根据所述第二特征向量对所述代码检测模型进行更新。与现有相关技术本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种代码检测模型的更新方法,其特征在于,包括:将第一代码样本输入代码检测模型,所述第一代码样本为已知类型的恶意代码样本;由所述代码检测模型执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;根据所述第二特征向量对所述代码检测模型进行更新。2.根据权利要求1所述的更新方法,其特征在于,所述根据所述第二特征向量对所述代码检测模型进行更新包括:获取针对所述第二特征向量的训练结果;将所述训练结果与所述代码检测模型中的第一特征向量进行合并;根据合并结果对预设分类器进行更新。3.根据权利要求1所述的更新方法,其特征在于,所述方法还包括:获取待检测代码的应用程序接口调用序列;将应用程序接口调用序列转换为所述代码检测模型识别的序号序列;将所述待检测代码的序号序列输入所述代码检测模型,由所述代码检测模型执行特征提取,得到所述待检测代码对应的第二样本特征;计算所述第二样本特征分别与预设分类器中各类型特征向量之间的距离;根据所述距离确定待检测样本属于各类型特征向量的概率值,并根据概率值输出待检测样本对应的检测类别。4.根据权利要求1所述的更新方法,其特征在于,所述基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量包括:基于预设注意力网络确定所述第一样本特征与所述代码检测模型中的第一特征向量的相关关系;根据所述相关关系生成所述第二特征向量。5.一种代码检测模型的更新装置,其特征在于,包括:第一输入单元,用于将第一代码样本输入代码检测模型,所述第一代码样本为已知类型的恶意代码样本;提取单元,用于由提取单元执行第一代码样本的特征提取,得到第一代码样本对应的第一样本特征;生成单元,用于基于特征向量生成模块,根据所述第一样本特征与代码检测模型中的第一特征向量的关系,生成第二特征向量;更新单元,用于根...
【专利技术属性】
技术研发人员:强倩,
申请(专利权)人:国家计算机网络与信息安全管理中心,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。