恶意文件检测方法、装置、设备及计算机可读存储介质制造方法及图纸

本发明专利技术公开了一种恶意文件检测方法，包括：获取待检测文件；对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；可见，在本方案中，在对待检测文件进行检测时，不仅仅利用文件的二进制值，还需要利用与二进制值对应的高层含义来进行综合判别，从而实现了多种角度对文件进行判别，提高了文件检测精度以及对恶意文件的检测效果；本发明专利技术还公开了一种恶意文件检测装置、设备及计算机可读存储介质，同样能实现上述技术效果。

Malicious file detection methods, devices, devices and computer readable storage media

The invention discloses a malicious file detection method, which includes: acquiring the file to be detected; analyzing the file to be detected, determining the binary value corresponding to the file to be detected, and the high-level meaning corresponding to each binary value; wherein, the high-level meaning is an additional attribute of the binary value; transforming the binary value corresponding to the file to be detected, and determining the binary value corresponding to each binary value The high-level meaning corresponding to binary values is input into the neural network, and the file to be detected is detected through the neural network. It can be seen that in this scheme, when detecting the file to be detected, not only the binary value of the file is used, but also the high-level meaning corresponding to the binary value is used for comprehensive discrimination, so that the file can be discriminated from various angles The invention also discloses a malicious file detection device, a device and a computer-readable storage medium, which can also achieve the above technical effect.

【技术实现步骤摘要】
恶意文件检测方法、装置、设备及计算机可读存储介质
本专利技术涉及恶意软件检测
，更具体地说，涉及一种恶意文件检测方法、装置、设备及计算机可读存储介质。
技术介绍
随着互联网的发展，网络中恶意软件的数量急剧增加，严重影响了互联网用户的正常生活和工作，并造成巨大损失。为了解决这一问题，恶意软件检测产品营运而生，用于检测客户系统中潜伏的恶意软件。然而，现在业界普遍使用的基于规则或特征码的检测方案的有效性正在变得越来越低。一方面，规则和特征码只能处理已知的恶意软件，而对于未知攻击，例如“0day”漏洞，这些检测方案的效用通常很低。另一方便，随着攻击者技术的增长，新型态的恶意软件越来越多，这极大增加了通过安全专家来人工分析恶意样本以提取新规则或特征码的难度。目前，神经网络技术为恶意软件检测提供了新的方向：一方面，神经网络具有很强的泛化能力，通过使用少量样本进行训练就可以在未知样本集达到很好的性能。另一方面，神经网络技术不再需要使用者进行复杂的特征工程，降低了对安全专家的人工分析的依赖。但现在的基于神经网络的检测技术通常使用文件的二进制内容直接作为网络单一输入，使用通用的网络结构进行检测。而一个PE文件通常可以被分成数十甚至是上百个不同的区域，每个区域表征的信息都是不同的，并且每个区域里面的二进制数值的语义也是不同的。因此，目前将文件中所有二进制数值混杂在一起考量，会导致检测效果低下。
技术实现思路
本专利技术的目的在于提供及一种恶意文件检测方法、装置、设备及计算机可读存储介质，以提高恶意文件的检测效果。为实现上述目的，本专利技术实施例提供了如下技术方案：一种恶意文件检测方法，包括：获取待检测文件；对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；其中，所述神经网络为预先通过恶意文件集合训练生成。其中，所述与每个二进制值对应的高层含义包括以下高层含义中的至少一者：用来表征二进制值来源的高层含义，用来表征指令中二进制值的具体含义的高层含义，用来表征指令中相关二进制值在执行流中的关系的高层含义。其中，所述对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义，包括：对所述待检测文件进行解析，将与所述待检测文件对应的二进制值作为第一图层，将与所述二进制值对应的高层含义作为第二图层；将所述第一图层和所述第二图层组合生成与所述待检测文件的多图层图像；其中，所述第二图层中包括至少一个图层，且每个图层与每种类型的高层含义相对应。其中，所述将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测，包括：对所述多图层图像进行降维处理，生成降维数据；将所述降维数据输入神经网络，通过所述神经网络对所述待检测文件进行检测。其中，所述对所述多图层图像进行降维处理，生成降维数据包括：利用无监督学习网络和/或有监督学习网络对所述多图层图像进行降维，生成降维数据。一种恶意文件检测装置，包括：获取模块，用于获取待检测文件；确定模块，用于对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；检测模块，用于将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；其中，所述神经网络为预先通过恶意文件集合训练生成。其中，所述高层含义包括以下高层含义中的至少一者：用来表征二进制值来源的高层含义，用来表征指令中二进制值的具体含义的高层含义，用来表征指令中相关二进制值在执行流中的关系的高层含义其中，所述确定模块包括：图层确定单元，用于对所述待检测文件进行解析，将与所述待检测文件对应的二进制值作为第一图层，将与所述二进制值对应的高层含义作为第二图层；其中，所述第二图层中包括至少一个图层，且每个图层与每种类型的高层含义相对应；多图层图像确定单元，用于将所述第一图层和所述第二图层组合生成与所述待检测文件的多图层图像。其中，所述检测模块包括：数据降维单元，用于对所述多图层图像进行降维处理，生成降维数据；文件检测单元，用于将所述降维数据输入神经网络，通过所述神经网络对所述待检测文件进行检测。其中，所述数据降维单元具体用于：利用无监督学习网络和/或有监督学习网络对所述多图层图像进行降维，生成降维数据。一种恶意文件检测设备，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现上述恶意文件检测方法的步骤。一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述恶意文件检测方法的步骤。通过以上方案可知，本专利技术实施例提供的一种恶意文件检测方法，包括：获取待检测文件；对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；可见，在本方案中，在对待检测文件进行检测时，不仅仅利用文件的二进制值，还需要利用与二进制值对应的高层含义来进行综合判别，从而实现了多种角度对文件进行判别，提高了文件检测精度以及对恶意文件的检测效果；本专利技术还公开了一种恶意文件检测装置、设备及计算机可读存储介质，同样能实现上述技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例公开的一种恶意文件检测方法流程示意图；图2为本专利技术实施例公开的一种具体的恶意文件检测方法流程示意图；图3为本专利技术实施例公开的具体的恶意文件检测流程图；图4为本专利技术实施例公开的一种恶意文件检测装置结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。本专利技术实施例公开了一种恶意文件检测方法、装置、设备及计算机可读存储介质，以提高恶意文件的检测效果。参见图1，本专利技术实施例提本文档来自技高网...

