CN110210226A - 一种恶意文件检测方法、系统、设备及计算机存储介质 - Google Patents
一种恶意文件检测方法、系统、设备及计算机存储介质 Download PDFInfo
- Publication number
- CN110210226A CN110210226A CN201910493011.0A CN201910493011A CN110210226A CN 110210226 A CN110210226 A CN 110210226A CN 201910493011 A CN201910493011 A CN 201910493011A CN 110210226 A CN110210226 A CN 110210226A
- Authority
- CN
- China
- Prior art keywords
- file
- mutation
- malicious file
- model
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 82
- 238000003860 storage Methods 0.000 title claims abstract description 28
- 230000035772 mutation Effects 0.000 claims abstract description 155
- 238000004519 manufacturing process Methods 0.000 claims abstract description 37
- 238000004590 computer program Methods 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 19
- 230000004048 modification Effects 0.000 claims description 19
- 238000012986 modification Methods 0.000 claims description 19
- 238000000034 method Methods 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 16
- 230000004069 differentiation Effects 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 10
- 238000012360 testing method Methods 0.000 claims description 9
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 230000008676 import Effects 0.000 claims description 2
- 235000013399 edible fruits Nutrition 0.000 claims 1
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006378 damage Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Virology (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种恶意文件检测方法、系统、设备及计算机存储介质,获取目标恶意文件;输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的恶意文件检测方法,借助生成式对抗网络自动生成目标恶意文件的变种文件以及对判别模型进行训练,提高了恶意文件检测方法的运行效率。本申请提供的恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。
Description
技术领域
本申请涉及信息安全技术领域,更具体地说,涉及一种恶意文件检测方法、系统、设备及计算机存储介质。
背景技术
在计算机、服务器等设备的运行过程中,可能遭受恶意文件的破坏,恶意文件指的是能够攻击设备对设备造成破坏的文件,为了保护设备的安全,需要对恶意文件进行检测。
现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测,本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力,而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本,所以为了提高恶意文件检测引擎的泛化能力,需要丰富恶意文件检测引擎的训练样本集合,比如直接对恶意文件样本应用传统的恶意文件免杀手段,如加壳混淆等,来模拟变种文件的生成,但是传统的恶意文件免杀手段的使用需要人工介入,使得变种文件的生成速率较慢,影响恶意文件检测方法的运行效率。
综上所述,如何提高恶意文件检测方法的运行效率是目前本领域技术人员亟待解决的问题。
发明内容
本申请的目的是提供一种恶意文件检测方法,其能在一定程度上解决如何提高恶意文件检测方法的运行效率的技术问题。本申请还提供了一种恶意文件检测系统、设备及计算机可读存储介质。
为了实现上述目的,本申请提供如下技术方案:
一种恶意文件检测方法,包括:
获取目标恶意文件;
输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;
将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。
优选的,所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件;
其中,所述强化学习算法中的状态S表示所述变种文件的特征向量;奖赏函数R表示所述判别模型对所述特征向量的判别结果;代理G表示基于所述状态S及所述奖赏函数R选择的变种动作A;环境E表示所述判别模型。
优选的,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过Q-learning算法对所述目标恶意文件进行变种后生成的变种文件。
优选的,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过Policy Gradient算法对所述目标恶意文件进行变种后生成的变种文件。
优选的,所述目标恶意文件的类型包括可执行文件、文档型文件。
优选的,当所述目标恶意文件的类型为所述可执行文件时,所述变种动作A的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
优选的,所述基于所述变种文件对所述判别模型进行训练,包括:
将所述变种文件输入至所述判别模型,接收所述判别模型对所述变种文件的检测结果;
判断所述变种文件的检测结果是否满足预设要求,若否,则执行基于所述变种文件对所述判别模型进行训练的步骤。
一种恶意文件检测系统,包括:
