本发明专利技术提供一种恶意软件检测方法、装置、电子设备及存储介质,该方法包括:对待检测软件进行动态分析,得到待检测软件的异质图;将待检测软件的异质图输入预设的神经网络模型进行检测,得到检测结果;其中,所述异质图包括系统资源节点和应用程序接口节点,且所述应用程序接口节点指向所述系统资源节点;所述预设的神经网络模型以恶意软件的异质图和正常软件的异质图为样本,以及与恶意软件的异质图和正常软件的异质图相对应的标签训练得到。本发明专利技术的目的是解决现有技术在对恶意软件进行检测时,无法有效应对较少的API调用,无法生成有效的API行为图,导致无法对恶意软件进行有效的准确检测的问题。的准确检测的问题。的准确检测的问题。
【技术实现步骤摘要】
一种恶意软件检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机软件检测
,尤其涉及一种恶意软件检测方法、装置、电子设备及存储介质。
技术介绍
[0002]恶意软件是指故意对计算机、网络或服务器有害的任何程序或文件。同时,它们的迭代速度非常快。
[0003]应用程序接口(API)是为应用程序调用提供的代码。Windows API是Microsoft操作系统的应用程序编程接口。它是操作系统的重要组成部分。所有windows程序都可以通过调用API与系统进行交互,并使用windows系统资源(如进程、文件和设备)和服务(如使用网络和访问注册表)。通过监视应用程序接口调用,可以有效地查看应用程序的内部行为。例如,WriteFile API尝试将文件写入硬盘。
[0004]通过API构建的恶意软件行为图被认为是理解恶意软件行为特征的有效方法。在大多数情况下,API行为图只关注各API之间的关系:应用程序接口调用关系和API依赖关系。例如:(1)基于应用程序接口调用关系的方法定义了edge=(a,b),表示API b被API a调用。(2)基于API依赖关系的方法则定义了edge=(a,b),表示a和b之间的依赖关系,如数据依赖关系。
[0005]通过API构建的恶意软件行为图被认为是理解恶意软件行为特征的有效方法。然而,目前的API行为图只关注应用程序接口调用关系和API依赖关系。没有更多地关注API和系统资源之间的关系,恶意软件通过使用API的使用系统资源执行恶意行为。例如,用于破坏计算机系统的恶意软件可以通过使用DeleteFile的API直接删除系统级文件,又比如恶意软件可以通过使用RegSetValue的API实现恶意注入。使得现有技术在对恶意软件进行检测时,无法有效应对较少的API调用,恶意软件的恶意行为在现有API行为图上是不直观的,导致无法对恶意软件进行有效的准确检测的问题。
技术实现思路
[0006]本专利技术提供一种恶意软件检测方法、装置、电子设备及存储介质,用以解决现有技术在对恶意软件进行检测时,无法有效应对较少的API调用,无法生成有效的API行为图,使用系统资源,导致无法对恶意软件进行有效的准确检测的问题。
[0007]本专利技术提供一种恶意软件检测方法,包括:
[0008]对待检测软件进行动态分析,得到待检测软件的异质图;
[0009]将待检测软件的异质图输入预设的神经网络模型进行检测,得到检测结果;
[0010]其中,所述异质图包括系统资源节点和应用程序接口节点,且所述应用程序接口节点指向所述系统资源节点;
[0011]所述预设的神经网络模型以恶意软件的异质图和正常软件的异质图为样本,以及与恶意软件的异质图和正常软件的异质图相对应的标签训练得到。
[0012]根据本专利技术提供的一种恶意软件检测方法,所述对待检测软件进行动态分析,得到待检测软件的异质图;包括:
[0013]对待检测软件进行动态分析后,获取待检测软件的分析报告中的应用程序接口调用和应用程序接口调用参数;
[0014]对分析报告中连续且重复的应用程序接口调用和应用程序接口调用参数进行删除后,对所述应用程序接口调用参数进行区分处理和稳定性处理;
[0015]通过将处理后的应用程序接口调用表示为所述应用程序接口节点,将所述应用程序接口调用参数表示为所述系统资源节点,得到待检测软件的异质图。
[0016]根据本专利技术提供的一种恶意软件检测方法,所述应用程序接口调用的类型包括:进程信息、文件信息、注册表信息和网络信息。
[0017]根据本专利技术提供的一种恶意软件检测方法,所述对应用程序接口调用参数进行区分处理和稳定性处理,包括:
[0018]所述对应用程序接口调用参数进行明确差异处理为:对所述应用程序接口调用参数进行同一类别下的不同个体的区分;
