The invention discloses a malicious file detection method, which includes: acquiring the file to be detected; analyzing the file to be detected, determining the binary value corresponding to the file to be detected, and the high-level meaning corresponding to each binary value; wherein, the high-level meaning is an additional attribute of the binary value; transforming the binary value corresponding to the file to be detected, and determining the binary value corresponding to each binary value The high-level meaning corresponding to binary values is input into the neural network, and the file to be detected is detected through the neural network. It can be seen that in this scheme, when detecting the file to be detected, not only the binary value of the file is used, but also the high-level meaning corresponding to the binary value is used for comprehensive discrimination, so that the file can be discriminated from various angles The invention also discloses a malicious file detection device, a device and a computer-readable storage medium, which can also achieve the above technical effect.
【技术实现步骤摘要】
恶意文件检测方法、装置、设备及计算机可读存储介质
本专利技术涉及恶意软件检测
,更具体地说,涉及一种恶意文件检测方法、装置、设备及计算机可读存储介质。
技术介绍
随着互联网的发展,网络中恶意软件的数量急剧增加,严重影响了互联网用户的正常生活和工作,并造成巨大损失。为了解决这一问题,恶意软件检测产品营运而生,用于检测客户系统中潜伏的恶意软件。然而,现在业界普遍使用的基于规则或特征码的检测方案的有效性正在变得越来越低。一方面,规则和特征码只能处理已知的恶意软件,而对于未知攻击,例如“0day”漏洞,这些检测方案的效用通常很低。另一方便,随着攻击者技术的增长,新型态的恶意软件越来越多,这极大增加了通过安全专家来人工分析恶意样本以提取新规则或特征码的难度。目前,神经网络技术为恶意软件检测提供了新的方向:一方面,神经网络具有很强的泛化能力,通过使用少量样本进行训练就可以在未知样本集达到很好的性能。另一方面,神经网络技术不再需要使用者进行复杂的特征工程,降低了对安全专家的人工分析的依赖。但现在的基于神经网络的检测技术通常使用文件的二进制内容直接作为网络单一输入,使用通用的网络结构进行检测。而一个PE文件通常可以被分成数十甚至是上百个不同的区域,每个区域表征的信息都是不同的,并且每个区域里面的二进制数值的语义也是不同的。因此,目前将文件中所有二进制数值混杂在一起考量,会导致检测效果低下。
技术实现思路
本专利技术的目的在于提供及一种恶意文件检测方法、装置、设备及计算机可读存储介质,以提高恶意文件的 ...
【技术保护点】
1.一种恶意文件检测方法,其特征在于,包括:/n获取待检测文件;/n对所述待检测文件进行解析,确定与所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义;其中,所述高层含义为二进制值的附加属性;/n将所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义输入神经网络,通过所述神经网络对所述待检测文件进行检测;其中,所述神经网络为预先通过恶意文件集合训练生成。/n
【技术特征摘要】
1.一种恶意文件检测方法,其特征在于,包括:
获取待检测文件;
对所述待检测文件进行解析,确定与所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义;其中,所述高层含义为二进制值的附加属性;
将所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义输入神经网络,通过所述神经网络对所述待检测文件进行检测;其中,所述神经网络为预先通过恶意文件集合训练生成。
2.根据权利要求1所述的恶意文件检测方法,其特征在于,所述与每个二进制值对应的高层含义包括以下高层含义中的至少一者:
用来表征二进制值来源的高层含义,用来表征指令中二进制值的具体含义的高层含义,用来表征指令中相关二进制值在执行流中的关系的高层含义。
3.根据权利要求1所述的恶意文件检测方法,其特征在于,所述对所述待检测文件进行解析,确定与所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义,包括:
对所述待检测文件进行解析,将与所述待检测文件对应的二进制值作为第一图层,将与所述二进制值对应的高层含义作为第二图层;
将所述第一图层和所述第二图层组合生成与所述待检测文件的多图层图像;其中,所述第二图层中包括至少一个图层,且每个图层与每种类型的高层含义相对应。
4.根据权利要求3所述的恶意文件检测方法,其特征在于,所述将所述待检测文件对应的二进制值,以及与每个二进制值对应的高层含义输入神经网络,通过所述神经网络对所述待检测文件进行检测,包括:
对所述多图层图像进行降维处理,生成降维数据;
将所述降维数据输入神经网络,通过所述神经网络对所述待检测文件进行检测。
5.根据权利要求4所述的恶意文件检测方法,其特征在于,所述对所述多图层图像进行降维处理,生成降维数据包括:
利用无监督学习网络和/或有监督学习网络对所述多图层图像进行降维,生成降维数据。
6.一种恶意文件检测装置,其特征在于,包括:
获取模块,用于获取待检测文件;
确定模块,用于对所述待检测...
【专利技术属性】
技术研发人员:刘彦南,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。