【技術實現步驟摘要】
本申請涉及應用安全,具體而言,涉及一種惡意代碼檢測方法、裝置、電子設備及存儲介質。
技術介紹
1、現有的惡意代碼檢測方法如利用二進制文件直接轉化為灰度圖,生成的灰度圖像的大小不確定,且需要在剪裁、縮放操作后才能輸入檢測模型導致圖像信息的丟失,且灰度圖像包含的細節信息較少,無法全面展示惡意代碼的行為特征和語義信息,影響檢測結果的準確性。
技術實現思路
1、本申請實施例的目的在于提供一種惡意代碼檢測方法、裝置、電子設備及存儲介質,rgb三通道圖像能夠全面展示惡意代碼的行為特征和語義信息,且生成的rgb三通道圖像具有標準化尺寸可直接作為模型輸入,提高檢測結果的準確性,解決了現有方法無法包含全面信息導致檢測結果不準確的問題。
2、本申請實施例提供了一種惡意代碼檢測方法,所述方法包括:
3、獲取待檢測樣本的匯編代碼并從所述匯編代碼中提取出操作碼序列;
4、計算所述操作碼序列的局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣;
5、將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣對應填充到rgb圖像的三個通道中,以生成rgb圖像;
6、將所述rgb圖像輸入預訓練的圖像分類模型中,以確定所述待檢測樣本是否為惡意代碼。
7、在上述實現過程中,將待檢測樣本轉化為rgb圖像,rgb圖像能夠充分利用原文件信息,且生成的rgb圖像具有標準化的尺寸,滿足檢測模型的格式要求,可直接作為輸入,無需剪
8、進一步地,所述計算所述操作碼序列的局部敏感哈希值,包括:
9、計算所述操作碼序列的simhash值;
10、將計算得到的simhash值重排為16*16的矩陣,并縮放到256*256的大小。
11、在上述實現過程中,計算操作碼序列的局部敏感哈希值并作為r通道數據。
12、進一步地,所述計算所述操作碼序列的simhash值,包括:
13、利用hash算法計算每個操作碼的hash值;
14、對每個操作碼的hash值進行轉換和加權,以獲得轉換和加權后的序列值;
15、對所有操作碼的序列值進行按位累加并將累加結果轉換為01字符串。
16、在上述實現過程中,利用simhash算法計算simhash值,以表征不同操作碼序列之間的相似性。
17、進一步地,所述計算所述操作碼序列的第一馬爾科夫概率轉移矩陣,包括:
18、獲取待處理操作碼序列:若所述操作碼序列的長度大于256,則獲取頻率最高的256個操作碼;若所述操作碼序列的長度小于256,則利用空字符串將所述操作碼序列填充至256;
19、利用長度為2個字節的滑動窗口從所述待處理操作碼序列的第一個操作碼滑動至最后一個操作碼,對于落于窗口中的相鄰兩個操作碼,將其出現頻率在操作碼序列中所有操作碼頻率的排序作為其下標,在第二通道對應下標位置加1。
20、在上述實現過程中,利用長度為2個字節的滑動窗口得到的第一馬爾科夫概率轉移矩陣作為g通道數據,利用馬爾可夫概率轉移矩陣增加了操作碼序列中相鄰操作碼轉換模式的特征,即能夠同時利用操作碼頻率和順序的特征,因此能夠增加模型檢測的穩定性和精度。
21、進一步地,所述計算所述操作碼序列的第二馬爾科夫概率轉移矩陣,包括:
22、獲取待處理操作碼序列:若所述操作碼序列的長度大于256,則獲取頻率最高的256個操作碼;若所述操作碼序列的長度小于256,則利用空字符串將所述操作碼序列填充至256;
23、利用長度為3個字節的滑動窗口從所述待處理操作碼序列的第一個操作碼滑動至最后一個操作碼,對于落于窗口中的間隔兩個操作碼,將其出現頻率在操作碼序列中所有操作碼頻率的排序作為其下標,在第三通道對應下標位置加1。
24、在上述實現過程中,利用長度為3個字節的滑動窗口得到的第一馬爾科夫概率轉移矩陣作為b通道數據,利用馬爾可夫概率轉移矩陣增加了操作碼序列中相鄰操作碼轉換模式的特征,即能夠同時利用操作碼頻率和順序的特征,因此能夠增加模型檢測的穩定性和精度。
25、進一步地,所述將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣對應填充到rgb圖像的三個通道中,以生成rgb圖像,包括:
26、將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣對應作為r通道數據、g通道數據和b通道數據,并生成大小為3×256×256的張量a;
27、對所述張量中的每一列進行歸一化處理:
28、
