[发明专利]一种恶意代码检测方法、可读存储介质及电子设备

权利要求书

1.一种恶意代码检测方法，其特征在于，所述方法包括如下步骤：

获取待测PE文件的检测序列；所述检测序列包括操作码序列；

使用滑动窗口对所述操作码序列进行切分，生成多个操作码子序列；其中，所述滑动窗口的滑动步长L满足如下条件：

L＝S/n；

S为所述滑动窗口总长度；n为滑动系数，n属于正整数；

对每一操作码子序列进行特征转化处理，生成每一所述操作码子序列对应的待测特征子向量；

将每一所述待测特征子向量分别输入恶意检测神经网络模型，生成每一所述待测特征子向量对应的检测结果；所述恶意检测神经网络模型包括门控卷积网络及全连接神经网络；所述门控卷积网络用于提取所述待测特征子向量的数据特征；所述全连接神经网络用于根据所述待测特征子向量的数据特征生成对应的分类检测结果；

若存在任一所述检测结果为恶意，则确定所述待测PE文件对应的代码为恶意代码。

2.根据权利要求1所述的方法，其特征在于，所述滑动窗口的总长度为多个，多个所述滑动窗口总长度的获取方法如下：

对恶意代码库中的每一恶意PE文件进行反汇编操作，生成每一所述恶意PE文件对应的操作码序列；

对多个所述恶意PE文件对应的操作码序列进行K-Means聚类处理，生成G个聚类族群；

将每一所述聚类族群中所有操作码序列的平均序列长度，作为所述滑动窗口对应的总长度A₁，A₂，…，A_i，…，A_G；其中，A_i为第i个聚类族群对应的平均序列长度；i＝1，2，…，G；G为聚类族群的总数量。

3.根据权利要求2所述的方法，其特征在于，所述使用滑动窗口对所述操作码序列进行切分，包括：

使用长度分别为A₁，A₂，…，A_i，…，A_G的滑动窗口对所述操作码序列进行G次切分。

4.根据权利要求1所述的方法，其特征在于，获取待测PE文件的操作码序列，包括：

对所述待测PE文件进行脱壳处理，生成所述待测PE文件对应的二进制数据；

对所述待测PE文件对应的二进制数据进行反汇编处理，生成所述待测PE文件的操作码序列。

5.根据权利要求1所述的方法，其特征在于，所述特征转化处理，包括：

对所述操作码子序列进行3-gram分组处理，生成多个操作码子组序列；

计算每个所述操作码子组序列在整个操作码序列中的TF-IDF；

对每个所述操作码子组序列在整个操作码序列中的TF-IDF进行编码，生成所述操作码子序列对应的待测特征子向量。

6.根据权利要求1所述的方法，其特征在于，所述检测序列还包括所述待测PE文件的API调用序列。

7.根据权利要求2所述的方法，其特征在于，在生成G个聚类族群之后，所述方法还包括；

将每一所述聚类族群中所有操作码序列长度的众数或中位数，作为所述滑动窗口对应的总长度B₁，B₂，…，B_i，…，B_G；其中，B_i为第i个聚类族群对应的操作码序列长度的众数或中位数；i＝1，2，…，G；G为聚类族群的总数量。

8.根据权利要求1所述的方法，其特征在于，在将每一所述待测特征子向量分别输入恶意检测神经网络模型之后，所述方法还包括：

若所有所述检测结果均为正常，则确定所述待测PE文件对应的代码为正常代码。

9.一种非瞬时性计算机可读存储介质，所述非瞬时性计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至8任一项所述的一种恶意代码检测方法。

10.一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的一种恶意代码检测方法。