CN112347478B - 一种恶意软件检测方法及装置 - Google Patents
一种恶意软件检测方法及装置 Download PDFInfo
- Publication number
- CN112347478B CN112347478B CN202011089772.9A CN202011089772A CN112347478B CN 112347478 B CN112347478 B CN 112347478B CN 202011089772 A CN202011089772 A CN 202011089772A CN 112347478 B CN112347478 B CN 112347478B
- Authority
- CN
- China
- Prior art keywords
- image
- software
- images
- hit
- histogram
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000013135 deep learning Methods 0.000 claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 31
- 238000012935 Averaging Methods 0.000 claims abstract description 10
- 238000001514 detection method Methods 0.000 claims description 39
- 238000012549 training Methods 0.000 claims description 38
- 238000006243 chemical reaction Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010606 normalization Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 7
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical group CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000013527 convolutional neural network Methods 0.000 description 4
- 239000011159 matrix material Substances 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 239000002689 soil Substances 0.000 description 2
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T7/00—Image analysis
- G06T7/10—Segmentation; Edge detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20081—Training; Learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06T—IMAGE DATA PROCESSING OR GENERATION, IN GENERAL
- G06T2207/00—Indexing scheme for image analysis or image enhancement
- G06T2207/20—Special algorithmic details
- G06T2207/20084—Artificial neural networks [ANN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Image Analysis (AREA)
Abstract
本发明实施例提供一种恶意软件检测方法及装置,涉及网络安全技术领域。该方法包括:将待检测软件转换为第一图像和第二图像,第一图像为行宽度和列宽度均为N,第二图像为行宽度和列宽度均M;将第一图像分割平均为L个第三图像;基于深度学习预测模型各图像为各个软件类别的概率;判断命中数量是否大于X,命中数量为待预测图像集中命中目标软件类别的图像的数量,待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别,目标软件类别为被待预测图像集中的图像命中次数最多的软件类别;若否,则输出用于为非恶意软件的指示信息。本发明实施例用于在进行恶意软件检测时减小误报率。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种恶意软件检测方法及装置。
背景技术
恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其它终端上安装运行,侵犯用户合法权益的软件。由于恶意软件数量及其变体的不断增长,恶意软件检测技术越来越受到关注。
传统恶意软件检测方式为静态检测方式,主要包括通常特征匹配式检测和启发式检测。随着恶意软件数量及其变体的不断增长,传统的静态检测方式以无法满足恶意软件检测的检出率及分类需求,为了进一步提升恶意软件检测的检出率,现有技术中提了出了基于图像检测的深度学习软件分类技术。具体为,将恶意软件的二进制数据映射为图像(例如:灰度图像),并提取映射得到的图像的特征,再利用图像特征进行聚类,并对聚类后的恶意软件进行家族标注,之后建立深度卷积神经网络模型(例如:深度卷积神经网络(Convolutional Neural Networks,CNN)或深度循环神经网络(Recurrent NeuralNetwork,RNN))进行模型训练,获取能够对软件家族进行分类的判别模型。当对未知软件进行检测时,将未知软件映射为某一固定尺寸的图像,并将未知软件映射得到的图像数据输入判别模型,以确定未知软件所属软件家族,并根据未知软件所属软件家族确定未知软件是否属于恶意软件,以及在确定未知软件为恶意软件时确定未知软件的家族分类。然而,由于待检测软件的大小未知且不固定,映射为统一尺寸图像过程中会带入干扰和噪声值,因此基于图像检测的深度学习软件分类技术存在误报率较高的问题。
