【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种恶意文件检测模型的确定方法、恶意文件检测模型的确定装置、恶意文件的检测方法、恶意文件的检测装置、计算机可读存储介质及终端。
技术介绍
1、恶意文件或恶意软件涵盖从最简单的电脑蠕虫和木马程序,到最复杂的电脑病毒等。它们可能会出现在台式电脑、笔记本电脑和移动设备上。根据设备所用操作系统的不同(windows、android、ios或apple macos),恶意文件可能还会以不同的方式发动攻击。
2、传统的恶意文件的检测方法包括特征码鉴别、启发式查杀、数字签名、虚拟机技术等等。随着人工智能(artificial intelligence,ai)技术的兴起,人们还开发出了ai模型来实现对恶意文件的识别和检测。
3、然而,传统的检测方法以及现有的ai模型均存在识别能力较弱、误报率高等问题,还需要进一步的改进。
4、需要说明的是,在上述
技术介绍
部分公开的信息仅用于加强对本申请的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
1、本申请的目的在于提供一种恶意文件检测模型的确定方法、恶意文件检测模型的确定装置、恶意文件的检测方法、恶意文件的检测装置、计算机可读存储介质及终端,至少能够在一定程度上提高检测恶意文件的准确性。
2、本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
3、根据本申请的第一个方面,提供一种恶意文件检测模型的确
4、在本申请一个实施例中,上述获取样本文件对应的应用程序接口api调用序列,包括:获取上述样本文件对应的原始api调用序列;对上述原始api调用序列进行数据压缩处理,得到上述api调用序列。
5、在本申请一个实施例中,在上述通过上述api调用序列和上述api调用序列对应的对抗样本对待训练的检测模型进行训练之前,上述方法还包括:对上述api调用序列进行填充处理或剪裁处理,得到n组目标调用序列,其中,第n组目标调用序列中包括多个相同长度的目标调用序列,每组目标调用序列之间的序列长度互不相同,n为正整数,n为不大于n的正整数;上述通过上述api调用序列和上述api调用序列对应的对抗样本对待训练的检测模型进行训练,以得到训练后的检测模型,包括:通过n组训练样本集中的每组训练样本集分别对上述待训练的检测模型进行训练,以得到n个上述训练后的检测模型,其中,上述n组训练样本集包括上述n组目标调用序列以及上述n组目标调用序列对应的目标对抗样本,上述目标对抗样本是在训练上述待训练的检测模型的过程中得到的。
6、在本申请一个实施例中,上述方法还包括:将n个上述训练后的检测模型进行集成,得到集成的检测模型。
7、在本申请一个实施例中,上述获取上述样本文件对应的原始api调用序列,包括:在沙箱环境中运行上述样本文件,并对上述样本文件的api调用信息进行记录;从上述api调用信息中按照api调用的先后顺序依次提取api,并根据所提取的api得到上述原始api调用序列。
8、根据本申请的第二个方面,提供一种恶意文件的检测方法,该方法包括:将目标文件对应的api调用序列输入至恶意文件检测模型中,其中,上述恶意文件检测模型根据上述第一个方面中所述的恶意文件检测模型的确定方法得到;根据上述恶意文件检测模型的输出结果确定上述目标文件的行为,其中,上述目标文件的行为包括目标文件存在恶意行为或目标文件不存在恶意行为。
9、根据本申请的第三个方面,提供一种恶意文件检测模型的确定装置,上述装置包括:获取模块,用于:获取样本文件对应的应用程序接口api调用序列;训练模块,用于:通过上述api调用序列和上述api调用序列对应的对抗样本对待训练的检测模型进行训练,以得到训练后的检测模型,其中,上述对抗样本是在训练上述待训练的检测模型的过程中得到的。
10、根据本申请的第四个方面,提供一种恶意文件的检测装置,上述装置包括:检测模块,用于:将目标文件对应的api调用序列输入至恶意文件检测模型中,其中,上述恶意文件检测模型根据上述第一个方面中所述的恶意文件检测模型的确定方法得到;根据上述恶意文件检测模型的输出结果确定上述目标文件的行为,其中,上述目标文件的行为包括目标文件存在恶意行为或目标文件不存在恶意行为。
