[发明专利]恶意文件检测方法、装置、设备及计算机可读存储介质

说明书

本发明公开了一种恶意文件检测方法，包括：获取待检测文件；对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；可见，在本方案中，在对待检测文件进行检测时，不仅仅利用文件的二进制值，还需要利用与二进制值对应的高层含义来进行综合判别，从而实现了多种角度对文件进行判别，提高了文件检测精度以及对恶意文件的检测效果；本发明还公开了一种恶意文件检测装置、设备及计算机可读存储介质，同样能实现上述技术效果。

技术领域

本发明涉及恶意软件检测技术领域，更具体地说，涉及一种恶意文件检测方法、装置、设备及计算机可读存储介质。

背景技术

随着互联网的发展，网络中恶意软件的数量急剧增加，严重影响了互联网用户的正常生活和工作，并造成巨大损失。为了解决这一问题，恶意软件检测产品营运而生，用于检测客户系统中潜伏的恶意软件。然而，现在业界普遍使用的基于规则或特征码的检测方案的有效性正在变得越来越低。一方面，规则和特征码只能处理已知的恶意软件，而对于未知攻击，例如“0day”漏洞，这些检测方案的效用通常很低。另一方便，随着攻击者技术的增长，新型态的恶意软件越来越多，这极大增加了通过安全专家来人工分析恶意样本以提取新规则或特征码的难度。目前，神经网络技术为恶意软件检测提供了新的方向：一方面，神经网络具有很强的泛化能力，通过使用少量样本进行训练就可以在未知样本集达到很好的性能。另一方面，神经网络技术不再需要使用者进行复杂的特征工程，降低了对安全专家的人工分析的依赖。

但现在的基于神经网络的检测技术通常使用文件的二进制内容直接作为网络单一输入，使用通用的网络结构进行检测。而一个PE文件通常可以被分成数十甚至是上百个不同的区域，每个区域表征的信息都是不同的，并且每个区域里面的二进制数值的语义也是不同的。因此，目前将文件中所有二进制数值混杂在一起考量，会导致检测效果低下。

发明内容

本发明的目的在于提供及一种恶意文件检测方法、装置、设备及计算机可读存储介质，以提高恶意文件的检测效果。

为实现上述目的，本发明实施例提供了如下技术方案：

一种恶意文件检测方法，包括：

获取待检测文件；

对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义；其中，所述高层含义为二进制值的附加属性；

将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测；其中，所述神经网络为预先通过恶意文件集合训练生成。

其中，所述与每个二进制值对应的高层含义包括以下高层含义中的至少一者：

用来表征二进制值来源的高层含义，用来表征指令中二进制值的具体含义的高层含义，用来表征指令中相关二进制值在执行流中的关系的高层含义。

其中，所述对所述待检测文件进行解析，确定与所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义，包括：

对所述待检测文件进行解析，将与所述待检测文件对应的二进制值作为第一图层，将与所述二进制值对应的高层含义作为第二图层；

将所述第一图层和所述第二图层组合生成与所述待检测文件的多图层图像；其中，所述第二图层中包括至少一个图层，且每个图层与每种类型的高层含义相对应。

其中，所述将所述待检测文件对应的二进制值，以及与每个二进制值对应的高层含义输入神经网络，通过所述神经网络对所述待检测文件进行检测，包括：

对所述多图层图像进行降维处理，生成降维数据；