发明内容
有鉴于此,本发明提供了一种恶意软件检测方法及装置,用于在通过基于图像检测的深度学习软件分类技术进行恶意软件检测时减小误报率。
为了实现上述目的,本发明实施例提供技术方案如下:
第一方面,本发明的实施例提供了一种恶意软件检测方法,包括:
将待检测软件转换为第一图像和第二图像,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数;
将所述第一图像分割平均为L个第三图像,L=a2;
基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合;
判断命中数量是否大于X,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数;
若否,则输出第一指示信息,所述第一指示信息用于指示所述待检测软件为非恶意软件。
作为本发明实施例一种可选的实施方式,在所述命中数量大于X的情况下,所述方法还包括:
获取所述命中数量对应的第一阈值和第二阈值;
判断命中图像的命中概率是否满足预设条件,所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值,所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值;
若否,则输出所述第一指示信息。
作为本发明实施例一种可选的实施方式,所述获取所述命中数量对应的第一阈值和第二阈值包括:
对阈值获取样本集中的各软件样本进行图像转换,获取第一图像集合和第二图像集合,所述第一图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第二图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
将所述第一图像集合中的每一个图像分割平均为L个图像,获取第三图像集合;
基于所述深度学习预测模型预测阈值获取图像集中各图像为各个软件类别的概率,所述阈值获取图像集为所述第二图像集合中的图像和所述第三图像集合中的图像组成的集合;
根据预设误报率,以预设值为间隔依次遍历所述阈值获取图像集中各图像为各个软件类别的概率,获取所述第一阈值和所述第二阈值。
作为本发明实施例一种可选的实施方式,在所述命中图像的命中概率满足所述预设条件的情况下,所述方法还包括:
获取第一直方图和第二直方图,所述第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图;
获取所述第一直方图和所述第二直方图的相似度;
判断所述相似度是否大于或等于相似度阈值;
若否,则输出所述第一指示信息;
若是,则输出第二指示信息和类别信息,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
作为本发明实施例一种可选的实施方式,所述获取所述第一直方图和所述第二直方图的相似度,包括:
对所述第一直方图和所述第二直方图进行归一化处理;
根据所述第一直方图和所述第二直方图的归一化结果以及如下公式获取所述第一直方图和所述第二直方图的相似度:
其中,
d为所述第一直方图和所述第二直方图的相似度。
作为本发明实施例一种可选的实施方式,所述将待检测软件转换为第一图像和第二图像,包括:
将所述待检测软件转换为第四图像,所述第三图像为行宽度为N的灰度图像;
将所述第四图像转换为所述第一图像和所述第二图像。
作为本发明实施例一种可选的实施方式,在基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率之前,所述方法还包括:
对训练样本集中的各软件样本进行图像转换,获取第四图像集合和第五图像集合,所述第四图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第五图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
将所述第四图像集合中的每一个图像分割平均为L个图像,获取第六图像集合;
基于深度学习算法对、训练样本集中的各软件样本的分类标签以及训练样图像集进行训练,获取所述深度学习预测模型;所述训练样图像集为所述第五图像集合中的图像和所述第六图像集合中的图像组成的集合。
第二方面,本发明实施例提供一种恶意软件检测装置,包括:
转换单元,用于将待检测软件转换为第一图像和第二图像,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数;
分割单元,用于将所述第一图像分割平均为L个第三图像,L=a2;
预测单元,用于基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合;
处理单元,用于判断命中数量是否大于X,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数;
输出单元,用于在所述命中数量小于或等于X的情况下,输出第一指示信息,所述第一指示信息用于指示所述待检测软件为非恶意软件。
作为本发明实施例一种可选的实施方式,在所述命中数量大于X的情况下,所述处理单元,还用于获取所述命中数量对应的第一阈值和第二阈值,判断命中图像的命中概率是否满足预设条件,所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值,所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值;
所述输出单元,还用于在所述命中图像的命中概率不满足所述预设条件的情况下,输出所述第一指示信息。
