本公开提供一种恶意软件检测方法、装置、电子设备、芯片及存储介质,方法包括:基于待检测软件第一可移植可执行(PE)文件的特征信息,生成所述第一PE文件在不同颜色通道的灰度图,得到至少一个单通道灰度图;所述特征信息包括编码信息、结构信息和家族信息;利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件。本公开提供的方案,能够提高恶意软件检测结果准确度。提高恶意软件检测结果准确度。提高恶意软件检测结果准确度。
【技术实现步骤摘要】
恶意软件检测方法、装置、电子设备、芯片及存储介质
[0001]本公开涉及信息安全领域,尤其涉及一种恶意软件检测方法、装置、电子设备、芯片及存储介质。
技术介绍
[0002]可视化的恶意软件检测方法,是一种将软件的可移植可执行(PE,Portable Executable)文件映射到二维空间,得到可以反映软件特征的可视化图像,然后利用机器学习算法等算法对得到的可视化图像进行分类,从而检测出该软件是否为恶意软件的方法。
[0003]然而,相关技术中的恶意软件检测方法检测精度较低。
技术实现思路
[0004]本公开提供一种恶意软件检测方法、装置、电子设备、芯片及存储介质,以解决相关技术中的问题,提高恶意软件检测结果准确度。
[0005]本公开的第一方面实施例提出了一种恶意软件检测方法,该方法包括:基于待检测软件第一PE文件的特征信息,生成所述第一PE文件在不同颜色通道的灰度图,得到至少一个单通道灰度图;所述特征信息包括编码信息、结构信息和家族信息;利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件。
[0006]上述方案中,所述基于待检测软件第一PE文件的特征信息,生成所述第一PE文件在不同颜色通道的灰度图,得到至少一个单通道灰度图,包括:基于第一PE文件的编码信息,生成R通道灰度图;基于第一PE文件的结构信息,生成G通道灰度图;基于第一PE文件的家族信息,生成B通道灰度图。
[0007]上述方案中,所述基于第一PE文件的结构信息,生成G通道灰度图,包括:基于第一PE文件多个组成部分中每个组成部分的信息熵与所述第一PE文件的信息熵之和,生成所述G通道灰度图。
[0008]上述方案中,所述基于第一PE文件的家族信息,生成B通道灰度图,包括:利用第二模型和第一PE文件,生成所述待检测软件的马尔科夫图像,得到所述B通道灰度图。
[0009]上述方案中,所述基于待检测软件第一PE文件的特征信息,生成所述第一PE文件在不同颜色通道的灰度图,得到至少一个单通道灰度图之前,所述方法还包括:将所述待检测软件的第二PE文件由十六进制转化为十进制,得到所述第一PE文件。
[0010]上述方案中,所述利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件,包括:级联所述至少一个单通道灰度图,得到所述待检测软件的三通道灰度图;
利用第一模型对所述三通道灰度图进行分类,得到分类结果;基于所述分类结果,确定所述待检测软件是否为恶意软件。
[0011]上述方案中,所述第一模型包括第一模块,所述利用第一模型对所述三通道灰度图进行分类,得到分类结果,包括:利用所述第一模块提取所述三通道灰度图的上下文信息;基于所述上下文信息,对所述三通道灰度图进行分类,得到分类结果。
[0012]上述方案中,所述第一模块包括至少两种不同尺寸的卷积核;所述利用所述第一模块提取所述三通道灰度图的上下文信息,包括:利用所述第一模块提取所述三通道灰度图至少两种尺度的上下文信息。
[0013]本公开的第二方面实施例提出了一种恶意软件检测装置,该装置包括:第一处理单元,用于基于待检测软件第一PE文件的特征信息,生成所述第一PE文件在不同颜色通道的灰度图,得到至少一个单通道灰度图;所述特征信息包括编码信息、结构信息和家族信息;第二处理单元,用于利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件。
[0014]本公开的第三方面实施例提出了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行本公开第一方面实施例中描述的方法。
[0015]本公开的第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。
[0016]本公开的第五方面实施例提出了一种芯片,该芯片包括一个或多个接口和一个或多个处理器;接口用于从电子设备的存储器接收信号,并向处理器发送信号,信号包括存储器中存储的计算机指令,当处理器执行计算机指令时,使得电子设备执行本公开第一方面实施例中描述的方法。
