CN110321705A - 用于生成模型的方法、装置和用于检测文件的方法、装置 - Google Patents
用于生成模型的方法、装置和用于检测文件的方法、装置 Download PDFInfo
- Publication number
- CN110321705A CN110321705A CN201910624313.7A CN201910624313A CN110321705A CN 110321705 A CN110321705 A CN 110321705A CN 201910624313 A CN201910624313 A CN 201910624313A CN 110321705 A CN110321705 A CN 110321705A
- Authority
- CN
- China
- Prior art keywords
- word sequence
- code file
- word
- training sample
- initial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
- G06N3/084—Backpropagation, e.g. using gradient descent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开的实施例公开了用于生成模型的方法和装置。该方法的一具体实施方式包括:获取训练样本集和初始神经网络,其中,训练样本包括代码文件和检测结果,检测结果用于指示代码文件是否为恶意代码文件;对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列;将目标词序列中的词转化为词向量,生成词矩阵;利用词矩阵和检测结果,组成新的训练样本;利用机器学习方法,将新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得检测模型。该实施方式有助于利用检测模型,提高恶意代码文件检测的可靠性。
Description
技术领域
本公开的实施例涉及计算机技术领域,尤其涉及用于生成模型的方法、装置和用于检测文件的方法、装置。
背景技术
恶意代码是指故意编制或设置的、会对网站或系统产生威胁或潜在威胁的计算机代码。为了提高网站或系统的安全性,实践中,需要对恶意代码进行检测。
目前,恶意代码的检测方法大多基于关键词匹配和打分规则,其中,关键词和打分规则由本领域的专家进行维护。
发明内容
本公开的实施例提出了用于生成模型的方法、装置和用于检测文件的方法、装置。
第一方面,本公开的实施例提供了一种用于生成模型的方法,该方法包括:获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
在一些实施例中,利用该训练样本中的代码文件包括的代码,生成目标词序列包括:利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。
在一些实施例中,利用该训练样本中的代码文件包括的代码,生成目标词序列包括:利用该训练样本中的代码文件包括的代码,生成初始词序列;确定所生成的初始词序列中包括的词的数量;基于所确定的数量和所生成的初始词序列,生成目标词序列。
在一些实施例中,基于所确定的数量和所生成的初始词序列,生成目标词序列包括:响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
在一些实施例中,基于所确定的数量和所生成的初始词序列,生成目标词序列包括:响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为预设数量;将删除后的初始词序列确定为目标词序列。
在一些实施例中,基于所确定的数量和所生成的初始词序列,生成目标词序列包括:响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为预设数量;将添加后的初始词序列确定为目标词序列。
在一些实施例中,初始神经网络包括第一神经网络、第二神经网络和结果生成网络,第一神经网络用于提取所输入的代码文件的特征,获得第一特征数据,第二神经网络用于提取所输入的代码文件的特征,获得第二特征数据,结果生成网络用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
第二方面,本公开的实施例提供了一种用于检测文件的方法,该方法包括:获取目标代码文件;利用目标代码文件中的代码,生成目标词序列;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,检测模型为采用如上述第一方面所描述的方法中的任一方法生成的模型。
在一些实施例中,该方法还包括:响应于所获得的检测结果指示目标代码文件为恶意代码文件,输出报警信息。
第三方面,本公开的实施例提供了一种用于生成模型的装置,该装置包括:第一获取单元,被配置成获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;执行单元,被配置成对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;训练单元,被配置成利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
在一些实施例中,执行单元进一步被配置成:利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。
在一些实施例中,执行单元进一步被配置成:利用该训练样本中的代码文件包括的代码,生成初始词序列;确定所生成的初始词序列中包括的词的数量;基于所确定的数量和所生成的初始词序列,生成目标词序列。
在一些实施例中,执行单元进一步被配置成:响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