11、根据本申请的第五个方面,提供一种终端,包括存储器、处理器以及存储在上述存储器中并可在上述处理器上运行的计算机程序,上述处理器执行上述计算机程序时,使得上述终端执行上述第一个方面所述的恶意文件检测模型的确定方法,以及执行如上述第二个方面或上述第三个方面所述的恶意文件的检测方法。
12、根据本申请的第六个方面,提供一种计算机可读存储介质,其上存储有计算机程序,上述计算机程序被处理器执行时实现上述第一个方面所述的恶意文件检测模型的确定方法,以及执行如上述第二个方面或上述第三个方面所述的恶意文件的检测方法。
13、本申请的实施例提供了一种恶意文件检测模型的确定方法、恶意文件检测模型的确定装置、恶意文件的检测方法、恶意文件的检测装置、计算机可读存储介质及终端,具备以下技术效果:
14、本申请所提供的恶意文件检测模型的确定方法,将样本文件在沙箱环境中运行,以获取样本文件的api调用序列。然后,通过api调用序列以及对应的对抗样本对检测模型进行训练,从而可以提高检测模型的鲁棒性和泛化能力。另外,在对检测模型训练之前,本申请还对api调用序列进行了数据无损压缩处理,从而可以缩短api调用序列的长度,并减少api调用序列的冗余信息,还可以扩大检测模型对api调用序列的感受野,从而提高检测模型对api调用序列的识别能力。为了进一步提升检测模型的性能,本申请还对压缩处理后的api调用序列进行填充或剪裁处理,以得到不同长度的api调用序列,并根据不同长度的api调用序列分别对检测模型进行独立训练。最终将所有训练后的检测模型进行集成,以得到具有更高检测性能的集成检测模型。
15、本申请所提供的恶意文件的检测方法,利用恶意文件检测模型的确定方法中所得到的检测模型对目标文件的行为进行检测,从而判断目标文件是否存在恶意行为。利用上述检测模型可以提高检测目标文件的行为的准确性,降低误报率以及人工成本。
16、应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
本文档来自技高网...【技术保护点】
1.一种恶意文件检测模型的确定方法,其特征在于,包括:
2.根据权利要求1所述的恶意文件检测模型的确定方法,其特征在于,所述获取样本文件对应的应用程序接口API调用序列,包括:
3.根据权利要求1或2所述的恶意文件检测模型的确定方法,其特征在于,在所述通过所述API调用序列和所述API调用序列对应的对抗样本对待训练的检测模型进行训练之前,所述方法还包括:
4.根据权利要求3所述的恶意文件检测模型的确定方法,其特征在于,所述方法还包括:
5.根据权利要求2所述的恶意文件检测模型的确定方法,其特征在于,所述获取所述样本文件对应的原始API调用序列,包括:
6.一种恶意文件的检测方法,其特征在于,包括:
7.一种恶意文件检测模型的确定装置,其特征在于,包括:
8.一种恶意文件的检测装置,其特征在于,包括:
9.一种终端,其特征在于,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,使得所述终端执行如权利要求1至5中任一项所述的恶意文件
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的恶意文件检测模型的确定方法,或实现如权利要求6所述的恶意文件的检测方法。
...【技术特征摘要】
1.一种恶意文件检测模型的确定方法,其特征在于,包括:
2.根据权利要求1所述的恶意文件检测模型的确定方法,其特征在于,所述获取样本文件对应的应用程序接口api调用序列,包括:
3.根据权利要求1或2所述的恶意文件检测模型的确定方法,其特征在于,在所述通过所述api调用序列和所述api调用序列对应的对抗样本对待训练的检测模型进行训练之前,所述方法还包括:
4.根据权利要求3所述的恶意文件检测模型的确定方法,其特征在于,所述方法还包括:
5.根据权利要求2所述的恶意文件检测模型的确定方法,其特征在于,所述获取所述样本文件对应的原始api调用序列,包括:
6.一种恶意文件的...
【专利技术属性】
技术研发人员:仲柘沩,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。