[发明专利]恶意代码同源分析方法、装置、计算机设备和存储介质

说明书

本公开涉及计算机安全技术领域，提供了一种恶意代码同源分析方法、装置、计算机设备和计算机可读存储介质。所述方法包括：获取恶意代码图像，恶意代码图像是根据恶意代码文件得到的，恶意代码图像包括至少两个恶意代码族群，至少两个恶意代码族群分别对应的族群标记不同；将恶意代码图像输入恶意代码同源分析模型中，获取恶意代码同源分析结果，其中，恶意代码同源分析模型包括：至少一个卷积结构、全局平均池化层以及输出层。采用本方法通过在恶意代码同源分析模型中添加全局平均池化层，利用全局平均池化层替换全连接层，降低恶意代码同源分析模型的网络结构的复杂度、以及计算量，从而，提高恶意代码同源分析效率。

技术领域

本公开涉及计算机安全技术领域，特别是涉及一种恶意代码同源分析方法、装置、计算机设备和计算机可读存储介质。

背景技术

恶意代码同源分析，是指根据恶意代码的内部特性、外部特性以及其生成和传播的规律，分析恶意代码之间衍生的关联性，从而能够快速追踪定位攻击来源或者攻击者、避免恶意代码检测软件在检测过程存在疏漏的问题。

现有技术中将恶意代码文件进行图像化处理，获取恶意代码图像，通过在神经网络模型中的全连接层前加入空间金字塔池化层，利用恶意代码图像对神经网络进行训练，解决神经网络的输入图像尺寸大小必须相同的问题，实现恶意代码同源分析。

然而，采用现有技术的方法进行恶意代码同源分析，计算量大，恶意代码同源分析效率较低。

发明内容

基于此，有必要针对上述技术问题，提供了一种恶意代码同源分析方法、装置、计算机设备和计算机可读存储介质

本公开实施例提供了一种恶意代码同源分析方法，所述方法包括：

获取恶意代码图像，所述恶意代码图像是根据恶意代码文件得到的，所述恶意代码图像包括至少两个恶意代码族群，所述至少两个恶意代码族群分别对应的族群标记不同；

将所述恶意代码图像输入恶意代码同源分析模型中，获取恶意代码同源分析结果，其中，所述恶意代码同源分析模型包括：至少一个卷积结构、全局平均池化层以及输出层。

在一个实施例中，所述获取恶意代码图像，包括：

获取所述恶意代码文件分别对应的二进制流；

将所述二进制流按字节进行分割，转化为像素值矩阵；

根据所述像素值矩阵，获取所述恶意代码图像。

在一个实施例中，所述将所述二进制流按字节进行分割，转化为像素值矩阵，包括：

获取所述恶意代码文件分别对应的字节数；

根据所述字节数确定所述像素值矩阵大小；

获取每个字节分别对应的十进制数值；

根据所述像素值矩阵大小以及所述每个字节分别对应的十进制数值，确定所述像素值矩阵。

在一个实施例中，所述根据所述字节数确定所述像素值矩阵大小，包括：

对所述字节数进行预设处理，确定所述像素值矩阵的宽度；

根据所述字节数和所述像素值矩阵的宽度的比值，确定所述像素值矩阵的长度。

在一个实施例中，所述将所述恶意代码图像输入恶意代码同源分析模型中，获取恶意代码同源分析结果，包括：

获取特征图分别对应的特征向量，其中，所述特征图是根据所述卷积结构得到的；

将所述特征图分别对应的特征向量输入至所述输出层，获取恶意代码同源分析结果。

在一个实施例中，所述获取特征图分别对应的特征向量，包括：