【技术实现步骤摘要】
一种恶意代码的分类方法、装置、设备及存储介质
[0001]本专利技术实施例涉及计算机数据处理技术,尤其涉及一种恶意代码的分类方法、装置、设备及存储介质。
技术介绍
[0002]恶意代码是互联网诞生以来,一直被认为是重要的网络安全方向之一。随着各种数据传输加密技术的广泛应用,流量加密已经成为当前网络应用中的标准做法,特别是为了避免防火墙和入侵检测系统的检测,各种恶意流量都采用安全套接字层等技术对其通信流量进行加密,从而促进了流量分析等技术。
[0003]目前常见的基于机器学习的恶意代码识别方式都是大都将恶意代码转换为图像等方法。主要存在两个主要缺陷:一是在训练数据方面,大部分的算法都是的开源数据进行训练,这会导致很多国内应用流量被误报或影响模型的准确率;二是针对将转化为图像,在实际检测时,往往会被判断为其他应用,单纯用深度学习模型,会出现大量漏报情况,需要根据流量做进一步分析。
技术实现思路
[0004]本专利技术实施例提供了一种恶意代码的分类方法、装置、设备及存储介质,以实现恶意代码的检索、识别以及分类的问题,提高了防护力度,降低了恶意代码带来的危害。
[0005]第一方面,本专利技术实施例提供了一种恶意代码的分类方法,其中,包括:
[0006]获取待识别代码,并将待识别代码映射为目标二维图像;
[0007]形成与目标二维图像对应的特征集合,特征集合包括能量、熵、对比度、均匀性、相关性、方差、和平均、和方差、和熵、差方差、差平均、差熵、相关信息测度以及最大相关系数;r/>[0008]将目标二维图像的特征集合输入至预先训练的恶意代码分类模型中,获取对所述待识别代码的分类结果;
[0009]其中,所述分类结果中包括:待识别代码是否为恶意代码,以及待识别代码为恶意代码时,所述待识别代码的恶意代码类型。
[0010]第二方面,本专利技术实施例还提供了一种恶意代码的分类装置,该恶意代码的分类装置包括:
[0011]待识别代码获取模块,用于获取待识别代码,并将待识别代码映射为目标二维图像;
[0012]特征集合形成模块,用于形成与目标二维图像对应的特征集合,特征集合包括能量、熵、对比度、均匀性、相关性、方差、和平均、和方差、和熵、差方差、差平均、差熵、相关信息测度以及最大相关系数;
[0013]分类结果获取模块,用于将目标二维图像的特征集合输入至预先训练的恶意代码分类模型中,获取对所述待识别代码的分类结果;
[0014]其中,所述分类结果中包括:待识别代码是否为恶意代码,以及待识别代码为恶意
代码时,所述待识别代码的恶意代码类型。
[0015]第三方面,本专利技术实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述计算机程序时实现如本专利技术任意实施例所述的恶意代码的分类方法。
[0016]第四方面,本专利技术实施例还提供了一种包含计算机可执行指令的存储介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如本专利技术任意实施例所述的恶意代码的分类方法。
[0017]本专利技术实施例所提供的技术方案,通过获取待识别代码,并将待识别代码映射为目标二维图像;形成与目标二维图像对应的特征集合;将目标二维图像的特征集合输入至预先训练的恶意代码分类模型中,获取对所述待识别代码的分类结果。本专利技术实施例,通过上述方法,解决了对恶意代码的检索、识别和分类问题。实现了对恶意代码的防护力度的加强,并且进一步地防范和消除恶意代码带来的危害。
附图说明
[0018]图1a为本专利技术实施例一提供的一种恶意代码的分类方法的流程图;
[0019]图1b为本专利技术实施例一提供的一种恶意代码的分类方法中的一种具体应用场景的流程图;
[0020]图2是本专利技术实施例二提供的一种恶意代码的分类装置的结构示意图;
[0021]图3是本专利技术实施例三提供的一种计算机设备的结构示意图。
具体实施方式
[0022]下面结合附图和实施例对本专利技术作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本专利技术,而非对本专利技术的限定。
[0023]另外还需要说明的是,为了便于描述,附图中仅示出了与本专利技术相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
