【技术实现步骤摘要】
本专利技术实施例涉及应用安全领域,尤其涉及一种可执行文件检测方法、装置、设备及存储介质。
技术介绍
1、随着代码编写技术的提高和自动化工具的更新迭代,传统的分类已经不满足安全需求。早期基于特征码匹配的方法无法应对快速增加的家族变体;传统的机器学习方法需要手动构造大量特征,容易忽略家族变种代码中的关键信息。
2、目前,现有技术中主要通过以下方法进行检测,但均存在各自的不足之处,例如,基于特征工程的检测方法,依赖于专家经验选取和构造特征,攻击者也会利用这些特征进行相应的对抗,降低了检测的准确率;基于软件可视化的检测方法,加壳、加密会影响到恶意代码的可视化效果,检测准确度也相应降低;基于动态特征的检测方法,直接使用api的序列信息进行编码、建模,并没有考虑到api之间的语义关系;对于api本身特征提取不充分,并且冗余信息过多,无法学习到api的有效信息,反而增加了深度学习成本。
技术实现思路
1、本专利技术实施例提供一种可执行文件检测方法、装置、设备及存储介质,以实现能够丰富可执行文件的检测场景,充分提取了api信息并且进行特征融合确定目标api序列对应的特征向量,从特征维度提高了分类的精准度,使得对可执行文件的检测分类更加高效。
2、第一方面,本专利技术实施例提供了一种可执行文件检测方法,包括:
3、获取待检测可执行文件;
4、提取所述待检测可执行文件中的目标api序列;
5、获取所述目标api序列对应的第一向量集合和所述目标
6、根据所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列确定目标api序列对应的特征向量;
7、将所述目标api序列对应的特征向量输入分类检测模型,得到待检测可执行文件对应的检测结果,其中,所述分类检测模型通过第一样本集迭代训练时序深度学习模型得到。
8、可选的,通过第一样本集迭代训练时序深度学习模型,包括:
9、获取第一样本集,其中,所述第一样本集包括:可执行文件样本和所述可执行文件样本对应的检测结果;
10、将所述第一样本集中的可执行文件样本对应的特征向量输入时序深度学习模型,得到预测检测结果;
11、根据所述预测检测结果和所述第一样本集中的可执行文件样本对应的检测结果生成的目标函数训练所述时序深度学习模型的参数;
12、返回执行将所述第一样本集中的可执行文件样本对应的特征向量输入时序深度学习模型,得到预测检测结果的操作,直至得到分类检测模型。
13、可选的,在将所述第一样本集中的可执行文件样本对应的特征向量输入时序深度学习模型,得到预测检测结果之前,还包括:
14、提取所述第一样本集中的可执行文件样本中的第一api序列;
15、获取所述第一api序列对应的第一向量集合和所述第一api序列对应的三元组序列;
16、根据所述第一api序列对应的第一向量集合和所述第一api序列对应的三元组序列确定所述第一样本集中的可执行文件样本对应的特征向量。
17、可选的,获取所述目标api序列对应的第一向量集合,包括:
18、对所述目标api序列中的每个api进行编码,得到目标api序列对应的第一向量集合。
19、可选的,获取所述目标api序列对应的第一向量集合,包括:
20、对所述目标api序列中的每个api进行编码,得到目标api编码向量集合;
21、将所述目标api编码向量集合输入词向量提取模型,得到目标api序列对应的第一向量集合。
22、可选的,所述三元组包括:api对应的操作、api对应的数据处理类型以及api对应的操作对象类型;
23、相应的,根据所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列确定目标api序列对应的特征向量,包括:
24、根据所述目标api序列对应的三元组序列生成所述目标api序列对应的隐含语义链;
25、将所述目标api序列对应的第一向量集合和所述目标api序列对应的隐含语义链进行融合,得到目标api序列对应的特征向量。
26、可选的,获取所述第一api序列对应的第一向量集合,包括:
27、对所述第一api序列中的每个api进行编码,得到第一api编码向量集合;
28、将所述第一api编码向量集合输入词向量提取模型,得到第一api序列对应的第一向量集合。
29、第二方面,本专利技术实施例提供了一种可执行文件检测装置,该包括:
30、第一获取模块,用于获取待检测可执行文件;
31、提取模块,用于提取所述待检测可执行文件中的目标api序列;
32、第二获取模块,用于获取所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列;
33、确定模块,用于根据所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列确定目标api序列对应的特征向量;
34、输入模块,用于将所述目标api序列对应的特征向量输入分类检测模型,得到待检测可执行文件对应的检测结果,其中,所述分类检测模型通过第一样本集迭代训练时序深度学习模型得到。
35、第三方面,本专利技术实施例提供了一种电子设备,所述电子设备包括:
36、至少一个处理器;以及
37、与所述至少一个处理器通信连接的存储器;其中,
38、所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本专利技术任一实施例所述的可执行文件检测方法。
39、第四方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的可执行文件检测方法。
40、本专利技术实施例通过获取待检测可执行文件;提取所述待检测可执行文件中的目标api序列;获取所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列;根据所述目标api序列对应的第一向量集合和所述目标api序列对应的三元组序列确定目标api序列对应的特征向量;将所述目标api序列对应的特征向量输入分类检测模型,得到待检测可执行文件对应的检测结果,其中,所述分类检测模型通过第一样本集迭代训练时序深度学习模型得到,解决了如何进行更高效的可执行文件检测的问题,实现了丰富可执行文件的检测场景,充分提取了api信息并且进行特征融合确定目标api序列对应的特征向量,从特征维度提高了分类的精准度,达到了对可执行文件的检测分类更加高效的效果。
41、应当理解,本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征,也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。本文档来自技高网...
【技术保护点】
1.一种可执行文件检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过第一样本集迭代训练时序深度学习模型,包括:
3.根据权利要求2所述的方法,其特征在于,在将所述第一样本集中的可执行文件样本对应的特征向量输入时序深度学习模型,得到预测检测结果之前,还包括:
4.根据权利要求1所述的方法,其特征在于,获取所述目标API序列对应的第一向量集合,包括:
5.根据权利要求1所述的方法,其特征在于,获取所述目标API序列对应的第一向量集合,包括:
6.根据权利要求1所述的方法,其特征在于,所述三元组包括:API对应的操作、API对应的数据处理类型以及API对应的操作对象类型;
7.根据权利要求3所述的方法,其特征在于,获取所述第一API序列对应的第一向量集合,包括:
8.一种可执行文件检测装置,其特征在于,包括:
9.一种电子设备,其特征在于,所述电子设备包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令
...【技术特征摘要】
1.一种可执行文件检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,通过第一样本集迭代训练时序深度学习模型,包括:
3.根据权利要求2所述的方法,其特征在于,在将所述第一样本集中的可执行文件样本对应的特征向量输入时序深度学习模型,得到预测检测结果之前,还包括:
4.根据权利要求1所述的方法,其特征在于,获取所述目标api序列对应的第一向量集合,包括:
5.根据权利要求1所述的方法,其特征在于,获取所述目标api序列对应的第一向量集合,包括:
6....
【专利技术属性】
技术研发人员:张孟哲,宋文赞,郑鹏飞,王晨亦,
申请(专利权)人:中国农业银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。