[发明专利]一种恶意代码检测方法、可读存储介质及电子设备

说明书

本发明涉及网络安全领域，特别是涉及一种恶意代码检测方法、可读存储介质及电子设备。包括获取待测PE文件的检测序列。使用滑动窗口对所述操作码序列进行切分，生成多个操作码子序列；对每一操作码子序列进行特征转化处理，生成每一所述操作码子序列对应的待测特征子向量；将每一所述待测特征子向量分别输入恶意检测神经网络模型，生成每一所述待测特征子向量对应的检测结果；若存在任一所述检测结果为恶意，则确定所述待测PE文件对应的代码为恶意代码。本发明中通过设置滑动窗口可以得到长度更小的待测特征子向量。由于掺杂的无用代码的比例减少，所以恶意代码所具有的恶意特征会更加突出，进而提高检测精准度。

技术领域

本发明涉及网络安全领域，特别是涉及一种恶意代码检测方法、可读存储介质及电子设备。

背景技术

在反病毒研究与恶意代码的对抗过程中，恶意代码技术的不断发展也促使了恶意程序检测技术的不断发展与进步，新型恶意代码编写技术也导致了新型检测技术的出现。

现有技术中，可以基于机器学习的方式对恶意代码进行特征识别，以更加快速且高精度的对恶意代码进行检测。由于恶意代码中会存在大量的相似操作特征，所以现有的基于机器学习的检测方式一般为提取恶意代码中的opcode序列(操作码)作为待检测特征，再输入神经网络中进行辨识检测。

而现今的反病毒是一个对抗的过程。为了对抗上述的检测方式，在恶意代码编写完成后，会加入大量的正常代码或不会起到任何作用的无用代码，来削弱恶意代码所体现出来的恶意特征。由此，使得现有的检测方式无法准确检测出此类恶意代码，检测精准度降低。

发明内容

针对上述技术问题，本发明采用的技术方案为：

根据本发明的一个方面，提供了一种恶意代码检测方法，方法包括如下步骤：

获取待测PE文件的检测序列；所述检测序列包括操作码序列；

使用滑动窗口对所述操作码序列进行切分，生成多个操作码子序列；其中，所述滑动窗口的滑动步长L满足如下条件：

L＝S/n；

S为所述滑动窗口总长度；n为滑动系数，n属于正整数；

对每一操作码子序列进行特征转化处理，生成每一所述操作码子序列对应的待测特征子向量；

将每一所述待测特征子向量分别输入恶意检测神经网络模型，生成每一所述待测特征子向量对应的检测结果；所述恶意检测神经网络模型包括门控卷积网络及全连接神经网络；所述门控卷积网络用于提取所述待测特征子向量的数据特征；所述全连接神经网络用于根据所述待测特征子向量的数据特征生成对应的分类检测结果；

若存在任一所述检测结果为恶意，则确定所述待测PE文件对应的代码为恶意代码。

若存在任一检测结果为恶意，则确定待测PE文件对应的代码为恶意代码。

根据本发明的第二个方面，提供了一种非瞬时性计算机可读存储介质，非瞬时性计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述的一种恶意代码检测方法。

根据本发明的第三个方面，提供了一种电子设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述的一种恶意代码检测方法。

本发明至少具有以下有益效果：