一种基于AI技术的恶意代码被动检测方法及系统技术方案

本发明专利技术涉及一种基于AI技术的恶意代码被动检测方法及系统，其方法包括：S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若待测程序不是已知程序，则转至S2；S2：对待测程序进行加壳检验，按照其加壳方式对待测程序调用脱壳脚本，进行自动化脱壳处理；S3：提取待测程序的静态特征，结合训练好的静态分类器进行恶意软件检测与分类，如果判定待测程序类别为恶意程序，则输出其类别，并将其加入黑白名单数据库，否则转入S4；S4：提取待测程序的动态特征，结合训练好的动态分类器进行恶意软件检测与分类，输出待测程序的类别，并将其加入黑白名单数据库。本发明专利技术提供的方法为恶意代码的判别及分类提供有力的数据支持。的数据支持。的数据支持。

【技术实现步骤摘要】
一种基于AI技术的恶意代码被动检测方法及系统


[0001]本专利技术涉及信息安全
，具体涉及一种基于AI技术的恶意代码被动检测方法及系统。

技术介绍

[0002]恶意代码的威胁极大，能够快速进行自我复制，并对计算机进行攻击。常见的恶意代码包括计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。由于恶意代码本身即为一段程序代码，可以在很隐蔽的情况下嵌入到正常合法的程序中，通过运行合法的程序而自动运行，从而达到破坏被感染计算机的数据、程序以及对被感染计算机进行信息窃取等目的。恶意代码经过多年的发展，破坏性、种类和感染性都得到极大的增强。而且，随着计算机网络化程度的不断普及，网络传播的恶意代码造成的影响和危害越来越大。目前，恶意代码的检测是安全领域研究的热点之一。早期的恶意软件往往实现的恶意目标比较单一，容易被检测到。但是随着黑客技术的不断提高，恶意代码的隐蔽性越来越强，破坏性大而且难以检测。一个恶意软件往往会呈现多个类别的特征，从而绕过运行在内核模式下的防火墙、防病毒等恶意代码防护软件。
[0003]针对上述问题，CN202111297733.2给出了一种恶意代码检测方法，在获取待检测的目标代码包后，通过采用预设神经网络模型对所述目标代码包进行特征提取，以获取所述目标代码包的两轮特征信息，然后结合两轮检测结果确定所述目标代码包中的恶意代码包情况。CN202111119216.6给出了一种基于改进CNN网络的恶意代码检测方法，通过图像化技术将恶意代码转换成灰度图像特征，再通过N
‑
Gram技术提取恶意代码的操作码序列特征，通过特征融合技术将全局特征和局部特征进行特征融合，得到的融合特征输入到改进的卷积神经网络模型训练并选用合适的分类器进行检测。CN202111061961.X给出了一种恶意代码检测的方法，通过将可执行程序代码在动态沙箱中模拟运行，获取数据集；利用数据集训练XGBoost模型；利用数据集训练TextCNN模型；将实时采集的数据分别输入训练好的XGBoost模型和训练好的TextCNN模型，将两个模型的输出结果进行归一化处理得到最终的预测结果，提高了恶意代码的识别率。
[0004]综上，目前的方法及系统无法解决如下问题：(1)对经过精心伪装后的恶意代码检测存在一定不足；(2)对恶意代码单纯采用静态分析或动态分析的方法，影响了恶意代码检测的准确率和效率。