在一些实施例中,执行单元进一步被配置成:响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为预设数量;将删除后的初始词序列确定为目标词序列。
在一些实施例中,执行单元进一步被配置成:响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为预设数量;将添加后的初始词序列确定为目标词序列。
在一些实施例中,初始神经网络包括第一神经网络、第二神经网络和结果生成网络,第一神经网络用于提取所输入的代码文件的特征,获得第一特征数据,第二神经网络用于提取所输入的代码文件的特征,获得第二特征数据,结果生成网络用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
第四方面,本公开的实施例提供了一种用于检测文件的装置,该装置包括:第二获取单元,被配置成获取目标代码文件;第一生成单元,被配置成利用目标代码文件中的代码,生成目标词序列;第二生成单元,被配置成将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;输入单元,被配置成将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,检测模型为采用如上述第一方面所描述的方法中的任一方法生成的模型。
在一些实施例中,该装置还包括:输出单元,被配置成响应于所获得的检测结果指示目标代码文件为恶意代码文件,输出报警信息。
第五方面,本公开的实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现上述第一方面和第二方面所描述的方法中任一实施例的方法。
第六方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现上述第一方面和第二方面所描述的方法中任一实施例的方法。
本公开的实施例提供的用于生成模型的方法和装置,通过获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件,而后对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本,最后利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型,从而可以生成用于检测恶意代码文件的检测模型,相较于现有技术中基于技术人员的先验知识来检测恶意代码文件,本公开有助于利用检测模型,提高恶意代码文件检测的可靠性,减小检测恶意文件过程中所消耗的资源(例如人力资源、用于维护先验知识的资源等)。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于生成模型的方法的一个实施例的流程图;
图3是根据本公开的实施例的用于生成模型的方法的一个应用场景的示意图;
图4是根据本公开的用于检测文件的方法的一个实施例的流程图;
图5是根据本公开的用于生成模型的装置的一个实施例的结构示意图;
图6是根据本公开的用于检测文件的装置的一个实施例的结构示意图;
图7是适于用来实现本公开的实施例的电子设备的计算机系统的结构示意图。
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的用于生成模型的方法、用于生成模型的装置、用于检测文件的方法或者用于检测文件的装置的实施例的示例性系统架构100。
如图1所示,系统架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用,例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端设备101、102、103可以是硬件,也可以是软件。当终端设备101、102、103为硬件时,可以是各种电子设备,包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III,动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。当终端设备101、102、103为软件时,可以安装在上述所列举的电子设备中。其可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
服务器105可以是提供各种服务的服务器,例如对终端设备101、102、103发送的初始神经网络进行训练的模型训练服务器。模型训练服务器可以对接收到的初始神经网络等数据进行训练等处理,并获得处理结果(例如检测模型)。在一些场景下,模型训练服务器还可以将获得的处理结果反馈给终端设备101、102、103。
需要说明的是,本公开的实施例所提供的用于生成模型的方法可以由终端设备101、102、103执行,也可以由服务器105执行,相应地,用于生成模型的装置可以设置于终端设备101、102、103中,也可以设置于服务器105中。此外,本公开的实施例所提供的用于检测文件的方法可以由终端设备101、102、103执行,也可以由服务器105执行,相应地,用于检测文件的装置可以设置于终端设备101、102、103中,也可以设置于服务器105中。
需要说明的是,服务器可以是硬件,也可以是软件。当服务器为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器为软件时,可以实现成多个软件或软件模块(例如用来提供分布式服务的多个软件或软件模块),也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。在生成检测模型或者生成目标代码文件对应的检测结果的过程中所使用的数据不需要从远程获取的情况下,上述系统架构可以不包括网络,而只包括终端设备或服务器。
