恶意代码的检测方法及其装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种恶意代码的检测方法及其装置、电子设备及存储介质，涉及人工智能领域，其中，该检测方法包括：获取目标系统的代码文件，采用预设滤波器提取代码文件的第一特征矩阵，并基于预设控制流程图提取代码文件的第二特征矩阵，融合第一特征矩阵以及第二特征矩阵，得到向量特征矩阵，基于预设检测模型处理向量特征矩阵，得到特征值，并在特征值不属于预设阈值范围的情况下，确定代码文件为恶意代码文件。本发明专利技术解决了相关技术中对恶意代码进行检测的准确度较低的技术问题。行检测的准确度较低的技术问题。行检测的准确度较低的技术问题。

【技术实现步骤摘要】
恶意代码的检测方法及其装置、电子设备及存储介质


[0001]本专利技术涉及人工智能领域，具体而言，涉及一种恶意代码的检测方法及其装置、电子设备及存储介质。

技术介绍

[0002]DevOps(即Development和Operations的组合词)是一组过程、方法与系统的统称，用于促进开发(应用程序/软件工程)、技术运营和质量保障部门之间的沟通、协作与整合。对于DevOps持续交付系统，DevOps主要优点是降低成本、提升交付效率。AI(Artificial Intelligence，即人工智能)可以通过深度学习进行模型训练，能够减少人力资源的投入并获得更高的效率。DevOps与深度学习模型结合将有助于结合两个工具的优点，为持续集成任务带来更大的便利。
[0003]然而，随着信息技术的发展，安全事件层出不穷，通过恶意代码进行程序入侵的成本越来越低。为了DevOps持续交付系统能够安全可靠运行，保护生产环境的安全，可以通过AI技术部署相关的模型，对恶意编码进行检测和识别，这可以有效的降低风险。深度学习主要是通过建立模型算法的方式，通过已有的数据预测未来的数据。DevOps与AI结合将有利于提升DevOps持续交付系统的安全性。
[0004]相关技术中，往往通过提取系统代码的纹理特征，并通过分析这些纹理特征进行恶意代码的识别。主要通过如下方式进行纹理特征的提取：(1)基于统计学原理的灰度共生矩阵分析方法；(2)基于几何学原理的Voronio(一种几何方法)棋盘格特征法；(3)基于马尔科夫随机场的模型法。分析方法主要有：随机森林，支持向量机，逻辑回归，K近邻，GradientBoosting(梯度提升)分类器，朴素贝叶斯以及决策树等。然而，上述现有的模型方法对复杂的数据难以发掘内在规律和联系，对人工的依赖程度较高，且准确度较低，具体存在的如下问题：(1)准确度低：现有的模型方法很难处理冗余信息，过多的冗余信息导致了模型在训练环境下准确度偏高，而在测试环境下准确度偏低的情况；(2)适用范围窄：针对复杂的决策过程，现有的模型方法表现能力受限，此外，大量数据的情况下，高维数据空间的复杂问题及其泛化能力受到制约。
[0005]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0006]本专利技术实施例提供了一种恶意代码的检测方法及其装置、电子设备及存储介质，以至少解决相关技术中对恶意代码进行检测的准确度较低的技术问题。
[0007]根据本专利技术实施例的一个方面，提供了一种恶意代码的检测方法，包括：获取目标系统的代码文件，其中，所述目标系统中部署有预设检测模型；采用预设滤波器提取所述代码文件的第一特征矩阵，并基于预设控制流程图提取所述代码文件的第二特征矩阵，其中，所述预设控制流程图用于提取所述代码文件中包含的功能函数以及代码块之间的调用关系和上下文语义；融合所述第一特征矩阵以及所述第二特征矩阵，得到向量特征矩阵；基于
所述预设检测模型处理所述向量特征矩阵，得到特征值，并在所述特征值不属于预设阈值范围的情况下，确定所述代码文件为恶意代码文件。
[0008]可选地，采用预设滤波器提取所述代码文件的第一特征矩阵的步骤，包括：将所述代码文件转化为灰度图；采用所述预设滤波器，提取所述灰度图的纹理特征矩阵；将所述纹理特征矩阵表征为所述第一特征矩阵。
[0009]可选地，将所述代码文件转化为灰度图的步骤，包括：按照预设字节数量对所述代码文件进行分组，得到多个块数据；按照预设宽度将所述块数据转化为矩阵；基于所述矩阵，生成所述灰度图。
[0010]可选地，基于预设控制流程图提取所述代码文件的第二特征矩阵的步骤，包括：将所述代码文件转化为反汇编文件；确定所述反汇编文件中的预设函数以及预设功能块；基于所述预设函数以及所述预设功能块，生成调度图；提取所述调度图的所述第二特征矩阵。
[0011]可选地，在基于所述预设检测模型处理所述向量特征矩阵之前，还包括：确定预设卷积块结构、残差网络结构以及注意力网络结构，其中，所述预设卷积块结构通过第一类卷积核以及第二类卷积核拼接构成，所述第一类卷积核以及所述第二类卷积核之间设置有网络层以及激活函数层，所述残差网络结构通过多个残差块连接构成，所述残差块之间通过预设方式进行连接，所述注意力网络结构通过池化层、全连接层构成；基于所述预设卷积块结构、所述残差网络结构以及所述注意力网络结构，构建所述预设检测模型。
