恶意代码检测方法、装置、电子设备及存储介质制造方法及图纸

本申请提供一种恶意代码检测方法、装置、电子设备及存储介质，涉及安全技术领域。该方法通过将待测代码中的字节值转换为图像中的像素值，实现图像编码，这样对编码图像进行多尺度特征提取可以更好地捕捉到待测代码中的相关特征，也就可以使得获得的多尺度特征可以更完整且准确地表征待测代码；最后再将多尺度特征进行自注意力编码，得到编码特征，也就使得的编码特征更加完善与准确，也可以理解为得到的编码特征可以更好地反映待测代码，从而根据编码特征进行检测的准确性更高。据编码特征进行检测的准确性更高。据编码特征进行检测的准确性更高。

【技术实现步骤摘要】
恶意代码检测方法、装置、电子设备及存储介质


[0001]本申请涉及安全
，具体而言，涉及一种恶意代码检测方法、装置、电子设备及存储介质。

技术介绍

[0002]目前不断增加的恶意代码攻击风险已成为全球互联网用户面临的高级持续性威胁，因此，为了互联网用户能够安全上网，需要及时准确地识别出恶意代码，并进行阻断。
[0003]现有技术在检测恶意代码时，通常将代码进行特征提取，然后基于提取的特征来进行恶意代码的检测，但是目前的特征提取方式一般是按照设定规则对其中的一些预定义关键特征进行提取，而由于代码的复杂性，有些恶意代码隐藏较深，所以仅靠提取一些预定义关键特征无法检测。