继续参考图2,示出了根据本公开的用于生成模型的方法的一个实施例的流程200。该用于生成模型的方法,包括以下步骤:
步骤201,获取预置的训练样本集和初始神经网络。
在本实施例中,用于生成模型的方法的执行主体(例如图1所示的服务器)可以通过有线连接方式或者无线连接方式从本地或其他电子设备获取预置的训练样本集和初始神经网络。其中,训练样本包括代码文件和针对代码文件预先标注的检测结果。代码文件中包括代码。实践中,一个代码文件通常对应一种操作(例如显示预设页面的操作)。
检测结果用于指示代码文件是否为恶意代码文件,可以包括但不限于以下至少一项:数字、文字、符号、图像。作为示例,检测结果可以包括“0”或“1”,其中,“0”可以用于指示代码文件不是恶意代码文件;“1”可以用于指示代码文件是恶意代码文件。
在本实施例中,恶意代码文件包括恶意代码。恶意代码文件所对应的操作为恶意操作(例如修改所显示的预设页面的操作)。
在本实施例中,初始神经网络可以为预先设置的用于检测恶意代码文件的神经网络。具体的,初始神经网络可以为未经训练的神经网络,也可以为经过训练,但未训练完成的神经网络。
实践中,神经网络在检测信息时,通过会首先提取信息的特征,然后再基于所提取的特征,生成信息检测结果。同理,本实施例中的初始神经网络可以包括用于提取代码文件的特征的结构(例如卷积层)和用于生成检测结果的结构(例如全连接层)。
在本实施例的一些可选的实现方式中,初始神经网络可以包括第一神经网络、第二神经网络和结果生成网络。其中,第一神经网络可以用于提取所输入的代码文件的特征,获得第一特征数据。第二神经网络可以用于提取所输入的代码文件的特征,获得第二特征数据。结果生成网络可以用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
在本实现方式中,第一神经网络和第二神经网络可以为各种能够提取代码文件的特征的神经网络。作为示例,第一神经网络可以为卷积神经网络,第二神经网络可以为循环神经网络。卷积神经网络可以包括用于提取代码文件的特征的卷积层,此外,还可以包括池化层、全连接层等。循环神经网络可以包括用于提取代码文件的特征的双向长短期记忆网络(BLSTM,Bidirectional Long Short-Term Memory),此外,还可以包括Dropout层、全连接层等。结果生成网络可以包括各种用于基于特征数据,生成结果的结构,例如可以包括全连接层或分类器等。
需要说明的是,本实现方式中的“第一”、“第二”仅用于区分不同的神经网络和不同的特征数据,不应作为对本实现方式的限制。
利用本实现方式的初始神经网络,可以综合两个不同的神经网络提取的特征数据,获得检测结果。由于不同的神经网络在提取特征时,侧重的方面往往不同,因此,本实现方式有助于利用第一神经网络和第二神经网络,提取出代码文件的更为全面的特征,进而,有助于利用更为全面的特征,生成更为准确的检测结果。
步骤202,对于训练样本集中的训练样本,执行步骤。
在本实施例中,对于步骤201中获得的训练样本集中的训练样本,上述执行主体可以执行以下步骤(步骤2021-步骤2023):
步骤2021,利用该训练样本中的代码文件包括的代码,生成目标词序列。
在本实施例中,目标词序列为待对其进行转化的词序列。目标词序列中的词为代码文件中的代码。目标词序列可以按照代码在代码文件中出现的先后顺序排列。目标词序列中包括的词的数量为预设数量。
具体的,利用该训练样本中的代码文件包括的代码,上述执行主体可以采用各种方法生成目标词序列。例如,上述执行主体可以从代码文件所包括的代码中随机地提取预设数量个代码,然后,按照代码在代码文件中出现的先后顺序,将所提取的预设数量个代码组成目标词序列。
在本实施例的一些可选的实现方式中,上述执行主体可以利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。这里,预设代码可以为技术人员预先设置的各种代码,作为示例,预设代码可以为技术人员预先设置的、对代码文件的内容不具有实质影响的代码(例如“end”、“if”、“for”等)。
在本实施例的一些可选的实现方式中,利用该训练样本中的代码文件包括的代码,上述执行主体可以通过以下步骤生成目标词序列:首先,利用该训练样本中的代码文件包括的代码,生成初始词序列。然后,确定所生成的初始词序列中包括的词的数量。最后,基于所确定的数量和所生成的初始词序列,生成目标词序列。
这里,上述执行主体可以采用各种方法利用该训练样本中的代码文件包括的代码,生成初始词序列,例如,可以直接利用代码文件中的代码,组成初始词序列;或者,可以利用代码文件包括的、除预设代码以外的代码,组成初始词序列。
具体的,基于所确定的数量和初始词序列,上述执行主体可以采用各种方法生成目标词序列。
在本实施例的一些可选的实现方式中,上述执行主体可以响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
在本实施例的一些可选的实现方式中,上述执行主体可以响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为预设数量,进而将删除后的初始词序列确定为目标词序列。
这里,对所生成的初始词序列中的词进行删除的具体删除方式可以是任意的,例如可以是随机删除的方式,或者可以是删除初始词序列中排序在预设位置(例如末位)的词的方式。
在本实施例的一些可选的实现方式中,上述执行主体可以响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为预设数量,进而将添加后的初始词序列确定为目标词序列。
这里,预设词在初始词序列中的添加位置可以是任意的,例如可以是随机的位置,或者可以是初始词序列的预设位置(例如末位)。
步骤2022,将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵。
在本实施例中,基于步骤2021中得到的目标词序列,上述执行主体可以将目标词序列中的各个词转化为词向量,进而,利用转化成的词向量,组成目标词序列对应的词矩阵。