[0024]本专利技术实施例的说明书和权利要求书及附图中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有设定于已列出的步骤或单元,而是可包括没有列出的步骤或单元。
[0025]实施例一
[0026]图1a为本专利技术实施例一提供的一种恶意代码的分类方法的流程图。本实施例可适用于网络安全中对恶意代码的检索、识别以及分类的情况。本实施例的方法可以由恶意代码的分类装置执行,该装置可以通过软件和/或硬件的方式实现,该装置可配置于服务器或者终端设备中。
[0027]相应的,该方法具体包括如下步骤:
[0028]S110、获取待识别代码,并将待识别代码映射为目标二维图像;
[0029]其中,待识别代码可以是网络或者计算机运行过程中等待识别的代码,可以具体包括恶意代码和非恶意代码,也就是指没有作用却会带来危险的代码。在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。具体的,恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门以及逻辑炸弹等。二维图像可以是指不包含深度信息的平面图像。二维即左右、上下四个方向,不存在前后,在一张纸上的内容就可以看做成是二维,即只有面积,没有体积。具体的,是将待识别代码映射为目标二维图像。
[0030]示例性的,将待识别代码映射为目标二维图像可以使用B2M系列算法。其本质功能是,将待识别代码文件映射到二维图像,将待识别代码分析转化为图像分析,应用深度学习强大的计算能力实现对恶意代码分析。待识别代码执行文件一般是二进制文件,对于待识别代码可执行文件,读取8位为一个无符号的整形,固定的行宽为一个向量,整个文件最后生成一个二维数组。因此,此数组转化为一个灰阶图像,该二维数组中每个元素的范围为0
‑
255,正好为灰度图像中每个像素的取值范围,即每个数组元素对应图像中的一个像素。同一个家族的恶意代码拥有相似的共性。则可以将待识别代码映射为目标二维图像。<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意代码的分类方法,其特征在于,包括:获取待识别代码,并将待识别代码映射为目标二维图像;形成与目标二维图像对应的特征集合,特征集合包括能量、熵、对比度、均匀性、相关性、方差、和平均、和方差、和熵、差方差、差平均、差熵、相关信息测度以及最大相关系数;将目标二维图像的特征集合输入至预先训练的恶意代码分类模型中,获取对所述待识别代码的分类结果;其中,所述分类结果中包括:待识别代码是否为恶意代码,以及待识别代码为恶意代码时,所述待识别代码的恶意代码类型。2.根据权利要求1所述的方法,其特征在于,在获取待识别代码,并将待识别代码映射为目标二维图像之前,还包括:在标准恶意代码库中抓取至少一个标准恶意代码,并将每个标准恶意代码分别映射为二维图像;生成与各二维图像对应的恶意代码类型和特征集合,并根据与各二维图像对应的恶意代码类型和特征集合,构建多个训练样本;使用各所述训练样本,训练得到恶意代码分类模型。3.根据权利要求2所述的方法,其特征在于,将每个标准恶意代码分别映射为二维图像,包括:针对每个标准恶意代码中的各代码符号,形成与每个标准恶意代码分别对应的二维数组;将各二维数组中包括的各数组元素分别映射为一个灰度像素值,得到与每个标准恶意代码分别对应的二维图像。4.根据权利要求2所述的方法,其特征在于,生成与各二维图像对应的恶意代码类型,包括:生成与各二维图像对应的图像纹理特征;根据预设的图像纹理特征与恶意代码类型之间的映射关系,生成与各二维图像对应的恶意代码类型。5.根据权利要求4所述的方法,其特征在于,根据预设的图像纹理特征与恶意代码类型之间的映射关系,生成与各二维图像对应的恶意代码类型,包括:如果确定当前处理的目标二维图像的图像纹理特征落入所述映射关系中,在所述映射关系中,获取与目标二维图像对应的恶意代码类型;如...
【专利技术属性】
技术研发人员:郑开发,史帅,尚程,杨满智,蔡琳,傅强,梁彧,田野,王杰,金红,陈晓光,
申请(专利权)人:北京恒安嘉新安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。