29、將所述張量中的元素進行縮放和二值化處理,并利用處理后的張量生成rgb圖像。
30、在上述實現過程中,利用張量a生成大小為3×256×256的rgb圖像,可直接作為模型輸入,避免了剪裁等導致的圖像信息的丟失問題,進而影響了檢測結果的準確性。
31、本申請實施例還提供一種惡意代碼檢測裝置,所述裝置包括:
32、操作碼序列獲取模塊,用于獲取待檢測樣本的匯編代碼并從所述匯編代碼中提取出操作碼序列;
33、數據計算模塊,用于計算所述操作碼序列的局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣;
34、rgb圖像生成模塊,用于將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣對應填充到rgb圖像的三個通道中,以生成rgb圖像;
35、分類模塊,用于將所述rgb圖像輸入預訓練的圖像分類模型中,以確定所述待檢測樣本是否為惡意代碼。
36、在上述實現過程中,將待檢測樣本轉化為rgb圖像,rgb圖像能夠充分利用原文件信息,且生成的rgb圖像具有標準化的尺寸,滿足檢測模型的格式要求,可直接作為輸入,無需剪裁,rgb三通道圖像能夠全面展示惡意代碼的行為特征和語義信息,提高檢測結果的準確性,解決了現有方法無法包含細節信息導致檢測結果不準確的問題。
37、進一步地,所述數據計算模塊包括哈希值計算模塊,所述哈希值計算模塊包括:
38、simhash值計算模塊,用于計算所述操作碼序列的simhash值;
39、重排模塊,用于將計算得到的simhash值重排為16*16的矩陣,并縮放到256*256的大小。
40、在上述實現過程中,計算操作碼序列的局部敏感哈希值并作為r通道數據。
41、本申請實施例還提供一種電子設備,所述電子設備包括存儲器以及處理器,所述存儲器用于存儲計算機程序,所述處理器運行計算機程序以使所述電子設備執行上述中任一項所述的惡意代碼檢測方法。
42、本申請實施例還提供一種可讀存儲介質,所述本文檔來自技高網...
【技術保護點】
1.一種惡意代碼檢測方法,其特征在于,所述方法包括:
2.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的局部敏感哈希值,包括:
3.根據權利要求2所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的SimHash值,包括:
4.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的第一馬爾科夫概率轉移矩陣,包括:
5.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的第二馬爾科夫概率轉移矩陣,包括:
6.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬爾科夫概率轉移矩陣對應填充到RGB圖像的三個通道中,以生成RGB圖像,包括:
7.一種惡意代碼檢測裝置,其特征在于,所述裝置包括:
8.根據權利要求7所述的惡意代碼檢測裝置,其特征在于,所述數據計算模塊包括哈希值計算模塊,所述哈希值計算模塊包括:
9.一種電子設備,其特征在于,所述電子設備包括存儲器以
10.一種可讀存儲介質,其特征在于,所述可讀存儲介質中存儲有計算機程序指令,所述計算機程序指令被一處理器讀取并運行時,執行權利要求1至6中任一項所述的惡意代碼檢測方法。
...【技術特征摘要】
1.一種惡意代碼檢測方法,其特征在于,所述方法包括:
2.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的局部敏感哈希值,包括:
3.根據權利要求2所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的simhash值,包括:
4.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的第一馬爾科夫概率轉移矩陣,包括:
5.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述計算所述操作碼序列的第二馬爾科夫概率轉移矩陣,包括:
6.根據權利要求1所述的惡意代碼檢測方法,其特征在于,所述將所述局部敏感哈希值、第一馬爾科夫概率轉移矩陣和第二馬...
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。