作为示例,目标词序列为“A;B”。则上述执行主体可以首先将“A”转化为词向量[1,0];将“B”转化为词向量[2,3]。然后利用词向量[1,0]和词向量[2,3]组成词矩阵
可以理解,上述执行主体也可以利用词向量[1,0]和词向量[2,3]组成其他词矩阵,例如[1,0,2,3],本公开对此不做限制,具体的组成方式可以由技术人员预先设置。
在本实施例中,上述执行主体可以利用词嵌入(Word Embedding)方法将目标词序列中的词转化为词向量。词嵌入是自然语言处理(NLP,Natural Language Processing)中语言模型与表征学习技术的统称。从概念上而言,它是指把一个以全部词的数量作为维数的高维空间嵌入到一个低维数的向量空间中,每个词或词组被映射为实数域上的向量。
实践中,词嵌入的方法包括基于人工神经网络的方法、对词语同现矩阵进行降维的方法、基于概率模型的方法等。
步骤2023,利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本。
在本实施例中,上述执行主体可以利用步骤2022中得到的词矩阵和该训练样本中的检测结果,组成新的训练样本。
可以理解的是,通过针对步骤201中得到的训练样本集中的各个训练样本分别执行上述步骤2021-步骤2023,可以获得多个新的训练样本。
步骤203,利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
在本实施例中,基于步骤202中得到的新的训练样本,上述执行主体可以利用机器学习方法,将新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
具体的,上述执行主体可以将新的训练样本中的词矩阵输入初始神经网络,获得实际检测结果,然后利用预设的损失函数计算所得到的实际检测结果与新的训练样本中的检测结果之间的差异,利用所得到的差异调整初始神经网络的参数,直至训练满足预先设置的完成条件,获得训练完成的初始神经网络作为检测模型。
其中,损失函数可以为各种损失函数,例如可以为交叉熵损失函数。完成条件可以包括但不限于以下至少一项:训练时间超过预设时长;训练次数超过预设次数;计算所得的差异小于预设差异阈值。
在这里,可以采用各种方式基于计算得到的差异调整初始神经网络的参数。例如,可以采用BP(Back Propagation,反向传播)算法及SGD(Stochastic Gradient Descent,随机梯度下降)算法来调整初始神经网络的参数。
继续参见图3,图3是根据本实施例的用于生成模型的方法的应用场景的一个示意图。在图3的应用场景中,服务器31可以首先获取预置的训练样本集32和初始神经网络33,其中,训练样本集32中的训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件。然后,对于训练样本集32中的训练样本321,服务器31可以执行以下步骤:利用该训练样本321中的代码文件3211中的代码,生成目标词序列34,其中,目标词序列34中包括的词的数量可以为10(即预设数量);将所生成的目标词序列34中的词转化为词向量,生成目标词序列34对应的词矩阵35;利用所生成的词矩阵35和该训练样本321中的检测结果3212,组成新的训练样本36。最后,服务器31可以利用机器学习方法,将所组成的新的训练样本36中的词矩阵35作为初始神经网络33的输入数据,将所输入的词矩阵35所对应的检测结果3212作为初始神经网络33的期望输出数据,对初始神经网络33进行训练,获得训练完成的初始神经网络作为检测模型37。
本公开的上述实施例提供的方法可以生成用于检测恶意代码文件的检测模型,相较于现有技术中基于技术人员的先验知识来检测恶意代码文件,本公开有助于利用检测模型,提高恶意代码文件检测的可靠性,减小检测恶意文件过程中所消耗的资源(例如人力资源、用于维护先验知识的资源等)。
进一步参考图4,其示出了用于检测文件的方法的一个实施例的流程400。该用于检测文件的方法的流程400,包括以下步骤:
步骤401,获取目标代码文件。
在本实施例中,用于检测文件的方法的执行主体(例如图1所示的终端设备)可以通过有线连接方式或者无线连接方式从远程或本地获取目标代码文件。其中,目标代码文件为待对其进行检测的代码文件。目标代码文件中包括代码。
具体的,目标代码文件中可以包括恶意代码,进而,目标代码文件则为恶意代码文件;相对应的,目标代码文件中可以不包括恶意代码,进而,目标代码文件则为非恶意代码文件。
步骤402,利用目标代码文件中的代码,生成目标词序列。
在本实施例中,基于步骤401中得到的目标代码文件。上述执行主体可以利用目标代码文件中的代码,生成目标词序列,其中,目标词序列中的词的数量为预设数量。
具体的,上述执行主体可以参照上述步骤2021中描述的任一方法生成目标代码文件对应的目标词序列,此处不再赘述。
步骤403,将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵。
在本实施例中,基于步骤402中获得的目标词序列,上述执行主体可以将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵。
具体的,上述执行主体可以参照上述步骤2022中描述的任一方法生成目标词序列对应的词矩阵,此处不再赘述。
步骤404,将所生成的词矩阵输入预先生成的检测模型,获得检测结果。
在本实施例中,基于步骤403中得到的词矩阵,上述执行主体可以将词矩阵输入预先生成的检测模型,获得检测结果。其中,检测结果用于指示目标代码文件是否为恶意代码文件,可以包括但不限于以下至少一项:数字、文字、符号、图像。作为示例,检测结果可以包括“0”或“1”,其中,“0”可以用于指示目标代码文件不是恶意代码文件;“1”可以用于指示目标代码文件是恶意代码文件。
