[发明专利]恶意代码的识别方法、装置、计算机设备及介质

说明书

本发明涉及人工智能技术领域，具体揭露恶意代码的识别方法、装置、计算机设备及介质。该识别方法可包括：对目标代码进行解析，以得到用于作为目标代码标识信息的特征值序列。将特征值序列与预先存储的多个已知值序列分别进行匹配。基于匹配成功的条件识别出目标代码为恶意代码，调用并执行与特征值序列相匹配的已知值序列所对应的对抗脚本。基于匹配失败的条件对目标代码进行分类处理，以确定目标代码所属的类别，进而能确定目标代码是否为恶意代码。本发明通过静态检测和动态检测双重方式实现对恶意代码的准确且快速地识别，极大地提高网络安全性，并能显著降低攻击方蜜罐逃逸的可能性。

技术领域

本发明涉及人工智能技术领域，能够应用在恶意代码的识别领域中，具体提供了恶意代码的识别方法、装置、计算机设备及介质。

背景技术

随着网络安全技术的不断发展，网络安全人员研发出蜜罐检测技术。通过布置一些主机、网络服务等作为诱饵，以诱导攻击方对这些诱饵进行攻击，并能够对攻击行为进行捕获和分析，进而了解攻击方所使用的工具和方法，推测攻击方的意图和动机；使防御方清晰地了解其所面对的安全威胁，达到采用技术手段增强自身的安全防护能力目的。用于设置诱饵的“蜜罐”作为一种情报收集系统，作为被攻击方进行攻击的对象。

但由于现有技术仍存在局限，对目标代码的识别还不够准确，经常会发生误判的现象。所以如何能够精准地识别出目标代码是否为恶意代码，成为了本领域技术人员亟待解决的技术问题和始终研究的重点。

发明内容

为解决现有技术存在的恶意代码识别成功率不高的问题，本发明能够提供恶意代码的识别方法、装置、计算机设备及介质，以较好地解决现有技术存在的至少一个问题。

为实现上述技术目的，本发明能够提供一种恶意代码的识别方法，该识别方法可包括但不限于如下的至少一个步骤。

对目标代码进行解析，以得到用于作为所述目标代码标识信息的特征值序列。

将所述特征值序列与预先存储的多个已知值序列分别进行匹配。

基于匹配成功的条件识别出所述目标代码为恶意代码，调用并执行与所述特征值序列相匹配的已知值序列所对应的对抗脚本。

基于匹配失败的条件对所述目标代码进行分类处理，以确定所述目标代码所属的类别。

根据目标代码所属的类别确定所述目标代码是否为恶意代码。

进一步地，所述基于匹配失败的条件对所述目标代码进行分类处理可包括：

获取所述目标代码运行时调用的一个或多个应用程序接口。

对所述一个或多个应用程序接口进行归类处理。

依据归类处理结果判断所述目标代码所属的类别。

进一步地，所述对所述一个或多个应用程序接口进行归类处理包括：

调用在先构建的用于区分不同类别的应用程序接口的分类模型。

通过所述分类模型确定所述目标代码运行时调用的一个或多个应用程序接口的归类处理结果。

进一步地，通过所述分类模型确定归类处理结果包括：

利用分类模型对所述一个或多个应用程序接口进行最长公共子序列相似度计算处理。

依据相似度计算结果确定归类处理结果。

进一步地，该识别方法还包括构建分类模型的步骤：

将预设数量恶意代码调用的多个应用程序接口分为训练集和测试集。

利用所述训练集对初始设置的模型进行训练，以及利用测试集对训练后的模型进行测试，以得到所述分类模型。