[发明专利]一种恶意文件检测方法、装置、电子设备及存储介质

说明书

本申请公开了一种恶意文件检测方法、装置、电子设备及存储介质，涉及网络安全技术领域。恶意文件检测方法包括：对获取到的目标文件的API行为及API行为参数进行编码，得到与目标文件对应的目标编码集；对目标编码集进行向量化处理，得到目标行为向量；根据目标行为向量与黑白样本集合中的样本行为向量的距离，确定目标文件是否为恶意文件；在为是时，根据目标行为向量与黑白样本集合中不同种类黑样本所对应的样本行为向量的距离确定出目标文件的恶意类别。本申请公开了一种恶意文件检测方法、装置、电子设备及存储介质保留了行为特征，提升了训练输入的丰富度，降低机器学习模型误报率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种恶意文件检测方法、装置、电子设备及存储介质。

背景技术

极光攻击、震网攻击、夜龙攻击、RSA令牌种子窃取等重大网络安全事件使得一种具有攻击手法高级、持续时间长、攻击目标明确等特征的攻击类型出现在公众视野中，国际上称之为高级持续性威胁(Advanced Persistent Threat，APT)攻击。这类攻击不仅使用传统的病毒、木马作为攻击手段，更以邮件等社会工程学方式进行“先导攻击”，向用户发送精心构造使用0Day漏洞的文件。一旦用户打开相关文件，漏洞就会被触发，攻击代码注入到用户系统，并进行后续下载其它病毒、木马等操作以利长期潜伏作业。而传统防火墙、企业反病毒软件等对此类无特征签名的恶意文件或代码的检测和防护能力非常有限。

APT攻击检测防御技术已成为新一代网络安全的研究热点，其中的技术难点在于：如何快速检测利用未知漏洞的攻击。国内外对此展开了一系列研究，提出了多种方法，其中具有代表性的是基于文件或样本的动态行为分析技术。此种技术主要针对APT攻击过程中的恶意代码植入过程，通过沙箱、虚拟机等可控环境动态分析进入受保护系统的可疑样本文件的动态行为，识别恶意行为和攻击代码，阻止恶意代码植入，防止后续破坏行为的发生。此种技术能够在攻击进入网络前进行检测和防护，从而避免受保护系统受到攻击的影响。其中，代码文件恶意性的判定依赖于行为特征库，这个特征库存储着通过人工代码分析后提取的恶意行为特征，特征库规则的更新速度及准确性决定着恶意代码检测的成功率。

由于恶意代码变种迅速，为满足实际检测的需求，人们尝试通过机器学习的方法，使用大量的恶意样本训练模型，学习恶意软件的行为模式，从而自动判定软件的恶意性。然而，传统的机器学习方法依赖于样本的分布状况相关，样本不均衡会导致检测准确率较差，同时对数值型数据类型具有较高敏感度，而对具有语义的行为数据特征难以区分识别。

发明内容

为解决上述技术问题，本申请实施例是这样实现的：

本申请实施例提供了一种恶意文件检测方法，包括：

对获取到的目标文件的API行为及API行为参数进行编码，得到与所述目标文件对应的目标编码集；

对所述目标编码集进行向量化处理，得到目标行为向量；

根据所述目标行为向量与黑白样本集合中的样本行为向量的距离，确定所述目标文件是否为恶意文件；

在为是时，根据所述目标行为向量与所述黑白样本集合中不同种类黑样本所对应的样本行为向量的距离确定出所述目标文件的恶意类别。

可选的，所述对获取到的目标文件的API行为及API行为参数进行编码，得到与所述目标文件对应的目标编码集，包括：

对所述API行为进行编码，得到第一编码集；

对所述API行为参数进行编码，得到第二编码集；

将所述第一编码集与所述第二编码集进行统一维度组合，得到归一化的所述目标编码集。

可选的，所述API行为参数为目录路径，所述对所述API行为参数进行编码，得到第二编码集，包括：

对所述API行为参数进行目录分层；