在本实施例中,检测模型为采用图2对应的实施例中描述的任一方法生成的模型,具体生成方法可以参照图2对应的实施例,此处不再赘述。
在本实施例的一些可选的实现方式中,上述执行主体还可以响应于所获得的检测结果指示目标代码文件为恶意代码文件,输出报警信息。其中,报警信息为用于提醒目标代码文件为恶意代码文件的信息,可以包括但不限于以下至少一项:文字、数字、符号、图像、音频、视频。具体的,报警信息可以为预先设置的信息(例如“!!!”),也可以为基于目标代码文件,生成的信息(例如将目标代码文件的文件名确定报警信息)。
具体的,上述执行主体可以将报警信息输出给通信连接的其他电子设备,也可以将报警信息直接输出给用户或管理员。
本实现方式可以在利用检测模型检测出目标代码文件为恶意代码文件的情况下,输出报警信息,以便提醒用户或管理员目标代码文件为恶意代码文件,有助于及时对恶意代码文件进行处理;并且,由于利用本公开的检测模型,可以获得更为准确、可靠的检测结果,所以,本实现方式可以进行更为准确、可靠的报警,有助于减少错误报警所消耗的资源。
本公开的上述实施例提供的方法可以利用图2对应实施例中描述的任一方法生成的检测模型对目标代码文件进行检测,相较于现有技术中基于技术人员的先验知识来检测恶意代码文件,本公开可以利用检测模型,提高恶意代码文件检测的可靠性,减小检测恶意文件过程中所消耗的资源(例如人力资源、用于维护先验知识的资源等)。
进一步参考图5,作为对上述图2所示方法的实现,本公开提供了一种用于生成模型的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图5所示,本实施例的用于生成模型的装置500包括:第一获取单元501、执行单元502和训练单元503。其中,第一获取单元501被配置成获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;执行单元502被配置成对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;训练单元503被配置成利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
在本实施例中,用于生成模型的装置500的执第一获取单元501可以通过有线连接方式或者无线连接方式从本地或其他电子设备获取预置的训练样本集和初始神经网络。其中,训练样本包括代码文件和针对代码文件预先标注的检测结果。代码文件中包括代码。恶意代码文件包括恶意代码。
检测结果用于指示代码文件是否为恶意代码文件,可以包括但不限于以下至少一项:数字、文字、符号、图像。
在本实施例中,初始神经网络可以为预先设置的用于检测恶意代码文件的神经网络。具体的,初始神经网络可以为未经训练的神经网络,也可以为经过训练,但未训练完成的神经网络。
在本实施例中,对于第一获取单元501获得的训练样本集中的训练样本,执行单元502可以执行以下步骤(步骤5021-步骤5023):
步骤5021,利用该训练样本中的代码文件包括的代码,生成目标词序列。
在本实施例中,目标词序列为待对其进行转化的词序列。目标词序列中的词为代码文件中的代码。目标词序列可以按照代码在代码文件中出现的先后顺序排列。目标词序列中包括的词的数量为预设数量。
步骤5022,将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵。
在本实施例中,基于步骤5021中得到的目标词序列,执行单元502可以将目标词序列中的各个词转化为词向量,进而,利用转化成的词向量,组成目标词序列对应的词矩阵。
步骤5023,利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本。
在本实施例中,执行单元502可以利用步骤5022中得到的词矩阵和该训练样本中的检测结果,组成新的训练样本。
在本实施例中,基于执行单元502得到的新的训练样本,训练单元503可以利用机器学习方法,将新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
在本实施例的一些可选的实现方式中,执行单元502可以进一步被配置成:利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。
在本实施例的一些可选的实现方式中,执行单元502可以进一步被配置成:利用该训练样本中的代码文件包括的代码,生成初始词序列;确定所生成的初始词序列中包括的词的数量;基于所确定的数量和所生成的初始词序列,生成目标词序列。
在本实施例的一些可选的实现方式中,执行单元502可以进一步被配置成:响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
在本实施例的一些可选的实现方式中,执行单元502可以进一步被配置成:响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为预设数量;将删除后的初始词序列确定为目标词序列。
在本实施例的一些可选的实现方式中,执行单元502可以进一步被配置成:响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为预设数量;将添加后的初始词序列确定为目标词序列。
在本实施例的一些可选的实现方式中,初始神经网络包括第一神经网络、第二神经网络和结果生成网络,第一神经网络用于提取所输入的代码文件的特征,获得第一特征数据,第二神经网络用于提取所输入的代码文件的特征,获得第二特征数据,结果生成网络用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
可以理解的是,该装置500中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置500及其中包含的单元,在此不再赘述。