[0019]所述对应用程序接口调用参数进行稳定性处理为:获取一次运行的应用程序接口调用参数的数值,对所述数值的范围进行缩小处理。
[0020]根据本专利技术提供的一种恶意软件检测方法,所述对待检测软件进行动态分析后,获取的所述待检测软件的分析报告包括json文件数据。
[0021]根据本专利技术提供的一种恶意软件检测方法,在对待检测软件进行动态分析时,采用沙箱对所述待检测软件进行动态分析。
[0022]根据本专利技术提供的一种恶意软件检测方法,在将待检测软件的异质图输入预设的神经网络模型进行检测,得到检测结果之前,还包括:训练所述预设的神经网络模型的步骤:
[0023]以恶意软件的异质图和正常软件的异质图为样本进行向量化表征,得到恶意软件的异质图的向量和正常软件的异质图的向量;
[0024]将恶意软件的异质图的向量和正常软件的异质图的向量,以及与所述恶意软件的异质图和正常软件的异质图各自对应的标签输入多层感知机分类器模型中,得到预设的神经网络模型。
[0025]本专利技术还提供的一种恶意软件检测装置,包括:
[0026]分析模块,用于对待检测软件进行动态分析,得到待检测软件的异质图;
[0027]检测模块,用于将待检测软件的异质图输入预设的神经网络模型进行检测,得到检测结果;
[0028]其中,所述异质图包括系统资源节点和应用程序接口节点,且从所述应用程序接口节点指向所述系统资源节点;
[0029]所述预设的神经网络模型以恶意软件的异质图和正常软件的异质图为样本,以及与恶意软件的异质图和正常软件的异质图相对应的标签训练得到。
[0030]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述的恶意软件检测方法。
[0031]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述的恶意软件检测方法。
[0032]本专利技术提供的一种恶意软件检测方法、装置、电子设备及存储介质,通过对待检测软件进行动态分析,得到异质图,根据异质图中的系统资源节点和应用程序接口节点,来反映API和系统资源之间的交互。同时从应用程序接口节点指向系统资源节点,表示程序利用API的使用系统资源,从而能够检测出恶意软件通过使用API的使用系统资源执行恶意行为,从而有效地提高了对恶意软件的检测率。
附图说明
[0033]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0034]图1是本专利技术提供的一种恶意软件检测方法的流程示意图;
[0035]图2是本专利技术提供的一种恶意软件检测装置的结构框图;
[0036]图3是本专利技术提供的电子设备的结构示意图。
[0037]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测方法,其特征在于,包括:对待检测软件进行动态分析,得到待检测软件的异质图;将待检测软件的异质图输入预设的神经网络模型进行检测,得到检测结果;其中,所述异质图包括系统资源节点和应用程序接口节点,且所述应用程序接口节点指向所述系统资源节点;所述预设的神经网络模型以恶意软件的异质图和正常软件的异质图为样本,以及与恶意软件的异质图和正常软件的异质图相对应的标签训练得到。2.根据权利要求1所述的恶意软件检测方法,其特征在于,所述对待检测软件进行动态分析,得到待检测软件的异质图,包括:对待检测软件进行动态分析后,获取待检测软件的分析报告中的应用程序接口调用和应用程序接口调用参数;对分析报告中连续且重复的应用程序接口调用和应用程序接口调用参数进行删除后,对所述应用程序接口调用参数进行区分处理和稳定性处理;通过将处理后的应用程序接口调用表示为所述应用程序接口节点,将所述应用程序接口调用参数表示为所述系统资源节点,得到待检测软件的异质图。3.根据权利要求2所述的恶意软件检测方法,其特征在于,所述应用程序接口调用的类型包括:进程信息、文件信息、注册表信息和网络信息。4.根据权利要求2或3所述的恶意软件检测方法,其特征在于,所述对应用程序接口调用参数进行区分处理和稳定性处理,包括:所述对应用程序接口调用参数进行明确差异处理为:对所述应用程序接口调用参数进行同一类别下的不同个体的区分;所述对应用程序接口调用参数进行稳定性处理为:获取一次运行的所述应用程序接口调用参数的数值,对所述数值的范围进行缩小处理。5.根据权利要求2所述的恶意软件检测方法,其特征在于,所述对待检测软件进行...
【专利技术属性】
技术研发人员:喻民,李敏,贺大磊,姜建国,黄伟庆,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。