第一获取模块,用于获取目标恶意文件;
第一输入模块,用于输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;
第一训练模块,用于将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。
一种恶意文件检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上任一所述恶意文件检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述恶意文件检测方法的步骤。
本申请提供的一种恶意文件检测方法,获取目标恶意文件;输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,将恶意文件检测引擎作为生产对抗网络的判别模型,并借助生成式对抗网络的生成模型来自动生成目标恶意文件的变种文件,再基于生成的变种文件对判别模型进行训练,最后基于训练好的判别模型来检测目标文件是否为恶意文件,也即本申请借助生成式对抗网络自动生成目标恶意文件的变种文件以及自动对判别模型进行训练,可以自动提高恶意文件检测引擎的泛化能力,提高恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种恶意文件检测方法的第一流程图;
图2为本申请中生成式对抗网络和强化学习算法的框架图;
图3为本申请实施例提供的一种恶意文件检测方法的第二流程图;
图4为本申请实施例提供的一种恶意文件检测系统的结构示意图;
图5为本申请实施例提供的一种恶意文件检测设备的结构示意图;
图6为本申请实施例提供的一种恶意文件检测设备的另一结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在计算机、服务器等设备的运行过程中,可能遭受恶意文件的破坏,恶意文件指的是能够攻击设备对设备造成破坏的文件,为了保护设备的安全,需要对恶意文件进行检测。现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测,本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力,而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本,所以为了提高恶意文件检测引擎的泛化能力,需要丰富恶意文件检测引擎的训练样本集合,比如直接对恶意文件样本应用传统的恶意文件免杀手段,如加壳混淆等,来模拟变种文件的生成,但是传统的恶意文件免杀手段的使用需要人工介入,使得变种文件的生成速率较慢,影响恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测方法可以提高恶意文件检测方法的运行效率。
请参阅图1,图1为本申请实施例提供的一种恶意文件检测方法的第一流程图。
本申请实施例提供的一种恶意文件检测方法,可以包括以下步骤:
步骤S101:获取目标恶意文件。
实际应用中,可以先获取目标恶意文件,目标恶意文件的类型可以根据具体应用场景确定,比如其可以为可执行文件、文档型文件等;目标恶意文件可以为恶意文件检测引擎实时判定出来的恶意文件,也可以为已知的恶意文件等。
步骤S102:输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件。
实际应用中,在获取目标恶意文件之后,便可以输入目标恶意文件至预先构建的生成式对抗网络(Generative Adversarial Network,GAN)的生成模型中,借助生成模型来对目标恶意文件自动进行变种,生成变种文件,变种文件指的是在目标恶意文件的基础上生成的与目标恶意文件不同的恶意文件。生成式对抗网络的参数及结构可以根据恶意文件检测引擎的类型及实际需要确定;生成模型对目标恶意文件进行变种的方式也可以根据实际需要确定。
具体应用场景中,可以采用强化学习(Reinforcement Learning,RL)算法来对目标恶意文件进行变种(依据检测引擎的输出、生成模型对不同恶意文件样本分别生成其能够逃逸当前检测的变种样本),则接收生成模型对目标恶意文件进行变种后生成的变种文件时,可以接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态S表示变种文件的特征向量;奖赏函数R表示判别模型对特征向量的判别结果;代理G表示基于状态S及奖赏函数R选择的变种动作A;环境E表示判别模型。
具体的,接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件时,可以接收生成模型通过Q-learning算法对目标恶意文件进行变种后生成的变种文件;也可以接收生成模型通过Policy Gradient算法对目标恶意文件进行变种后生成的变种文件。当然还可以接收生成模型通过其他强化学习算法对目标恶意文件进行变种后生成的变种文件,本申请在此不做具体限定。应当指出,在应用生成式对抗网络和RL算法的过程中,在应用生成模型生成变种文件时,可以保持判别模型不变;而在应用变种文件对判别模型进行训练时,可以保持生成模型不变。
请参阅图2,图2为本申请中生成式对抗网络和强化学习算法的框架图。
由图2可知,S同时也是判别模型,也即恶意文件检测引擎的输入向量,所以S的格式取决于恶意文件检测引擎的输入格式,比如PE格式等;具体的,R的值可以为1或者0,也可以为具体的分数值等;在基于状态S及奖赏函数R选择变种动作A的过程中,以Q-learning算法为例,可以预测每个A的可能R值,并选取数值最大的可能R值所对应的A为所选择的变种动作A,每个A的预测R值可以通过公式Q(s,a)=r+γ(max(Q(s',a'))来确定,其中,r表示该动作当前的预测R值,γ(max(Q(s',a'))表示采取当前动作后,下一可能动作的最大R值,Q(s,a)表示A的预测R值。
具体应用场景中,当目标恶意文件的类型为可执行文件时,变种动作A的类型可以包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
步骤S103:将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。
实际应用中,在得到变种文件后,便可以将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,得到训练好的判别模型,最后再基于训练好的判别模型,也即训练好的恶意文件检测引擎来检测目标文件是否为恶意文件。
本申请提供的一种恶意文件检测方法,获取目标恶意文件;输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,将恶意文件检测引擎作为生产对抗网络的判别模型,并借助生成式对抗网络的生成模型来自动生成目标恶意文件的变种文件,再基于生成的变种文件对判别模型进行训练,最后基于训练好的判别模型来检测目标文件是否为恶意文件,也即本申请借助生成式对抗网络自动生成目标恶意文件的变种文件以及自动对判别模型进行训练,可以自动提高恶意文件检测引擎的泛化能力,提高恶意文件检测方法的运行效率。