本公开的上述实施例提供的装置500可以生成用于检测恶意代码文件的检测模型,相较于现有技术中基于技术人员的先验知识来检测恶意代码文件,本公开有助于利用检测模型,提高恶意代码文件检测的可靠性,减小检测恶意文件过程中所消耗的资源(例如人力资源、用于维护先验知识的资源等)。
进一步参考图6,作为对上述图4所示方法的实现,本公开提供了一种用于检测文件的装置的一个实施例,该装置实施例与图4所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图6所示,本实施例的用于检测文件的装置600包括:第二获取单元601、第一生成单元602、第二生成单元603和输入单元604。其中,第二获取单元601被配置成获取目标代码文件;第一生成单元602被配置成利用目标代码文件中的代码,生成目标词序列;第二生成单元603被配置成将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;输入单元604被配置成将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,检测模型为采用图2对应的实施例中描述的任一方法生成的模型。
在本实施例中,用于检测文件的装置600的第二获取单元601可以通过有线连接方式或者无线连接方式从远程或本地获取目标代码文件。其中,目标代码文件为待对其进行检测的代码文件。目标代码文件中包括代码。
在本实施例中,基于第二获取单元601得到的目标代码文件。第一生成单元602可以利用目标代码文件中的代码,生成目标词序列,其中,目标词序列中的词的数量为预设数量。
在本实施例中,基于第一生成单元602获得的目标词序列,第二生成单元603可以将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵。
在本实施例中,基于第三生成单元603得到的词矩阵,输入单元604可以将词矩阵输入预先生成的检测模型,获得检测结果。其中,检测结果用于指示目标代码文件是否为恶意代码文件,可以包括但不限于以下至少一项:数字、文字、符号、图像。检测模型为采用图2对应的实施例中描述的任一方法生成的模型。
在本实施例的一些可选的实现方式中,装置600还可以包括:输出单元(图中未示出),被配置成响应于所获得的检测结果指示目标代码文件为恶意代码文件,输出报警信息。
可以理解的是,该装置600中记载的诸单元与参考图4描述的方法中的各个步骤相对应。由此,上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置600及其中包含的单元,在此不再赘述。
本公开的上述实施例提供的装置600可以利用图2对应实施例中描述的任一方法生成的检测模型对目标代码文件进行检测,相较于现有技术中基于技术人员的先验知识来检测恶意代码文件,本公开可以利用检测模型,提高恶意代码文件检测的可靠性,减小检测恶意文件过程中所消耗的资源(例如人力资源、用于维护先验知识的资源等)。
下面参考图7,其示出了适于用来实现本公开实施例的电子设备(例如图1中的终端设备或服务器)700的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700可以包括处理装置(例如中央处理器、图形处理器等)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储装置708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有电子设备700操作所需的各种程序和数据。处理装置701、ROM 702以及RAM703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
通常,以下装置可以连接至I/O接口705:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置706;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置707;包括例如磁带、硬盘等的存储装置708;以及通信装置709。通信装置709可以允许电子设备700与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备700,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置709从网络上被下载和安装,或者从存储装置708被安装,或者从ROM 702被安装。在该计算机程序被处理装置701执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;对于训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型
此外,当上述一个或者多个程序被该电子设备执行时,也可以使得该电子设备:获取目标代码文件;利用目标代码文件中的代码,生成目标词序列;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,检测模型为采用图2所对应的实施例中任一实施例的方法生成的模型。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,单元的名称在某种情况下并不构成对该单元本身的限定,例如,第一获取单元还可以被描述为“获取训练样本集和初始神经网络的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (20)
1.一种用于生成模型的方法,包括:
获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;
对于所述训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;
利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