[0017]综上,本公开提出的恶意软件检测方法、装置、电子设备、芯片及存储介质,通过利用待检测软件的编码信息、结构信息和家族信息生成可视化图像,使生成的可视化图像能够充分反映软件在多个维度的特性,提高了可视化图像的精度,从而在利用可视化图像分类结果判断待检测软件是否为恶意软件的过程中,提高检测结果的准确性;同时,在可视化过程中引入了家族信息,由于家族信息能够反映同一家族恶意软件的变形情况,因此,能够实现支持对恶意软件变种的检测,进一步提高恶意软件检测结果的准确度。
[0018]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
[0019]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理,并不构成对本公开的不当限定。
[0020]图1为相关技术中恶意软件检测方法流程示意图;图2为本公开实施例提供的一种恶意软件检测方法流程示意图;
图3为本公开实施例提供的另一种恶意软件检测方法流程示意图;图4为本公开实施例提供的一种恶意软件检测装置结构示意图;图5为本公开实施例提供的电子设备的结构示意图;图6为本公开实施例提供的芯片的结构示意图。
具体实施方式
[0021]下面详细描述本公开的实施例,实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,旨在用于解释本公开,而不能理解为对本公开的限制。
[0022]随着自动生成工具的广泛使用,恶意软件也出现大量增长。相关技术中,为了保障网络信息安全,常采用静态分析和动态分析两种方法对恶意软件进行检测。静态分析,是在不执行恶意软件的情况下分析反汇编代码,比如,分析操作码、应用程序接口(API ,Application Programming Interface)序列和函数调用图等;然而,静态分析过程容易受到代码混淆和加密技术的干扰,分析结果准确度不高,且无法在短时间内检测大量的恶意软件。动态分析,是通过在监控的虚拟环境中执行软件样本,分析软件的行为信息,比如网络活动、系统调用、文件操作和注册表修改记录等行为信息,从而判断该软件是否为恶意软件;然而,动态分析方法的实现时间和实现成本均较高,难以适应恶意软件大量增加场景下的检测需求。
[0023]在此基础上,相关技术中引入了计算机视觉技术,提出了一种基于可视化的恶意软件检测方法。基于可视化恶意软件检测方法是一种应用于软件PE文件的静态分析方法,由于无需额外的反汇编和汇编代码分析,因此,能够适用于检测大量恶意软件的应用场景。可视化恶意软件检测方法本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测方法,其特征在于,所述方法包括:基于待检测软件第一可移植可执行文件的特征信息,生成所述第一可移植可执行文件在不同颜色通道的灰度图,得到至少一个单通道灰度图;所述特征信息包括编码信息、结构信息和家族信息;利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件。2.根据权利要求1所述的方法,其特征在于,所述基于待检测软件第一可移植可执行文件的特征信息,生成所述第一可移植可执行文件在不同颜色通道的灰度图,得到至少一个单通道灰度图,包括:基于第一可移植可执行文件的编码信息,生成R通道灰度图;基于第一可移植可执行文件的结构信息,生成G通道灰度图;基于第一可移植可执行文件的家族信息,生成B通道灰度图。3.根据权利要求2所述的方法,其特征在于,所述基于第一可移植可执行文件的结构信息,生成G通道灰度图,包括:基于第一可移植可执行文件多个组成部分中每个组成部分的信息熵与所述第一可移植可执行文件的信息熵之和,生成所述G通道灰度图。4.根据权利要求2所述的方法,其特征在于,所述基于第一可移植可执行文件的家族信息,生成B通道灰度图,包括:利用第二模型和第一可移植可执行文件,生成所述待检测软件的马尔科夫图像,得到所述B通道灰度图。5.根据权利要求1至4中任一项所述的方法,其特征在于,所述基于待检测软件第一可移植可执行文件的特征信息,生成所述第一可移植可执行文件在不同颜色通道的灰度图,得到至少一个单通道灰度图之前,所述方法还包括:将所述待检测软件的第二可移植可执行文件由十六进制转化为十进制,得到所述第一可移植可执行文件。6.根据权利要求1至4中任一项所述的方法,其特征在于,所述利用第一模型和所述至少一个单通道灰度图,确定所述待检测软件是否为恶意软件,包括:级联所述至少一个单通道灰度图,得到所述待检测软件的三通道灰度图;利用...
【专利技术属性】
技术研发人员:张兵兵,
申请(专利权)人:中国移动通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。