请参阅图3,图3为本申请实施例提供的一种恶意文件检测方法的第二流程图。
本申请实施例提供的一种恶意文件检测方法可以包括以下步骤:
步骤S201:获取目标恶意文件。
步骤S202:输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件。
步骤S203:将恶意文件检测引擎作为生成式对抗网络的判别模型。
步骤S204:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果。
步骤S205:判断变种文件的检测结果是否满足预设要求,若否,则执行步骤S206。
步骤S206:基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。
也即实际应用中,可以为判别模型设定训练完成的结束标准,也即本实施例中的预设要求,比如当判别模型可以识别生成模型生成的第50个变种文件时,便认为判别模型训练完成,当然,预设要求可以根据实际需要确定。
本实施例中的相关描述请参阅上述实施例,本申请在此不再赘述。
本申请还提供了一种恶意文件检测系统,其具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图4,图4为本申请实施例提供的一种恶意文件检测系统的结构示意图。
本申请实施例提供的一种恶意文件检测系统,可以包括:
第一获取模块101,用于获取目标恶意文件;
第一输入模块102,用于输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;
第一训练模块103,用于将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测系统中,第一输入模块可以包括:
第一接收子模块,用于接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;
其中,强化学习算法中的状态S表示变种文件的特征向量;奖赏函数R表示判别模型对特征向量的判别结果;代理G表示基于状态S及奖赏函数R选择的变种动作A;环境E表示判别模型。
本申请实施例提供的一种恶意文件检测系统中,第一接收子模块可以包括:
第一接收单元,用于接收生成模型通过Q-learning算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种恶意文件检测系统中,第一接收子模块可以包括:
第二接收单元,用于接收生成模型通过Policy Gradient算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种恶意文件检测系统中,目标恶意文件的类型可以包括可执行文件、文档型文件。
本申请实施例提供的一种恶意文件检测系统中,当目标恶意文件的类型为可执行文件时,变种动作A的类型可以包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
本申请实施例提供的一种恶意文件检测系统中,第一训练模块可以包括:
第一输入单元,用于将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;
第一判断单元,用于判断变种文件的检测结果是否满足预设要求,若否,则提示第一训练模块执行基于变种文件对判别模型进行训练的步骤。
本申请还提供了一种恶意文件检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种恶意文件检测设备的结构示意图。
本申请实施例提供的一种恶意文件检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行存储器201中存储的计算机程序时实现如下步骤:
获取目标恶意文件;
输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;
将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态S表示变种文件的特征向量;奖赏函数R表示判别模型对特征向量的判别结果;代理G表示基于状态S及奖赏函数R选择的变种动作A;环境E表示判别模型。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过Q-learning算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过Policy Gradient算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种恶意文件检测设备中,目标恶意文件的类型包括可执行文件、文档型文件。
本申请实施例提供的一种恶意文件检测设备中,当目标恶意文件的类型为可执行文件时,变种动作A的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;判断变种文件的检测结果是否满足预设要求,若否,则执行基于变种文件对判别模型进行训练的步骤。
请参阅图6,本申请实施例提供的另一种恶意文件检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现恶意文件检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:
获取目标恶意文件;
输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;
将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态S表示变种文件的特征向量;奖赏函数R表示判别模型对特征向量的判别结果;代理G表示基于状态S及奖赏函数R选择的变种动作A;环境E表示判别模型。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过Q-learning算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过PolicyGradient算法对目标恶意文件进行变种后生成的变种文件。
本申请实施例提供的一种计算机可读存储介质中,目标恶意文件的类型包括可执行文件、文档型文件。
本申请实施例提供的一种计算机可读存储介质中,当目标恶意文件的类型为可执行文件时,变种动作A的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;判断变种文件的检测结果是否满足预设要求,若否,则执行基于变种文件对判别模型进行训练的步骤。
本申请所涉及的计算机可读存储介质包括随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质。
本申请实施例提供的一种恶意文件检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种恶意文件检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种恶意文件检测方法,其特征在于,包括:
