[发明专利]加壳软件是否误报的判定方法、装置、设备及存储介质

权利要求书

1.一种加壳软件是否误报的判定方法，其特征在于，所述加壳软件是否误报的判定方法包括：

在检测到目标软件的待处理数据时，获取所述待处理数据的是否存在恶意代码的目标分类结果；

确定所述待处理数据的映射指向所述目标分类结果的第一目标决策显著向量，并对所述待处理数据进行分区处理，得到待处理分区数据；

确定每个待处理分区数据对分类结果的第二扰动力度，以确定所述待处理数据的映射指向恶意代码的结果的第二目标决策显著向量，其中，第二扰动力度通过在去掉对应待处理分区数据后，所获取的分类结果的变化确定；

获取用于确定是否误报的均方误差基线，基于所述均方误差基线，所述第一目标决策显著向量以及所述第二目标决策显著向量，确定所述加壳软件误报与否的判定结果；

其中，所述均方误差基线由具有预设误报标签的各加壳软件的加壳决策向量与对应恶意代码决策向量确定的。

2.如权利要求1所述的加壳软件是否误报的判定方法，其特征在于，

所述均方误差基线由具有预设误报标签的各加壳软件的加壳决策向量与对应恶意代码决策向量确定的步骤，包括：

所述均方误差基线是基于预设编码模型得到的，所述预设编码模型是基于具有预设误报标签的加壳软件的包括加壳决策向量与恶意代码决策向量的训练集，对预设基础模型进行训练后得到的满足预设条件的目标模型。

3.如权利要求2所述的加壳软件是否误报的判定方法，其特征在于，所述获取用于确定是否误报的均方误差基线的步骤之前，所述方法包括：

获取具有预设误报标签的加壳软件的包括加壳决策向量与恶意代码决策向量的训练集，对预设基础模型进行训练，得到满足预设条件的目标模型，其中，所述预设条件包括预设损失函数收敛；

将所述目标模型设置为所述预设编码模型。

4.如权利要求1所述的加壳软件是否误报的判定方法，其特征在于，所述确定所述待处理数据的映射指向所述目标分类结果的第一目标决策显著向量的步骤，包括：

获取所述待处理数据映射到各个分类结果的映射值，以得到指向所述目标分类结果的最大映射值；

确定所述待处理数据中每个字节向量对所述最大映射值的第一扰动力度， 其中，第一扰动力度通过在对应字节向量的变化后，所获取的最大映射值的大小的变化确定；

基于所述第一扰动力度，确定指向所述目标分类结果的第一目标决策显著向量。

5.如权利要求1所述的加壳软件是否误报的判定方法，其特征在于，所述在检测到目标软件的待处理数据时，获取所述待处理数据的是否存在恶意代码的目标分类结果的步骤之前，所述方法包括：

获取目标软件的可移植执行体PE文件；

确定所述PE文件的文件体积，并获取所述文件体积与预设体积的比对结果；

基于所述比对结果对所述可移植执行体PE文件进行预处理，得到待处理数据。

6.如权利要求1所述的加壳软件是否误报的判定方法，其特征在于，所述确定每个待处理分区数据对分类结果的第二扰动力度，以确定所述待处理数据的映射指向恶意代码的结果的第二目标决策显著向量的步骤，包括：

确定每个待处理分区数据对分类结果的第二扰动力度，并确定扰动力度最大的第二目标扰动力度，以得到所述第二目标扰动力度对应的目标待处理分区数据；

确定目标待处理分区数据中每个字节向量对映射指向恶意代码的结果的第三扰动力度，确定指向所述恶意代码的结果的第二目标决策显著向量。

7.如权利要求2-6任一项所述的加壳软件是否误报的判定方法，其特征在于，所述基于所述均方误差基线，所述第一目标决策显著向量以及所述第二目标决策显著向量，确定所述加壳软件误报与否的判定结果的步骤，包括：

确定所述第一目标决策显著向量以及所述第二目标决策显著向量的目标均方误差；

若所述目标均方误差小于所述均方误差基线，则确定所述加壳软件误报与否的判定结果为误报。