[发明专利]一种恶意文件检测方法、系统、设备及计算机存储介质

说明书

本申请公开了一种恶意文件检测方法、系统、设备及计算机存储介质，获取目标恶意文件；输入目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收生成模型对目标恶意文件进行变种后生成的变种文件；将恶意文件检测引擎作为生成式对抗网络的判别模型，基于变种文件对判别模型进行训练，以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的恶意文件检测方法，借助生成式对抗网络自动生成目标恶意文件的变种文件以及对判别模型进行训练，提高了恶意文件检测方法的运行效率。本申请提供的恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。

技术领域

本申请涉及信息安全技术领域，更具体地说，涉及一种恶意文件检测方法、系统、设备及计算机存储介质。

背景技术

在计算机、服务器等设备的运行过程中，可能遭受恶意文件的破坏，恶意文件指的是能够攻击设备对设备造成破坏的文件，为了保护设备的安全，需要对恶意文件进行检测。

现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测，本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力，而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本，所以为了提高恶意文件检测引擎的泛化能力，需要丰富恶意文件检测引擎的训练样本集合，比如直接对恶意文件样本应用传统的恶意文件免杀手段，如加壳混淆等，来模拟变种文件的生成，但是传统的恶意文件免杀手段的使用需要人工介入，使得变种文件的生成速率较慢，影响恶意文件检测方法的运行效率。

综上所述，如何提高恶意文件检测方法的运行效率是目前本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种恶意文件检测方法，其能在一定程度上解决如何提高恶意文件检测方法的运行效率的技术问题。本申请还提供了一种恶意文件检测系统、设备及计算机可读存储介质。

为了实现上述目的，本申请提供如下技术方案：

一种恶意文件检测方法，包括：

获取目标恶意文件；

输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中，接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件；

将恶意文件检测引擎作为所述生成式对抗网络的判别模型，基于所述变种文件对所述判别模型进行训练，以基于训练好的所述判别模型检测目标文件是否为恶意文件。

优选的，所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件，包括：

接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件；

其中，所述强化学习算法中的状态S表示所述变种文件的特征向量；奖赏函数R表示所述判别模型对所述特征向量的判别结果；代理G表示基于所述状态S及所述奖赏函数R选择的变种动作A；环境E表示所述判别模型。

优选的，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：

接收所述生成模型通过Q-learning算法对所述目标恶意文件进行变种后生成的变种文件。

优选的，所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件，包括：

接收所述生成模型通过Policy Gradient算法对所述目标恶意文件进行变种后生成的变种文件。

优选的，所述目标恶意文件的类型包括可执行文件、文档型文件。