获取目标恶意文件;
输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;
将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。
2.根据权利要求1所述的方法,其特征在于,所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件;
其中,所述强化学习算法中的状态S表示所述变种文件的特征向量;奖赏函数R表示所述判别模型对所述特征向量的判别结果;代理G表示基于所述状态S及所述奖赏函数R选择的变种动作A;环境E表示所述判别模型。
3.根据权利要求2所述的方法,其特征在于,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过Q-learning算法对所述目标恶意文件进行变种后生成的变种文件。
4.根据权利要求2所述的方法,其特征在于,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:
接收所述生成模型通过Policy Gradient算法对所述目标恶意文件进行变种后生成的变种文件。
5.根据权利要求2所述的方法,其特征在于,所述目标恶意文件的类型包括可执行文件、文档型文件。
6.根据权利要求5所述的方法,其特征在于,当所述目标恶意文件的类型为所述可执行文件时,所述变种动作A的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改Debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述基于所述变种文件对所述判别模型进行训练,包括:
将所述变种文件输入至所述判别模型,接收所述判别模型对所述变种文件的检测结果;
判断所述变种文件的检测结果是否满足预设要求,若否,则执行基于所述变种文件对所述判别模型进行训练的步骤。
8.一种恶意文件检测系统,其特征在于,包括:
第一获取模块,用于获取目标恶意文件;
第一输入模块,用于输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;
第一训练模块,用于将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。
9.一种恶意文件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述恶意文件检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述恶意文件检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910493011.0A CN110210226A (zh) | 2019-06-06 | 2019-06-06 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910493011.0A CN110210226A (zh) | 2019-06-06 | 2019-06-06 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110210226A true CN110210226A (zh) | 2019-09-06 |
Family
ID=67791338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910493011.0A Pending CN110210226A (zh) | 2019-06-06 | 2019-06-06 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110210226A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110619216A (zh) * | 2019-09-17 | 2019-12-27 | 武汉思普崚技术有限公司 | 一种对抗性网络的恶意软件检测方法及系统 |
| CN110659492A (zh) * | 2019-09-24 | 2020-01-07 | 北京信息科技大学 | 一种基于多智能体强化学习的恶意软件检测方法及装置 |
| CN110830490A (zh) * | 2019-11-14 | 2020-02-21 | 苏州大学 | 基于带对抗训练深度网络的恶意域名检测方法及系统 |
| CN110933104A (zh) * | 2019-12-11 | 2020-03-27 | 成都卫士通信息产业股份有限公司 | 恶意命令检测方法、装置、设备及介质 |
| CN111259393A (zh) * | 2020-01-14 | 2020-06-09 | 河南信息安全研究院有限公司 | 一种基于生成对抗网络的恶意软件检测器抗概念漂移方法 |
| CN112380537A (zh) * | 2020-11-30 | 2021-02-19 | 北京天融信网络安全技术有限公司 | 一种检测恶意软件的方法、装置、存储介质和电子设备 |
| CN113961919A (zh) * | 2020-12-23 | 2022-01-21 | 网神信息技术(北京)股份有限公司 | 恶意软件检测方法和装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180336439A1 (en) * | 2017-05-18 | 2018-11-22 | Intel Corporation | Novelty detection using discriminator of generative adversarial network |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| US20190087730A1 (en) * | 2017-09-19 | 2019-03-21 | Preferred Networks, Inc. | Non-transitory computer-readable storage medium storing improved generative adversarial network implementation program, improved generative adversarial network implementation apparatus, and learned model generation method |
| CN109543827A (zh) * | 2018-12-02 | 2019-03-29 | 清华大学 | 生成式对抗网络装置及训练方法 |
| CN109685200A (zh) * | 2018-11-19 | 2019-04-26 | 华东师范大学 | 基于生成对抗网络的雾计算工业协议构建方法及构建系统 |
