[发明专利]恶意代码的特征码提取方法、装置和计算机设备

权利要求书

1.一种恶意代码的特征码提取方法，其特征在于，包括：

通过恶意代码样本集训练学习模型，得到目标学习模型，其中，所述恶意代码样本集包括多个样本，所述样本包括恶意代码的多个代码段的特征数据，所述学习模型包括卷积层，其中，所述卷积层包括多个通道；

将待处理恶意代码划分为多个所述代码段，得到多个待处理代码段；

提取所述待处理代码段的特征数据；

将所述待处理代码段的特征数据输入所述目标学习模型；

获取所述目标学习模型的卷积层的输出特征图；

计算所述目标学习模型的卷积层中每个所述通道上的梯度值；

根据所述输出特征图和所述梯度值计算热力图数据，其中，所述热力图数据用于表征所述待处理代码段对恶意类别的贡献分值；

根据所述贡献分值选定若干所述待处理代码段作为所述待处理恶意代码的特征码，

其中，根据所述贡献分值选定若干所述待处理代码段作为所述待处理恶意代码的特征码的步骤包括：筛选所述贡献分值大于预设分值阈值的所述待处理代码段，得到若干候选特征码；确定所述待处理恶意代码所属的威胁类别；获取属于所述威胁类别的多个所述样本；统计多个所述样本中出现所述候选特征码的样本数和所述候选特征码在单个所述样本中出现的次数；根据所述样本数和所述次数在若干所述候选特征码中确定所述待处理恶意代码的特征码，其中，所述样本数越大，所述次数越少，所述候选特征码作为所述待处理恶意代码的特征码的概率越大；

或者，

根据所述贡献分值选定若干所述待处理代码段作为所述待处理恶意代码的特征码的步骤包括：筛选所述贡献分值大于预设分值阈值的所述待处理代码段，得到若干候选特征码；将所述候选特征码与正常样本库进行比对；以及当所述候选特征码没有命中所述正常样本库中的样本时，确定候选特征码为所述待处理恶意代码的特征码。

2.根据权利要求1所述的恶意代码的特征码提取方法，其特征在于，根据所述样本数和所述次数在若干所述候选特征码中确定所述待处理恶意代码的特征码的步骤包括：

采用以下公式计算所述候选特征码对应的得分：

其中，seq_i表示第i个所述候选特征码，I_d表示所述D个恶意样本中第d个恶意样本是否包含seq_i，其中，I_d＝1时，所述第d个恶意样本包含seq_i，I_d＝0时，所述第d个恶意样本不包含seq_i，freq_d表示seq_i出现在所述第d个恶意样本中的次数，s_i表示seq_i对应的贡献分值；

根据所述得分在若干所述候选特征码中确定所述待处理恶意代码的特征码，其中，所述得分越大，所述候选特征码作为所述待处理恶意代码的特征码的概率越大。

3.根据权利要求1所述的恶意代码的特征码提取方法，其特征在于，通过恶意代码样本集训练学习模型，得到目标学习模型的步骤包括：

设置所述学习模型包括依次连接的M个卷积块，每个所述卷积块包括若干所述卷积层；

利用由ImageNet数据集预训练得到的模型对对所述学习模型的参数进行初始化，以得到初始学习模型；

将所述恶意代码样本集作为所述初始学习模型的输入，冻结所述初始学习模型中第1至第M-1个所述卷积块的参数，对所述初始学习模型进行训练，以得到所述目标学习模型。

4.根据权利要求1所述的恶意代码的特征码提取方法，其特征在于，所述目标学习模型包括图片分类模型，所述特征数据包括图片的像素值，提取所述待处理代码段的特征数据的步骤包括：

将所述待处理代码段与预设模板图像上的一个像素组相对应，其中，所述像素组包括若干像素；

获取所述待处理代码段预定位置的字符；

按照预设的映射规则确定所述字符对应的颜色值；以及按照所述字符对应的颜色值、所述字符所在的待处理代码段与所述像素组的对应关系确定所述图片的像素值。