【技术保护点】
1.一种恶意文件检测方法，其特征在于，包括：/n获取待检测文件；/n对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；/n将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；其中，所述神经网络为预先通过恶意文件集合训练生成。/n

【技术特征摘要】
1.一种恶意文件检测方法，其特征在于，包括：
获取待检测文件；
对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；
将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；其中，所述神经网络为预先通过恶意文件集合训练生成。


2.根据权利要求1所述的恶意文件检测方法，其特征在于，所述与每个二进制值对应的高层含义包括以下高层含义中的至少一者：
用来表征二进制值来源的高层含义，用来表征指令中二进制值的具体含义的高层含义，用来表征指令中相关二进制值在执行流中的关系的高层含义。


3.根据权利要求1所述的恶意文件检测方法，其特征在于，所述对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义，包括：
对所述待检测文件进行解析，将与所述待检测文件对应的二进制值作为第一图层，将与所述二进制值对应的高层含义作为第二图层；
将所述第一图层和所述第二图层组合生成与所述待检测文件的多图层图像；其中，所述第二图层中包括至少一个图层，且每个图层与每种类型的高层含义相对应。


4.根据权利要求3所述的恶意文件检测方法，其特征在于，所述将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测，包括：
对所述多图层图像进行降维处理，生成降维数据；
将所述降维数据输入神经网络，通过所述神经网络对所述待检测文件进行检测。


5.根据权利要求4所述的恶意文件检测方法，其特征在于，所述对所述多图层图像进行降维处理，生成降维数据包括：
利用无监督学习网络和/或有监督学习网络对所述多图层图像进行降维，生成降维数据。


6.一种恶意文件检测装置，其特征在于，包括：
获取模块，用于获取待检测文件；
确定模块，用于对所述待检测...

【专利技术属性】
技术研发人员：刘彦南，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44