-
2019
- 2019-06-06 CN CN201910493011.0A patent/CN110210226A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180336439A1 (en) * | 2017-05-18 | 2018-11-22 | Intel Corporation | Novelty detection using discriminator of generative adversarial network |
| CN109391602A (zh) * | 2017-08-11 | 2019-02-26 | 北京金睛云华科技有限公司 | 一种僵尸主机检测方法 |
| US20190087730A1 (en) * | 2017-09-19 | 2019-03-21 | Preferred Networks, Inc. | Non-transitory computer-readable storage medium storing improved generative adversarial network implementation program, improved generative adversarial network implementation apparatus, and learned model generation method |
| CN109685200A (zh) * | 2018-11-19 | 2019-04-26 | 华东师范大学 | 基于生成对抗网络的雾计算工业协议构建方法及构建系统 |
| CN109543827A (zh) * | 2018-12-02 | 2019-03-29 | 清华大学 | 生成式对抗网络装置及训练方法 |
Non-Patent Citations (1)
| Title |
|---|
| 傅建明 等: ""基于GAN的网络攻击检测研究综述"", 《信息网络安全》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110619216A (zh) * | 2019-09-17 | 2019-12-27 | 武汉思普崚技术有限公司 | 一种对抗性网络的恶意软件检测方法及系统 |
| CN110619216B (zh) * | 2019-09-17 | 2021-09-03 | 武汉思普崚技术有限公司 | 一种对抗性网络的恶意软件检测方法及系统 |
| CN110659492A (zh) * | 2019-09-24 | 2020-01-07 | 北京信息科技大学 | 一种基于多智能体强化学习的恶意软件检测方法及装置 |
| CN110659492B (zh) * | 2019-09-24 | 2021-10-15 | 北京信息科技大学 | 一种基于多智能体强化学习的恶意软件检测方法及装置 |
| CN110830490A (zh) * | 2019-11-14 | 2020-02-21 | 苏州大学 | 基于带对抗训练深度网络的恶意域名检测方法及系统 |
| CN110933104A (zh) * | 2019-12-11 | 2020-03-27 | 成都卫士通信息产业股份有限公司 | 恶意命令检测方法、装置、设备及介质 |
| CN111259393A (zh) * | 2020-01-14 | 2020-06-09 | 河南信息安全研究院有限公司 | 一种基于生成对抗网络的恶意软件检测器抗概念漂移方法 |
| CN112380537A (zh) * | 2020-11-30 | 2021-02-19 | 北京天融信网络安全技术有限公司 | 一种检测恶意软件的方法、装置、存储介质和电子设备 |
| CN113961919A (zh) * | 2020-12-23 | 2022-01-21 | 网神信息技术(北京)股份有限公司 | 恶意软件检测方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110210226A (zh) | 一种恶意文件检测方法、系统、设备及计算机存储介质 | |
| US10237289B2 (en) | Method and device for detecting network intrusion | |
| JP6991163B2 (ja) | 情報をプッシュする方法及びデバイス | |
| CN105022957B (zh) | 随选检测恶意程序的方法及其电子装置 | |
| CN109976930A (zh) | 异常数据的检测方法、系统及存储介质 | |
| CN107615310A (zh) | 信息处理设备 | |
| CN107783762A (zh) | 界面生成方法、装置、存储介质和计算机设备 | |
| CN110933104B (zh) | 恶意命令检测方法、装置、设备及介质 | |
| CN107209825A (zh) | 经由存储器监测的数据流跟踪 | |
| CN106096391A (zh) | 一种进程控制方法及用户终端 | |
| CN109213859A (zh) | 一种文本检测方法、装置及系统 | |
| CN104572059A (zh) | 一种修改应用名称的处理方法及装置 | |
| CN104281995A (zh) | 图片添加水印的方法和装置 | |
| CN109308516A (zh) | 一种图像处理的方法及设备 | |
| CN104239799A (zh) | 基于行为链的Android应用程序隐私窃取检测方法及系统 | |
| Jeong et al. | Where and how does a product evolve? Product innovation pattern in product lineage | |
| CN101930401A (zh) | 一种基于检测对象的软件漏洞模型检测方法 | |
| CN108875374B (zh) | 基于文档节点类型的恶意pdf检测方法及装置 | |
| CN108076370A (zh) | 信息传输方法、装置和电子设备 | |
| CN104112056A (zh) | 数据处理的故障检测方法和系统 | |
| CN113269433B (zh) | 税收风险预测方法、设备、介质及计算机程序产品 | |
| CN110135592A (zh) | 分类效果确定方法、装置、智能终端及存储介质 | |
| CN109284828A (zh) | 一种超参数调优方法、装置及设备 | |
| CN110019196A (zh) | 数据处理方法及装置 | |
| US20220255953A1 (en) | Feature detection with neural network classification of images representations of temporal graphs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190906 |