作为本发明实施例一种可选的实施方式,所述处理单元,具体用于对阈值获取样本集中的各软件样本进行图像转换,获取第一图像集合和第二图像集合,将所述第一图像集合中的每一个图像分割平均为L个图像,获取第三图像集合,基于所述深度学习预测模型预测阈值获取图像集中各图像为各个软件类别的概率,根据预设误报率,以预设值为间隔依次遍历所述阈值获取图像集中各图像为各个软件类别的概率,获取所述第一阈值和所述第二阈值;
其中,所述第一图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第二图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;所述阈值获取图像集为所述第二图像集合中的图像和所述第三图像集合中的图像组成的集合。
作为本发明实施例一种可选的实施方式,在所述命中图像的命中概率满足所述预设条件的情况下,所述处理单元,还用于获取第一直方图和第二直方图,所述第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图;获取所述第一直方图和所述第二直方图的相似度;判断所述相似度是否大于相似度阈值;
所述输出单元,还用于在所述相似度大于或等于所述相似度阈值的情况下,输出所述第一指示信息;在所述相似度小于所述相似度阈值的情况下,输出第二指示信息和类别信息,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
作为本发明实施例一种可选的实施方式,所述处理单元,具体用于对所述第一直方图和所述第二直方图进行归一化处理;
根据所述第一直方图和所述第二直方图的归一化结果以及如下公式获取所述第一直方图和所述第二直方图的相似度:
其中,
d为所述第一直方图和所述第二直方图的相似度。
作为本发明实施例一种可选的实施方式,所述转换单元,具体用于将所述待检测软件转换为第四图像,所述第三图像为行宽度为N的灰度图像;将所述第四图像转换为所述第一图像和所述第二图像。
作为本发明实施例一种可选的实施方式,所述装置还包括:建模单元;
所述转换单元,还用于对训练样本集中的各软件样本进行图像转换,获取第四图像集合和第五图像集合,所述第四图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第五图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
所述分割单元,还用于将所述第四图像集合中的每一个图像分割平均为L个图像,获取第六图像集合;
所述建模单元,用于基于深度学习算法对、训练样本集中的各软件样本的分类标签以及训练样图像集进行训练,获取所述深度学习预测模型;所述训练样图像集为所述第五图像集合中的图像和所述第六图像集合中的图像组成的集合。
第三方面,本发明实施例提供一种电子设备,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行第一方面或第一方面任一种可选的实施方式所述的恶意软件检测方法。
第四方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现第一方面或第一方面任一种可选的实施方式所述的恶意软件检测方法。
本发明实施例提供的恶意软件检测方法,先将待检测软件转换为行宽度和列宽度均为N的第一图像和行宽度和列宽度均M的第二图像,然后将第一图像分割平均为L个第三图像,再基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,并判断所述待预测图像集中命中目标软件类别的图像的数量是否大于或等于ceil{(L+1)/2},若不大于,则输出用于指示所述待检测软件为非恶意软件的第一指示信息。相比于现有技术,本发明实施例中将待检测软件转换为L+1张图像,且在该L+1张图像中的一半以上未命中同一个软件类别时,认定各个图像命中的软件类别均为误命中,并输出指示所述待检测软件为非恶意软件的指示信息,因此本发明实施例可以在通过基于图像检测的深度学习软件分类技术进行恶意软件检测时减小误报率。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的恶意软件检测方法的步骤流程图之一;
图2为本发明实施例提供的第一图像和第二图像的示意图;
图3为本发明实施例提供的第三图像的示意图;
图4为本发明实施例提供的深度学习预测模型的输出结果之一;
图5为本发明实施例提供的深度学习预测模型的输出结果之二;
图6为本发明实施例提供的深度学习预测模型的输出结果之三;
图7为本发明实施例提供的恶意软件检测方法的步骤流程图之二;
图8为本发明实施例提供的恶意软件检测方法的步骤流程图之三;
图9为本发明实施例提供的恶意软件检测装置的结构示意图之一;
图10为本发明实施例提供的恶意软件检测装置的结构示意图之二;
图11为本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面将对本发明的方案进行进一步描述。需要说明的是,在不冲突的情况下,本发明的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但本发明还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本发明的一部分实施例,而不是全部的实施例。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
本发明的说明书和权利要求书中的术语“第一”和“第二”等是用于区别同步的对象,而不是用于描述对象的特定顺序。例如,第一指示信息和第二指示信息等是用于区别不同的指示信息,而不是用于限定指示信息的特定顺序。
在本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外,在本发明实施例的描述中,除非另有说明,“多个”的含义是指两个或两个以上。
本发明实施例提供了一种恶意软件检测方法,参照图1所示,本发明实施例提供的恶意软件检测方法包括如下步骤:
S101、将待检测软件转换为第一图像和第二图像。
其中,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数。
