[发明专利]基于可执行文件线性序列表示的计算机恶意代码检测方法

说明书

基于可执行文件线性序列表示的计算机恶意代码检测方法，属于计算机防病毒技术领域。包括将待检测样本进行线性序列表示；将所述线性序列进行填充，并使用线性插值法放缩到指定长度；根据计算机病毒检测模型检测序列的善恶性，得到检测结果，其中，所述计算机病毒检测模型为根据收集到的样本数据集合训练得到的神经网络模型，所述序列为待检测样本按照所述线性序列表示得到的序列。本发明在线性序列化表示样本文件的基础上使用神经网络提取序列特征并进行检测，从而有效避免以往的使用二维图像表示二进制文件时产生的边缘损失、重采样噪声和填充问题，并且可以有效减小模型参数数量、提升模型更新速度，抵抗模型退化问题。

技术领域

本发明属于计算机防病毒技术领域，尤其涉及神经网络检测计算机病毒领域。

背景技术

恶意软件是一种很常见的网络安全威胁，可能对个人或公司系统造成严重损害，例如造成系统的减速或崩溃、关键数据丢失或泄漏、灾难性的硬件故障。根据AV-Test的报告，平均每天检测到超过45万个新的恶意软件。大量的新恶意软件变体使得手动恶意软件分析效率低且耗时，人工分析已经难以对如此庞大数量的恶意软件分析做到及时分析、检测。为了更有效率的检测恶意软件，许多研究人员提出了针对恶意软件分析的先进工具，这些工具能够帮助分析人员执行部分工作，从而更快速地完成任务，然而，在处理如此大量的恶意软件时，这些解决方案并不能从根本上减少其工作负载。为了解决这个问题，许多专家和学者将机器学习算法，特别是深度学习算法，应用于恶意软件检测和分类。但是恶意软件在飞速的变异，大部分的新恶意代码样本采用了躲避神经网络检测的自我保护技术，使得模型需要快速更新以应对这种情况，但是现有的模型存在有模型规模过大、训练代价高的问题，难以做到快速更新。因此，需要有一种模型规模小、参数数量少、训练代价低的轻量级模型进行恶意软件的分析检测。

发明内容

为了解决现有深度学习模型退化比较严重、模型规模大、参数数量多、训练代价大、更新速度慢的问题，本发明提出一种基于应用线性序列表示二进制文件特征的神经网络的计算机病毒检测方法。

为实现上述目的及其他相关目的，本发明采用的技术方案是：

基于可执行文件线性序列表示的计算机恶意代码检测方法，所述方法包括：

将待检测样本进行线性序列表示；

将所述线性序列进行规范化处理；

将所述线性序列进行填充，并使用线性插值法放缩到指定长度；

根据计算机病毒检测模型检测序列的善恶性，得到检测结果，其中，所述计算机病毒检测模型为根据收集到的样本数据集合训练得到的神经网络模型，所述序列为待检测样本按照所述线性序列表示得到的序列。

进一步地，本申请所述的将待检测样本进行线性序列表示，具体实施方法为将待检测样本按照二进制形式读取，所述读取内容为根据其在设备中的存放顺序形成的二进制序列。

本申请所述的将待检测样本进行线性序列表示，包括如下特点：该表示方法可以有效避免现有神经网络模型中将文件表示为二维图像而引起的边缘损失、重采样噪音、填充问题。

所述将待检测样本进行线性序列表示的特点中可以有效避免的边缘损失，表现为：在以往方法中，将二进制文件表示为二维图像时，由于图像的长和宽为固定数值，当二进制文件的内容占满图像中的一行时需要另起一行进行表示，这种另起一行的方式会导致二进制文件中内容的折断，从而导致连续语义内容的断裂、缺失。

所述将待检测样本进行线性序列表示的特点中可以有效避免的重采样噪音，表现为：在以往方法中，对二进制文件形成的二维图像中进行重采样时，会将图像中的上一行和下一行内容进行双线性插值计算，但对于二进制文件来说，上一行和下一行中表示的内容可能会不存在有直接的关系，如果用重采样进行计算则会将本不相关的二者进行关联，从而产生噪声。