CN110581856A - 一种恶意代码的检测方法及系统 - Google Patents

Abstract

本发明提供一种恶意代码的检测方法及系统，可以基于历史代码数据，分析构建一个恶意图像训练自编码器，首先使用真实恶意代码转换成的图像，训练所述恶意图像训练自编码器，所述自编码器自身还有不断复合、变异恶意代码的能力，当恶意图像训练自编码器训练完毕后，再接入机器学习模块，作为机器学习模块的模拟恶意代码源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。

Description

一种恶意代码的检测方法及系统

技术领域

本申请涉及网络安全技术领域，尤其涉及一种恶意代码的检测方法及系统。

背景技术

现有的恶意代码检测需要收集一定量的数据，从大量的数据中挖掘使用模式，基于模式匹配检测恶意代码。但是这种方法是基于已有的数据进行检测，导致无法及时检测未知的恶意代码。所以急需一种可以自我生成可使用的恶意代码，增强训练数据，提升检测模型性能的方法和系统。

发明内容

本发明的目的在于提供一种恶意代码的检测方法及系统，可以基于历史代码数据，分析构建一个恶意图像训练自编码器，首先使用真实恶意代码转换成的图像，训练所述恶意图像训练自编码器，所述自编码器自身还有不断复合、变异恶意代码的能力，当恶意图像训练自编码器训练完毕后，再接入机器学习模块，作为机器学习模块的模拟恶意代码源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。

第一方面，本申请提供一种恶意代码的检测方法，所述方法包括：

获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；

其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；

所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

所述判别器根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

将所述恶意图像训练自编码器接入机器学习模块，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；

所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

结合第一方面，在第一方面第一种可能的实现方式中，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

结合第一方面，在第一方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

结合第一方面，在第一方面第三种可能的实现方式中，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。

第二方面，本申请提供一种恶意代码的检测系统，所述系统包括：

获取单元，用于获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

构建单元，用于基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

生成器，用于将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

判别器，用于根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

机器学习模块，用于接入所述恶意图像训练自编码器，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

结合第二方面，在第二方面第一种可能的实现方式中，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

结合第二方面，在第二方面第二种可能的实现方式中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

结合第二方面，在第二方面第三种可能的实现方式中，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。

本发明提供一种恶意代码的检测方法及系统，可以基于历史代码数据，分析构建一个恶意图像训练自编码器，首先使用真实恶意代码转换成的图像，训练所述恶意图像训练自编码器，所述自编码器自身还有不断复合、变异恶意代码的能力，当恶意图像训练自编码器训练完毕后，再接入机器学习模块，作为机器学习模块的模拟恶意代码源，不间断地攻击训练机器学习模块，帮助提升机器学习模块检测的能力。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明恶意代码的检测方法的流程图；

图2为本发明恶意代码的检测系统的架构图。

具体实施方式

下面结合附图对本发明的优选实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

图1为本申请提供的恶意代码的检测方法的流程图，所述方法包括：

获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；

其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；

所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

所述判别器根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

将所述恶意图像训练自编码器接入机器学习模块，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；

所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

在一些优选实施例中，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

在一些优选实施例中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

在一些优选实施例中，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。

图2为本申请提供的恶意代码的检测系统的架构图，所述系统包括：

获取单元，用于获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

构建单元，用于基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

生成器，用于将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

判别器，用于根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

机器学习模块，用于接入所述恶意图像训练自编码器，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

在一些优选实施例中，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

在一些优选实施例中，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

在一些优选实施例中，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。

具体实现中，本发明还提供一种计算机存储介质，其中，该计算机存储介质可以存储有程序，该程序执行时可包括本发明各个实施例中的部分或全部步骤。所述的存储介质可以为磁碟、光盘、只读存储记忆体(简称：ROM)或随机存储记忆体(简称：RAM)等。

本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书各个实施例之间相同相似的部分互相参见即可。尤其，对于实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例中的说明即可。

以上所述的本发明实施方式并不构成对本发明保护范围的限定。

Claims (8)

1.一种恶意代码的检测方法，其特征在于，所述方法包括：

获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；

其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；

所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

所述判别器根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

将所述恶意图像训练自编码器接入机器学习模块，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；

所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

2.根据权利要求1所述的方法，其特征在于，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

3.根据权利要求1-2任一项所述的方法，其特征在于，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。

5.一种恶意代码的检测系统，其特征在于，所述系统包括：

获取单元，用于获取历史代码数据，根据已知的恶意代码的特征，分析提取历史代码数据中恶意代码的特征向量；其中，分析提取历史代码数据中恶意代码的特征向量包括，将恶意二进制代码转变为矩阵，利用二进制代码长度计算出矩阵的行数和列数，矩阵中每个数值对应一个字节，每个字节范围在00-FF之间，对应图像的像素范围0-255，将矩阵转变为恶意图像，将恶意图像归一化映射到[0,1]上；

构建单元，用于基于所述恶意代码的特征向量，构建恶意图像训练自编码器，应用该自编码器可随机生成已知的各种类型的恶意代码图像以及多种恶意代码复合图像；所述多种恶意代码复合图像包括同时具备若干种恶意代码特征的图像，或者时域上连续的若干种恶意代码拼接成的图像，或变异恶意代码特征而成的图像；

生成器，用于将所述恶意图像训练自编码器作为对抗性网络的生成器，所述生成器的输出不间断地与真实恶意代码图像一并送入判别器；

判别器，用于根据两端输入的生成器输出和真实恶意代码图像，得出判别结果；如果判别结果为真时，表明生成器输出与真实恶意代码图像在特征向量上非常接近，判别器将相似度信息反馈给生成器；如果判别结果为假时，表明生成器输出与真实恶意代码图像在特征向量上差别很大，判别器将差别度信息、真实恶意代码图像的特征向量一并反馈给生成器；

所述生成器根据判别器的反馈结果调整恶意图像训练自编码器的参数，再次生成新的输出；

当判别器得到的判别结果为真的比率大于预先设置的阈值时，表明所述恶意图像训练自编码器训练完毕；

机器学习模块，用于接入所述恶意图像训练自编码器，由所述恶意图像训练自编码器不间断随机生成网络恶意代码，供机器学习模块自我学习；所述机器学习模块借助所述恶意图像训练自编码器，不间断丰富各种网络恶意代码特征向量样本，对真实网络流量进行恶意代码检测，并将检测结果反馈给管理员，管理员可以定时根据检测结果调整所述恶意图像训练自编码器的参数，启动所述恶意图像训练自编码器的更新。

6.根据权利要求5所述的系统，其特征在于，所述变异恶意代码特征而成的图像，包括对已知的恶意代码特征向量做扩展，以及修改若干恶意代码的字段，进而再形成图像。

7.根据权利要求5-6任一项所述的系统，其特征在于，所述判别器还会将判别的结果反馈给管理员，供管理员实时调整所述恶意图像训练自编码器的参数。

8.根据权利要求5-7任一项所述的系统，其特征在于，所述将恶意图像归一化映射到[0,1]上，包括归一化矩阵的每个数值在0到1之间，越接近1，图像点越红；越接近0，图像点越蓝。