技术实现思路

[0005]为了解决上述技术问题，本专利技术提供一种基于AI技术的恶意代码被动检测方法及系统。
[0006]本专利技术技术解决方案为：一种基于AI技术的恶意代码被动检测方法，包括：
[0007]步骤S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若所述待测程序不是所述已知程序，则转至步骤S2；其中，所述已知程序包括：正常
程序和恶意程序；
[0008]步骤S2：对所述待测程序进行加壳检验，按照其加壳方式对所述待测程序调用脱壳脚本，进行自动化脱壳处理；
[0009]步骤S3：提取所述待测程序的静态特征，结合训练好的静态分类器进行恶意软件检测与分类，如果判定所述待测程序类别为恶意程序，则输出其类别，并将其加入所述黑白名单数据库，否则转入步骤S4；
[0010]步骤S4：提取所述待测程序的动态特征，结合训练好的动态分类器进行恶意软件检测与分类，输出所述待测程序的类别，并将其加入所述黑白名单数据库。
[0011]本专利技术与现有技术相比，具有以下优点：
[0012]本专利技术公开了一种基于AI技术的恶意代码被动检测方法，能够对恶意代码进行自动化查壳检测，并对常见的压缩壳、加密壳进行自动化脱壳；通过设定的黑白名单对待测程序进行快速过滤，删除其中的重复样本和已知样本；先采用静态检测提高恶意代码的检测效率，然后采用动态检测提高检测的准确率，从而为恶意代码的判别及分类提供有力的数据支持。
附图说明
[0013]图1为本专利技术实施例中一种基于AI技术的恶意代码被动检测方法的流程图；
[0014]图2A为本专利技术实施例中RNN网络架构示意图；
[0015]图2B为本专利技术实施例中利用RNN网络生成特征图像流程示意图；
[0016]图3为本专利技术实施例中CNN网络架构示意图；
[0017]图4为本专利技术实施例中一种基于AI技术的恶意代码被动检测方法流程示意图；
[0018]图5为本专利技术实施例中一种基于AI技术的恶意代码被动检测系统的结构框图；
[0019]图6为本专利技术实施例中一种基于AI技术的恶意代码被动检测系统的流程示意框图。
具体实施方式
[0020]本专利技术提供了一种基于AI技术的恶意代码被动检测方法，通过首先对从待测程序进行黑白名单判定，然后进行脱壳处理，最后采用先静态检测提高检测效率，后动态检测提高准确率的方法，为恶意代码的判别及分类提供有力的数据支持。
[0021]为了使本专利技术的目的、技术方案及优点更加清楚，以下通过具体实施，并结合附图，对本专利技术进一步详细说明。
[0022]实施例一
[0023]如图1所示，本专利技术实施例提供的一种基于AI技术的恶意代码被动检测方法，包括下述步骤：
[0024]步骤S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若待测程序不是已知程序，则转至步骤S2；其中，已知程序包括：正常程序和恶意程序；
[0025]步骤S2：对待测程序进行加壳检验，按照其加壳方式对待测程序调用脱壳脚本，进行自动化脱壳处理；
[0026]步骤S3：提取待测程序的静态特征，结合训练好的静态分类器进行恶意软件检测与分类，如果判定待测程序类别为恶意程序，则输出其类别，并将其加入黑白名单数据库，否则转入步骤S4；
[0027]步骤S4：提取待测程序的动态特征，结合训练好的动态分类器进行恶意软件检测与分类，输出待测程序的类别，并将其加入黑白名单数据库。
[0028]在一个实施例中，上述步骤S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若待测程序不是已知程序，则转至步骤S2；其中，已知程序包括：正常程序和恶意程序，具体包括：
[0029]步骤S11：利用MD5
‑
Hash函数将待测程序映射到有限长度的域上，将计算得到的Hash值作为待测程序的唯一身份标识；
[0030]步骤S12：通过字符串匹配的方式，将Hash值与黑白名单数据库中已知程序的Hash值进行快速匹配，若待测程序不是已知程序，则转至步骤S2；其中，黑白名单数据库是指存放已检测过的所有程序Hash值的数据库，白名单指的是正常程序的Hash值集合，黑名单指的是恶意程序的Hash值集合。
[0031]本专利技术实施例根据计算得到的程序Hash值，利用预先设定的黑白名单对待测程序进行快速过滤，筛除已有明确结果的程序样本，避免对相同样本的重复检测，降低系统开销。
本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于AI技术的恶意代码被动检测方法，其特征在于，包括：步骤S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若所述待测程序不是所述已知程序，则转至步骤S2；其中，所述已知程序包括：正常程序和恶意程序；步骤S2：对所述待测程序进行加壳检验，按照其加壳方式对所述待测程序调用脱壳脚本，进行自动化脱壳处理；步骤S3：提取所述待测程序的静态特征，结合训练好的静态分类器进行恶意软件检测与分类，如果判定所述待测程序类别为恶意程序，则输出其类别，并将其加入所述黑白名单数据库，否则转入步骤S4；步骤S4：提取所述待测程序的动态特征，结合训练好的动态分类器进行恶意软件检测与分类，输出所述待测程序的类别，并将其加入所述黑白名单数据库。2.根据权利要求1所述的基于AI技术的恶意代码被动检测方法，其特征在于，所述步骤S1：计算待测程序的Hash值，将其与黑白名单数据库中已知程序的Hash值进行对比，若所述待测程序不是所述已知程序，则转至步骤S2；其中，所述已知程序包括：正常程序和恶意程序，具体包括：步骤S11：利用MD5
‑
Hash函数将所述待测程序映射到有限长度的域上，将计算得到的Hash值作为所述待测程序的唯一身份标识；步骤S12：通过字符串匹配的方式，将所述Hash值与黑白名单数据库中已知程序的Hash值进行快速匹配，若所述待测程序不是所述已知程序，则转至步骤S2；其中，所述黑白名单数据库是指存放已检测过的所有程序Hash值的数据库，所述白名单指的是正常程序的Hash值集合，所述黑名单指的是恶意程序的Hash值集合。3.根据权利要求1所述的基于AI技术的恶意代码被动检测方法，其特征在于，所述步骤S2：对所述待测程序进行加壳检验，按照其加壳方式对所述待测程序调用脱壳脚本，进行自动化脱壳处理，具体包括：步骤S21：对加壳特征进行分析，确定所述待测程序是否加壳，若判定所述待测程序已加壳，则确定其加壳方式及版本，则转至步骤S22，否则转至步骤S3；步骤S22：基于所述加壳方式及版本，调用对应的脱壳脚本进行脱壳，若脱壳成功，则得到脱壳程序并转至步骤S3，若脱壳失败，则将所述待测程序存档保存。4.根据权利要求1所述的基于AI技术的恶意代码被动检测方法，其特征在于，所述步骤S3：提取所述待测程序的静态特...

【专利技术属性】
技术研发人员：门嘉平，于春华，
申请(专利权)人：北京国联天成信息技术有限公司，
类型：发明
国别省市：