2.根据权利要求1所述的方法,其中,所述利用该训练样本中的代码文件包括的代码,生成目标词序列包括:
利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。
3.根据权利要求1所述的方法,其中,所述利用该训练样本中的代码文件包括的代码,生成目标词序列包括:
利用该训练样本中的代码文件包括的代码,生成初始词序列;
确定所生成的初始词序列中包括的词的数量;
基于所确定的数量和所生成的初始词序列,生成目标词序列。
4.根据权利要求3所述的方法,其中,所述基于所确定的数量和所生成的初始词序列,生成目标词序列包括:
响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
5.根据权利要求3所述的方法,其中,所述基于所确定的数量和所生成的初始词序列,生成目标词序列包括:
响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为所述预设数量;
将删除后的初始词序列确定为目标词序列。
6.根据权利要求3所述的方法,其中,所述基于所确定的数量和所生成的初始词序列,生成目标词序列包括:
响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为所述预设数量;
将添加后的初始词序列确定为目标词序列。
7.根据权利要求1-6之一所述的方法,其中,所述初始神经网络包括第一神经网络、第二神经网络和结果生成网络,所述第一神经网络用于提取所输入的代码文件的特征,获得第一特征数据,所述第二神经网络用于提取所输入的代码文件的特征,获得第二特征数据,结果生成网络用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
8.一种用于检测文件的方法,包括:
获取目标代码文件;
利用所述目标代码文件中的代码,生成目标词序列;
将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;
将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,所述检测模型为采用如权利要求1-7之一所述的方法生成的模型。
9.根据权利要求8所述的方法,其中,所述方法还包括:
响应于所获得的检测结果指示所述目标代码文件为恶意代码文件,输出报警信息。
10.一种用于生成模型的装置,包括:
第一获取单元,被配置成获取预置的训练样本集和初始神经网络,其中,训练样本包括代码文件和针对代码文件预先标注的检测结果,检测结果用于指示代码文件是否为恶意代码文件;
执行单元,被配置成对于所述训练样本集中的训练样本,执行以下步骤:利用该训练样本中的代码文件包括的代码,生成目标词序列,其中,目标词序列中包括的词的数量为预设数量;将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;利用所生成的词矩阵和该训练样本中的检测结果,组成新的训练样本;
训练单元,被配置成利用机器学习方法,将所组成的新的训练样本中的词矩阵作为初始神经网络的输入数据,将所输入的词矩阵所对应的检测结果作为初始神经网络的期望输出数据,对初始神经网络进行训练,获得训练完成的初始神经网络作为检测模型。
11.根据权利要求10所述的装置,其中,所述执行单元进一步被配置成:
利用该训练样本中的代码文件包括的、除预设代码以外的代码,生成目标词序列。
12.根据权利要求10所述的装置,其中,所述执行单元进一步被配置成:
利用该训练样本中的代码文件包括的代码,生成初始词序列;
确定所生成的初始词序列中包括的词的数量;
基于所确定的数量和所生成的初始词序列,生成目标词序列。
13.根据权利要求12所述的装置,其中,所述执行单元进一步被配置成:
响应于所确定的数量为预设数量,将所生成的初始词序列确定为目标词序列。
14.根据权利要求12所述的装置,其中,所述执行单元进一步被配置成:
响应于所确定的数量大于预设数量,对所生成的初始词序列中的词进行删除,以使删除后的初始词序列中包括的词的数量为所述预设数量;
将删除后的初始词序列确定为目标词序列。
15.根据权利要求12所述的装置,其中,所述执行单元进一步被配置成:
响应于所确定的数量小于预设数量,将预设词添加到所生成的初始词序列中,以使添加后的初始词序列中包括的词的数量为所述预设数量;
将添加后的初始词序列确定为目标词序列。
16.根据权利要求10-15之一所述的装置,其中,所述初始神经网络包括第一神经网络、第二神经网络和结果生成网络,所述第一神经网络用于提取所输入的代码文件的特征,获得第一特征数据,所述第二神经网络用于提取所输入的代码文件的特征,获得第二特征数据,结果生成网络用于利用第一特征数据和第二特征数据,生成所输入的代码文件所对应的检测结果。
17.一种用于检测文件的装置,包括:
第二获取单元,被配置成获取目标代码文件;
第一生成单元,被配置成利用所述目标代码文件中的代码,生成目标词序列;
第二生成单元,被配置成将所生成的目标词序列中的词转化为词向量,生成目标词序列对应的词矩阵;
输入单元,被配置成将所生成的词矩阵输入预先生成的检测模型,获得检测结果,其中,所述检测模型为采用如权利要求1-7之一所述的方法生成的模型。
18.根据权利要求17所述的装置,其中,所述装置还包括:
输出单元,被配置成响应于所获得的检测结果指示所述目标代码文件为恶意代码文件,输出报警信息。
19.一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-9中任一所述的方法。