技术实现思路

[0004]本申请实施例的目的在于提供一种恶意代码检测方法、装置、电子设备及存储介质，用以准确地实现对恶意代码的检测。
[0005]第一方面，本申请实施例提供了一种恶意代码检测方法，包括：
[0006]将待测代码的字节值转换为对应的像素值，生成包括所述像素值的编码图像，其中，所述编码图像的大小与所述待测代码的字节数量正相关；
[0007]对所述编码图像进行多尺度特征提取，得到多尺度特征；
[0008]将所述多尺度特征进行自注意力编码，得到编码特征；
[0009]根据所述编码特征检测所述待测代码是否为恶意代码。
[0010]在上述实现过程中，通过将待测代码中的字节值转换为图像中的像素值，实现图像编码，这样对编码图像进行多尺度特征提取，可以更好地捕捉到待测代码中的相关特征，使得获得的多尺度特征可以更完整且准确地表征待测代码；最后再将多尺度特征进行自注意力编码，得到编码特征，也就使得的编码特征更加完善与准确，也可以理解为得到的编码特征可以更好地反映待测代码，从而根据编码特征进行检测的准确性更高。
[0011]可选地，所述编码图像的大小通过如下方式确定：
[0012]根据所述待测代码的字节数量，确定所述待测代码对应的编码图像的列宽；
[0013]基于所述列宽和所述字节数量，确定所述编码图像的行高。
[0014]在上述实现过程中，不同的待测代码的字节数量不同，从而也就使得不同的待测代码对应的编码图像的列宽可能不同。这样，可以根据待测代码的字节数量来选择生成合适大小的编码图像。相应的，基于列宽和字节数量，确定编码图像的行高，也可以规范生成的编码图像的大小。
[0015]可选地，所述根据所述待测代码的字节数量，确定所述待测代码对应的编码图像的列宽，包括：
[0016]获取预定义列宽集合中的每个预定义列宽；
[0017]获取所述待测代码的字节数量的平方根；
[0018]计算每个预定义列宽与所述平方根的差值的绝对值；
[0019]将最小的绝对值对应的预定义列宽确定为所述待测代码对应的编码图像的列宽。
[0020]在上述实现过程中，可以预先设置预定义列宽集合，这样，可以避免由于代码的多样性而生成过多的列宽。也即，每个待测代码对应的编码图像的列宽从预先设置的列宽中进行选取，可便于限定生成的编码图像的大小，使得字节规模相同的待测代码，生成的编码图像的列宽相同。
[0021]可选地，所述预定义列宽集合中的各个预定义列宽构成等比数列。
[0022]在上述实现过程中，预定义列宽集合中的各预定义列宽构成等比数列，在对多个待测代码进行检测时，可以使得这些待测代码对应的编码图像为等比列宽的图像，以便于后续对编码图像的处理。
[0023]可选地，在所述生成编码图像之后，所述对所述编码图像进行多尺度特征提取之前，所述方法还包括：
[0024]在所述编码图像的顶部添加预定义元素，形成第一子编码图像，以及在所述编码图像的底部添加预定义元素，形成第二子编码图像；
[0025]将所述第一子编码图像与所述第二子编码图像在水平方向进行拼接，得到拼接后的编码图像。
[0026]在上述实现过程中，第一子编码图像和第二子编码图像进行拼接之后，使得第一编码图像的每一行结尾处拼接了下一行的像素行，可以使得特征提取时能够提取到连贯性的代码语义特征，从而也就可以保证利用拼接后的编码图像在进行多尺度特征提取过程中的特征提取准确性。
[0027]可选地，所述对所述编码图像进行多尺度特征提取，得到多尺度特征，包括：
[0028]基于所述待测代码的字节数量，确定与所述编码图像适配的卷积核；
[0029]利用确定的卷积核对所述编码图像进行多尺度特征提取，获得待测代码的多尺度特征。
[0030]在上述实现过程中，由于各种待测代码的规模可能不同，其对应生成的编码图像的尺寸也可能不同，所以为了适应对多种不同尺寸的编码图像的处理，本方案中可设置多个不同的卷积核，从而根据待测代码的字节数量来选择与其适配的卷积核，可以更好地捕捉到编码图像在不同尺度下的特征多样性。
[0031]可选地，所述基于所述待测代码的字节数量，确定与所述编码图像适配的卷积核，包括：
[0032]基于所述待测代码的字节数量，确定所述编码图像的列宽；
[0033]根据所述列宽，确定与所述编码图像适配的卷积核，其中，不同列宽对应的卷积核的数量和步长不同。
[0034]在上述实现过程中，由于设置了预定义列宽集合，预定义列宽集合中的列宽成等比数列，相应地，通过设置相应的卷积核即可实现对预定义列宽集合对应的所有编码图像进行处理，比如小尺度的卷积核可以更加关注到代码中的内部信息，大尺度的卷积核可以更加关注到上下文语义信息，从而可以选择适配的卷积核能够有效地提取到编码图像中的特征。
[0035]可选地，所述将所述多尺度特征进行自注意力编码，得到编码特征，包括：
[0036]将所述多尺度特征转换为同一尺度下的特征；
[0037]对所述同一尺度下的特征进行融合，得到融合后的特征；
[0038]将所述融合后的特征进行自注意力编码，得到编码特征。
[0039]在上述实现过程中，将多尺度特征图转换为同一尺度下的特征图，可以便于进行特征提取。
[0040]可选地，所述融合后的特征为特征图，所述将所述融合后的特征进行自注意力编码，得到编码特征，包括：
[0041]将所述融合后的特征按照图的预定义行维度进行拆分，获得多个子块特征图；
[0042]将所述多个子块特征图依次输入自注意力模型中，通过所述自注意力模型进行自注意力编码，得到编码特征，其中，所述自注意力模型利用上一个子块特征图编码后获得的隐藏状态对当前子块特征图进行自注意力编码。
[0043]在上述实现过程中，将编码图像按照预定义行维度进行拆分后输入自注意力模型中进行特征提取，可以更好地提取到相邻行之间的局部信息以及各个行之间的全局相关性特征。
[0044]可选地，所述将所述融合后的特征进行自注意力编码，得到编码特征，包括：
[0045]利用自注意力模型对所述融合后的特征进行自注意力编码，得到编码特征；
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意代码检测方法，其特征在于，包括：将待测代码的字节值转换为对应的像素值，生成包括所述像素值的编码图像，其中，所述编码图像的大小与所述待测代码的字节数量正相关；对所述编码图像进行多尺度特征提取，得到多尺度特征；将所述多尺度特征进行自注意力编码，得到编码特征；根据所述编码特征检测所述待测代码是否为恶意代码。2.根据权利要求1所述的方法，其特征在于，所述编码图像的大小通过如下方式确定：根据所述待测代码的字节数量，确定所述待测代码对应的编码图像的列宽；基于所述列宽和所述字节数量，确定所述编码图像的行高。3.根据权利要求2所述的方法，其特征在于，所述根据所述待测代码的字节数量，确定所述待测代码对应的编码图像的列宽，包括：获取预定义列宽集合中的每个预定义列宽；获取所述待测代码的字节数量的平方根；计算每个预定义列宽与所述平方根的差值的绝对值；将最小的绝对值对应的预定义列宽确定为所述待测代码对应的编码图像的列宽。4.根据权利要求3所述的方法，其特征在于，所述预定义列宽集合中的各个预定义列宽构成等比数列。5.根据权利要求1所述的方法，其特征在于，在所述生成编码图像之后，所述对所述编码图像进行多尺度特征提取之前，所述方法还包括：在所述编码图像的顶部添加预定义元素，形成第一子编码图像，以及在所述编码图像的底部添加预定义元素，形成第二子编码图像；将所述第一子编码图像与所述第二子编码图像在水平方向进行拼接，得到拼接后的编码图像。6.根据权利要求1所述的方法，其特征在于，所述对所述编码图像进行多尺度特征提取，得到多尺度特征，包括：基于所述待测代码的字节数量，确定与所述编码图像适配的卷积核；利用确定的卷积核对所述编码图像进行多尺度特征提取，获得待测代码的多尺度特征。7.根据权利要求6所述的方法，其特征在于，所述基于所述待测代码的字节数量，确定与所述编码图像适配的卷积核，包括：基于所述待测代码的字节数量，确定所述编码图像的列宽；根据所述列宽，确定与所述编码图像适配的卷积核，其中，不同列宽对应的卷积核的数量和步长不同。8.根据权利要求1所述的方法，其特征在于，所述将所述多尺度特征进行自注意力编码，得到编码特征，包括：将所述多尺度特征转换为同一尺度下的特征；对所述同一尺度下的特征进行融合，得到融...

【专利技术属性】
技术研发人员：于耀翔，蔡波，徐晓，
申请(专利权)人：北京天融信网络安全技术有限公司，
类型：发明
国别省市：