[0012]可选地，基于所述预设检测模型处理所述向量特征矩阵，得到特征值的步骤，包括：采用所述预设卷积块结构对所述向量特征矩阵进行预设通道卷积处理以及预设点卷积处理，清除所述向量特征矩阵中的冗余特征，得到初始向量特征矩阵；采用所述注意力网络结构对所述初始向量特征矩阵进行池化处理以及预设全连接处理，得到目标向量特征矩阵，其中，所述目标向量特征矩阵包括：多个特征通道；采用预设激活函数，确定每个所述特征通道对应的权重值，得到权重矩阵；将所述目标向量特征矩阵与所述权重矩阵进行乘积，得到所述特征值。
[0013]可选地，在所述特征值不属于预设阈值范围的情况下，确定所述代码文件为恶意代码文件之前，还包括：获取历史时间段内的历史代码文件，其中，所述历史代码文件标注有代码状态，所述代码状态包括：恶意状态、正常状态；将所述历史代码文件输入至所述预设检测模型，得到输出结果值；基于所述输出结果值训练预设分类模型，并在所述预设分类模型训练完成的情况下，确定所述预设阈值范围。
[0014]根据本专利技术实施例的另一方面，还提供了一种恶意代码的检测装置，包括：获取单元，用于获取目标系统的代码文件，其中，所述目标系统中部署有预设检测模型；提取单元，用于采用预设滤波器提取所述代码文件的第一特征矩阵，并基于预设控制流程图提取所述代码文件的第二特征矩阵，其中，所述预设控制流程图用于提取所述代码文件中包含的功能函数以及代码块之间的调用关系和上下文语义；融合单元，用于融合所述第一特征矩阵以及所述第二特征矩阵，得到向量特征矩阵；处理单元，用于基于所述预设检测模型处理所述向量特征矩阵，得到特征值，并在所述特征值不属于预设阈值范围的情况下，确定所述代码文件为恶意代码文件。
[0015]可选地，所述提取单元包括：第一转化模块，用于将所述代码文件转化为灰度图；第一提取模块，用于采用所述预设滤波器，提取所述灰度图的纹理特征矩阵；第一表征模
块，用于将所述纹理特征矩阵表征为所述第一特征矩阵。
[0016]可选地，所述第一转化模块包括：第一分组子模块，用于按照预设字节数量对所述代码文件进行分组，得到多个块数据；第一转化子模块，用于按照预设宽度将所述块数据转化为矩阵；第一生成子模块，用于基于所述矩阵，生成所述灰度图。
[0017]可选地，所述提取单元还包括：第二转化模块，用于将所述代码文件转化为反汇编文件；第一确定模块，用于确定所述反汇编文件中的预设函数以及预设功能块；第一生成模块，用于基于所述预设函数以及所述预设功能块，生成调度图；第二提取模块，用于提取所述调度图的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意代码的检测方法，其特征在于，包括：获取目标系统的代码文件，其中，所述目标系统中部署有预设检测模型；采用预设滤波器提取所述代码文件的第一特征矩阵，并基于预设控制流程图提取所述代码文件的第二特征矩阵，其中，所述预设控制流程图用于提取所述代码文件中包含的功能函数以及代码块之间的调用关系和上下文语义；融合所述第一特征矩阵以及所述第二特征矩阵，得到向量特征矩阵；基于所述预设检测模型处理所述向量特征矩阵，得到特征值，并在所述特征值不属于预设阈值范围的情况下，确定所述代码文件为恶意代码文件。2.根据权利要求1所述的检测方法，其特征在于，采用预设滤波器提取所述代码文件的第一特征矩阵的步骤，包括：将所述代码文件转化为灰度图；采用所述预设滤波器，提取所述灰度图的纹理特征矩阵；将所述纹理特征矩阵表征为所述第一特征矩阵。3.根据权利要求2所述的检测方法，其特征在于，将所述代码文件转化为灰度图的步骤，包括：按照预设字节数量对所述代码文件进行分组，得到多个块数据；按照预设宽度将所述块数据转化为矩阵；基于所述矩阵，生成所述灰度图。4.根据权利要求1所述的检测方法，其特征在于，基于预设控制流程图提取所述代码文件的第二特征矩阵的步骤，包括：将所述代码文件转化为反汇编文件；确定所述反汇编文件中的预设函数以及预设功能块；基于所述预设函数以及所述预设功能块，生成调度图；提取所述调度图的所述第二特征矩阵。5.根据权利要求1所述的检测方法，其特征在于，在基于所述预设检测模型处理所述向量特征矩阵之前，还包括：确定预设卷积块结构、残差网络结构以及注意力网络结构，其中，所述预设卷积块结构通过第一类卷积核以及第二类卷积核拼接构成，所述第一类卷积核以及所述第二类卷积核之间设置有网络层以及激活函数层，所述残差网络结构通过多个残差块连接构成，所述残差块之间通过预设方式进行连接，所述注意力网络结构通过池化层、全连接层构成；基于所述预设卷积块结构、所述残差网络结构以及所述注意力网络结构，构建所述预设检测模型。6.根据权利要求5所述的检测方法，其特征在于，基于所述预设检测模型处理所述向量特征矩阵，得到特征值的步骤，包括：采用...

【专利技术属性】
技术研发人员：彭奕铮，吴利华，张泳，刘伟，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：