20.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-9中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910624313.7A CN110321705A (zh) | 2019-07-11 | 2019-07-11 | 用于生成模型的方法、装置和用于检测文件的方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910624313.7A CN110321705A (zh) | 2019-07-11 | 2019-07-11 | 用于生成模型的方法、装置和用于检测文件的方法、装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110321705A true CN110321705A (zh) | 2019-10-11 |
Family
ID=68123271
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910624313.7A Pending CN110321705A (zh) | 2019-07-11 | 2019-07-11 | 用于生成模型的方法、装置和用于检测文件的方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110321705A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111126503A (zh) * | 2019-12-27 | 2020-05-08 | 北京同邦卓益科技有限公司 | 一种训练样本的生成方法和装置 |
| CN111627564A (zh) * | 2020-05-25 | 2020-09-04 | 日立楼宇技术(广州)有限公司 | 用户检测模型的训练及检测方法、装置、设备和存储介质 |
| CN114860616A (zh) * | 2022-06-07 | 2022-08-05 | 慕思健康睡眠股份有限公司 | 一种代码检测方法、装置、设备和存储介质 |
-
2019
- 2019-07-11 CN CN201910624313.7A patent/CN110321705A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111126503A (zh) * | 2019-12-27 | 2020-05-08 | 北京同邦卓益科技有限公司 | 一种训练样本的生成方法和装置 |
| CN111126503B (zh) * | 2019-12-27 | 2023-09-26 | 北京同邦卓益科技有限公司 | 一种训练样本的生成方法和装置 |
| CN111627564A (zh) * | 2020-05-25 | 2020-09-04 | 日立楼宇技术(广州)有限公司 | 用户检测模型的训练及检测方法、装置、设备和存储介质 |
| CN114860616A (zh) * | 2022-06-07 | 2022-08-05 | 慕思健康睡眠股份有限公司 | 一种代码检测方法、装置、设备和存储介质 |
| CN114860616B (zh) * | 2022-06-07 | 2023-05-19 | 慕思健康睡眠股份有限公司 | 一种代码检测方法、装置、设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109104620B (zh) | 一种短视频推荐方法、装置和可读介质 | |
| CN110458107B (zh) | 用于图像识别的方法和装置 | |
| CN107679211A (zh) | 用于推送信息的方法和装置 | |
| CN110929799B (zh) | 用于检测异常用户的方法、电子设备和计算机可读介质 | |
| CN110321705A (zh) | 用于生成模型的方法、装置和用于检测文件的方法、装置 | |
| CN109743311A (zh) | 一种WebShell检测方法、装置及存储介质 | |
| CN109977839A (zh) | 信息处理方法和装置 | |
| CN108228906A (zh) | 用于生成信息的方法和装置 | |
| CN109495552A (zh) | 用于更新点击率预测模型的方法和装置 | |
| CN112995414B (zh) | 基于语音通话的行为质检方法、装置、设备及存储介质 | |
| CN109388551A (zh) | 预测代码存在漏洞概率的方法、漏洞检测方法、相关装置 | |
| CN112766284B (zh) | 图像识别方法和装置、存储介质和电子设备 | |
| CN109902446A (zh) | 用于生成信息预测模型的方法和装置 | |
| CN107977678A (zh) | 用于输出信息的方法和装置 | |
| CN110110666A (zh) | 目标检测方法和装置 | |
| CN110209658A (zh) | 数据清洗方法和装置 | |
| CN109784407A (zh) | 确定表字段的类型的方法和装置 | |
| CN112309565A (zh) | 用于匹配药品信息和病症信息的方法、装置、电子设备和介质 | |
| CN110008926B (zh) | 用于识别年龄的方法和装置 | |
| CN108595211A (zh) | 用于输出数据的方法和装置 | |
| CN113033707B (zh) | 视频分类方法、装置、可读介质及电子设备 | |
| CN112035334B (zh) | 异常设备检测方法、装置、存储介质与电子设备 | |
| CN115700548A (zh) | 用户行为预测的方法、设备和计算机程序产品 | |
| CN111782933B (zh) | 用于推荐书单的方法和装置 | |
| CN114140723B (zh) | 多媒体数据的识别方法、装置、可读介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |