一种恶意代码家族检测方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种恶意代码家族检测方法、装置、电子设备及存储介质，可应用于人工智能领域或金融领域。该方法中，获取恶意代码对应的灰度图；将灰度图输入预设神经网络进行分类检测，获得第一检测结果，预设神经网络为轻量级神经网络；将灰度图对应的纹理特征输入轻量级梯度提升机进行分类检测，获得第二检测结果；将第一检测结果和所述第二检测结果输入预设朴素贝叶斯分类模型，获得目标检测结果，目标检测结果用于表征恶意代码对应的恶意代码家族。如此，获取不同检测方式的恶意代码家族的检测结果，并使用预设朴素贝叶斯分类模型对检测结果融合，提高了检测准确率，此外，轻量级的预设神经网络和轻量级梯度提升机降低检测过程所占用的内存。过程所占用的内存。过程所占用的内存。

【技术实现步骤摘要】
一种恶意代码家族检测方法、装置、电子设备及存储介质


[0001]本申请涉及人工智能
，特别是涉及一种恶意代码家族检测方法、装置、电子设备及存储介质。

技术介绍

[0002]恶意代码是指能够在计算机系统中进行非授权操作的代码。通常，将同源性的、具有相似特征的恶意代码归属在同一家族下，且同一家族下的恶意代码的病毒名相同，通过病毒名来区别和标识恶意代码家族。
[0003]目前，通过神经网络对恶意代码检测分类，但是实际过程中，同一家族的恶意代码会产生大量的变种，即使同族的恶意代码也会使用不同的混淆方式隐藏自身的特征，导致目前神经网络的检测准确率低；此外，正是因为恶意代码的变种多，使得目前神经网络拟合的深度和宽度不断扩展，这样，在运行神经网络以实现恶意代码检测过程所占用内存过大，所需计算资源过高，检测效率较低。

技术实现思路

[0004]本申请提供了一种恶意代码家族检测方法、装置、电子设备及存储介质，能够提高检测准确率，减少检测过程中所占用内存和计算资源，提高检测效率。
[0005]第一方面，本申请提供了一种恶意代码家族检测方法，所述方法包括：
[0006]获取恶意代码对应的灰度图；
[0007]将所述灰度图输入预设神经网络进行分类检测，获得第一检测结果，所述预设神经网络为轻量级神经网络；
[0008]将所述灰度图对应的纹理特征输入轻量级梯度提升机进行分类检测，获得第二检测结果，所述纹理特征用于表征所述灰度图的空间分布变化；
[0009]将所述第一检测结果和所述第二检测结果输入预设朴素贝叶斯分类模型，获得目标检测结果，所述目标检测结果用于表征所述恶意代码对应的恶意代码家族。
[0010]可选地，获得所述预设朴素贝叶斯分类模型的过程包括：
[0011]获得训练集，所述训练集包括多条训练样本及对应的目标分类结果；
[0012]将所述训练集输入多个初级分类器，获得所述多个初级分类器对所述多条训练样本的测试分类结果，所述多个初级分类器包括所述预设神经网络和所述轻量级梯度提升机；
[0013]根据所述测试分类结果和所述目标分类结果，计算所述多个初级分类器对所述训练集的分类正确率；
[0014]将所述多个初级分类器对所述训练集的分类正确率和所述多条训练样本的测试分类结果输入朴素贝叶斯分类器进行训练，获得所述预设朴素贝叶斯分类模型。
[0015]可选地，所述获取恶意代码对应的灰度图，包括：
[0016]获得所述恶意代码的二进制字符串；
[0017]将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串；
[0018]对所述多个二进制子字符串进行十进制处理，获得多个像素点；
[0019]根据多个所述像素点，确定所述恶意代码对应的彩色图像；
[0020]对所述彩色图像进行灰度处理，获得所述灰度图。
[0021]可选地，所述将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串，包括：
[0022]将所述二进制字符串按照预设阈值依次划分；
[0023]若所述二进制字符串的末端不满足预设阈值，则用0填充直至满足所述预设阈值；
[0024]获得所述多个二进制子字符串。
[0025]可选地，获得所述纹理特征的过程包括：
[0026]获得所述灰度图的灰度共生矩阵；
[0027]对所述灰度共生矩阵进行分析，获得所述纹理特征。
[0028]可选地，所述纹理特征包括能量、角二阶矩、熵、逆方差和相关度。
[0029]可选地，所述预设神经网络包括MobileNet
‑
small、ShuffleNet
‑
SE和Xception
‑
SE中至少一个。
[0030]第二方面，本申请还提供了一种恶意代码家族检测装置，所述装置包括：
[0031]获取单元，用于获取恶意代码对应的灰度图；
[0032]第一检测单元，用于将所述灰度图输入预设神经网络进行分类检测，获得第一检测结果，所述预设神经网络为轻量级神经网络；
[0033]第二检测单元，用于将所述灰度图对应的纹理特征输入轻量级梯度提升机进行分类检测，获得第二检测结果，所述纹理特征用于表征所述灰度图的空间分布变化；
[0034]获得单元，用于将所述第一检测结果和所述第二检测结果输入预设朴素贝叶斯分类模型，获得目标检测结果，所述目标检测结果用于表征所述恶意代码对应的恶意代码家族。
[0035]可选地，所述装置还包括模型训练单元，所述模型训练单元具体用于：
[0036]获得训练集，所述训练集包括多条训练样本及对应的目标分类结果；
[0037]将所述训练集输入多个初级分类器，获得所述多个初级分类器对所述多条训练样本的测试分类结果，所述多个初级分类器包括所述预设神经网络和所述轻量级梯度提升机；
[0038]根据所述测试分类结果和所述目标分类结果，计算所述多个初级分类器对所述训练集的分类正确率；
[0039]将所述多个初级分类器对所述训练集的分类正确率和所述多条训练样本的测试分类结果输入朴素贝叶斯分类器进行训练，获得所述预设朴素贝叶斯分类模型。
[0040]可选地，所述获取单元，具体用于：
[0041]获得所述恶意代码的二进制字符串；
[0042]将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串；
[0043]对所述多个二进制子字符串进行十进制处理，获得多个像素点；
[0044]根据多个所述像素点，确定所述恶意代码对应的彩色图像；
[0045]对所述彩色图像进行灰度处理，获得所述灰度图。
[0046]可选地，所述将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串，包括：
[0047]将所述二进制字符串按照预设阈值依次划分；
[0048]若所述二进制字符串的末端不满足预设阈值，则用0填充直至满足所述预设阈值；
[0049]获得所述多个二进制子字符串。
[0050]可选地，所述获得单元还用于：
[0051]获得所述灰度图的灰度共生矩阵；
[0052]对所述灰度共生矩阵进行分析，获得所述纹理特征。
[0053]可选地，所述纹理特征包括能量、角二阶矩、熵、逆方差和相关度。
[0054]可选地，所述预设神经网络包括MobileNet
‑
small、ShuffleNet
‑
SE和Xception
‑
SE中至少一个。
[0055]第三方面，本申请还提供了一种电子设备，所述电子设备包括处理器以及存储器：
[0056]所述存储器用于存储计算机程序；
[0057]所述处理器用于根据所述计算机程序执行上述第一方面提供的所述方法。
[0058]第四方面，本申请还提供了一种计算机可读存储介质，所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意代码家族检测方法，其特征在于，所述方法包括：获取恶意代码对应的灰度图；将所述灰度图输入预设神经网络进行分类检测，获得第一检测结果，所述预设神经网络为轻量级神经网络；将所述灰度图对应的纹理特征输入轻量级梯度提升机进行分类检测，获得第二检测结果，所述纹理特征用于表征所述灰度图的空间分布变化；将所述第一检测结果和所述第二检测结果输入预设朴素贝叶斯分类模型，获得目标检测结果，所述目标检测结果用于表征所述恶意代码对应的恶意代码家族。2.根据权利要求1所述的方法，其特征在于，获得所述预设朴素贝叶斯分类模型的过程包括：获得训练集，所述训练集包括多条训练样本及对应的目标分类结果；将所述训练集输入多个初级分类器，获得所述多个初级分类器对所述多条训练样本的测试分类结果，所述多个初级分类器包括所述预设神经网络和所述轻量级梯度提升机；根据所述测试分类结果和所述目标分类结果，计算所述多个初级分类器对所述训练集的分类正确率；将所述多个初级分类器对所述训练集的分类正确率和所述多条训练样本的测试分类结果输入朴素贝叶斯分类器进行训练，获得所述预设朴素贝叶斯分类模型。3.根据权利要求1所述的方法，其特征在于，所述获取恶意代码对应的灰度图，包括：获得所述恶意代码的二进制字符串；将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串；对所述多个二进制子字符串进行十进制处理，获得多个像素点；根据多个所述像素点，确定所述恶意代码对应的彩色图像；对所述彩色图像进行灰度处理，获得所述灰度图。4.根据权利要求3所述的方法，其特征在于，所述将所述二进制字符串按照预设阈值依次划分，获得多个二进制子字符串，包括：将所述二进制字符串按照预设阈值依次划分；若所述二进制...

【专利技术属性】
技术研发人员：陶英杰，
申请(专利权)人：中国银行股份有限公司，
类型：发明
国别省市：