[发明专利]基于生成对抗网络的恶意代码检测方法

说明书

本发明涉及一种基于生成对抗网络的恶意代码检测方法，包括:采集恶意代码样本集和良性样本集；提取恶意代码样本集和良性样本集中每一样本的静态特征和动态特征；将每一样本的静态特征和动态特征进行组合，得到每一样本组合特征；将所有样本组合特征输入预先设置的生成器G中，生成对抗样本集；将对抗样本集输入预先设置的判别器D中，判别每个对抗样本是否为恶意代码，并标记是否为恶意代码的标签，再将附带标签的对抗样本集反馈到生成器G中，持续优化所述生成器G；将附带标签的对抗样本集作为训练集进行训练，得到恶意代码分类模型；基于恶意代码分类模型检测待测样本是否为恶意代码。本发明提高了恶意代码检测的准确度和效率。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于生成对抗网络的恶意代码检测方法。

背景技术

随着网络技术的发展，当前网络空间安全的主要威胁之一是恶意代码通过系统漏洞或垃圾邮件等大规模传播，进而对信息系统造成破坏，因此，如何准确而有效的识别恶意代码十分必要。现有的恶意代码检测技术通常基于如下假设：恶意代码与非恶意代码在结构、功能和行为特征上存在差异，且该差异特征尽可能非歧义的判别代码片段或计算机程序是否为恶意代码。但是，随着网络攻防的博弈，恶意代码呈现出隐形化、多态化、多歧化特点，如何获取大量恶意代码样本并提取丰富而准确的恶意特征是恶意代码检测引擎的关键能力之一。

现有的恶意代码检测技术，主要包括以下两种：

(1)规则式检测(Rule-based Detection)

恶意代码检测引擎基于恶意代码特征规则库对样本进行检测，规则库主要包括针对恶意指令的指纹特征和针对恶意行为的模式特征。目前的代表性工作YARA工具，支持文本文件、二进制文件的字节序列提取，支持通配符、正则表达式等特性。虽然此方法检测恶意代码的准确率较高、检测时间较短，但是，该方法需要预先定义大量的规则，对于稍作变化的未知恶意代码则无能为力，不具备通用性。

(2)启发式检测(Heuristic Detection)

通过监视系统的活动并将其分类为正常或异常两种状态来检测样本是否具有恶意的企图。当前对异常状态的判断通常基于机器学习算法，这需要恶意代码检测引擎进行一段时间的训练和建模。目前的代表性工作有VMAnalyzer、Maldy工具，通过提取恶意代码的API调用序列或动态行为分析特征，输入到神经网络中训练分类模型，进而检测恶意代码。但是，该方法基于统计特征和概率决策模型，在实际应用中通常具有较高的误报率，更为重要的是，基于机器学习的检测模型通常需要大量的样本进行训练，才有得到相对较高的准确率和召回率，检测成本高，且对于恶意样本的获取是一个极大的挑战。

由此可知，现有的恶意代码检测技术检测成本高且通用性差。

发明内容

本发明目的在于，提供一种基于生成对抗网络的恶意代码检测方法，通过采集少量恶意代码样本集，基于生成对抗网络构建大量恶意代码对抗样本，用于训练恶意代码检测模型，能够实现准确而有效的恶意代码检测，成本低且具有通用性。

为了解决上述技术问题，本发明提供了一种基于生成对抗网络的恶意代码检测方法，包括:

采集恶意代码样本集和良性样本集；

提取所述恶意代码样本集和良性样本集中每一样本的静态特征和动态特征；

将所述恶意代码样本集和良性样本集中每一样本的静态特征和动态特征进行组合，得到每一样本组合特征；

将所有样本组合特征输入预先设置的生成器G中，生成对抗样本集；

将所述对抗样本集输入预先设置的判别器D中，判别每个对抗样本是否为恶意代码，为每个对抗样本标记是否为恶意代码的标签，并将附带标签的对抗样本集反馈到所述生成器G中，持续优化所述生成器G；