可选的,本发明实施例中可以通过如下步骤a至步骤b将待检测软件转换为第一图像和第二图像:
步骤a、将所述待检测软件转换为第四图像。
其中,所述第三图像为行宽度为N的灰度图像
具体的,可以二进制的形式读取待检测软件,并以8位二进制所表示的无符号整数为一个元素,固定行宽度N,将待检测软件转换成一个二维数组,数组中每个元素的范围为0-255,再将每个数组元素转换为第三图像中的一个像素的灰度值,获取第三图像。
步骤b、将所述第四图像转换为所述第一图像和所述第二图像。
具体的,考可以通过对第三图像的缩放,将第三图像转换为第一图像和第二图像。
示例性的,在本发明实施例中可以使用Pillow中的ANTIALIAS进行图像的缩放。
示例性的,参照图2所示,图2中以N=256,M=128,a=2为例对上述步骤S101的转化过程进行说明。参照图2所示,首先将待检测软件转换为行宽度为256的第四图像21,然后对第四图像21的列宽度进行缩放,将第四图像21的列宽度为256从而获取第一图像22;再对第四图像21的行宽度和列宽度进行缩放,将第四图像21行宽度和列宽度均转换为128从而获取第二图像23。
S102、将所述第一图像分割平均为L个第三图像。其中,L=a2。
具体的,对第一图像进行网格划分,从而将第一图像划分为L个第三图像。由于第一图像的行宽度和列宽度均为N,L=a2,N=a*M,因此第三图像为行宽度和列宽度均M的灰度图像。
参照图3所示,承上实施例所述,L=a2=4,因此在图2的基础上进一步对第一图像22进行网格划分,则可以得到4个行宽度和列宽度均128的第三图像24。
S103、基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率。
其中,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合。
即,待预测图像集中共包括L+1个灰度图像,该L+1各图像分别为第二图像和L个第三图像,且该L+1个灰度图像的行宽度和列宽度均M。
以下以L=4、软件类别的总数为500为例对深度学习预测模型的输出结果进行说明。
由于L=4,因此待预测图像集中共包括5个图像,将该5个图像分别命名为第一子图像、第二子图像、第三子图像、第四子图像和第五子图像,则深度学习预测模型的输出结果可以如下表1所示:
表1
| 类别1 | 类别2 | 类别3 | …… | 类别4998 | 类别4999 | 类别5000 | |
| 第一子图像 | 3.0070390e-04 | 1.3007094e-24 | 1.0142370e-27 | …… | 1.0652318e-22 | 1.0142370e-27 | 1.4050702e-27 |
| 第二子图像 | 1.4206338e-15 | 9.8254033e-23 | 1.3170764e-25 | …… | 1.3170764e-25 | 1.3170764e-25 | 5.1906736e-27 |
| 第三子图像 | 3.3400369e-25 | 1.1067095e-23 | 2.6665770e-26 | …… | 3.7336649e-24 | 8.8809606e-25 | 3.5204930e-26 |
| 第四子图像 | 2.5551224e-25 | 1.9573453e-27 | 8.8551453e-37 | …… | 1.8844628e-30 | 8.8551453e-37 | 8.8551453e-37 |
| 第五子图像 | 1.5580456e-26 | 4.5961528e-33 | 1.7060912e-37 | …… | 5.0365034e-24 | 1.7060912e-37 | 1.7060914e-37 |
其中,e-x表示*10-x,例如:e-4表示*10-4。
表1中的一行表示一个子图像的软件类别为各个软件类别的概率,每一行的值累加和为1。
S104、判断命中数量是否大于X。
其中,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数。
示例性的,参照图4所示,第一子图像、第二子图像、第三子图像以及第五子图像命中的软件类别为Trojan Generric.149707,第四子图像命中的软件类别为Win32sality.3。软件类别Trojan Generric.149707被命中次数为4,软件类别Win32 sality.3被命中次数为1,因此目标软件类别为Trojan Generric.149707,命中数量为4。
示例性的,参照图5所示,第一子图像、第二子图像以及第五子图像命中的软件类别为Trojan Generric.149707,第三子图像和第四子图像命中的软件类别为Win32sality.3。软件类别Trojan Generric.149707被命中次数为3,软件类别Win32 sality.3被命中次数为2,因此目标软件类别为Trojan Generric.149707,命中数量为3。
示例性的,参照图6所示,第一子图像和第二子图像命中的软件类别为TrojanGenerric.149707,第三子图像和第四子图像命中的软件类别为Win32 sality.3,第五子图像命中的软件类别为Cenerric.7,软件类别Trojan Generric.149707被命中次数为2,软件类别Win32 sality.3被命中次数为2,软件类别为Cenerric.7被命中次数为1,因此目标软件类别为Trojan Generric.149707或Win32 sality.3,命中数量为2。
图4、图5、图6中均是L=4时深度学习预测模型的输出结果,而当L=4时,X=ceil{(4+1)/2}=3,因此在图4所示结果中,命中数量大于X;在图5所示结果中,命中数量是否等于X;在图6所示结果中,命中数量是否小于或等于X。
在上述步骤S104中,若所述命中数量小于或等于X,则执行如下步骤S105。
S105、输出第一指示信息。
其中,所述第一指示信息用于指示所述待检测软件为非恶意软件。
具体的,深度学习预测模型为基于恶意软件以及恶意软件的软件类别建立的预测模型,若步骤S104中命中数量小于或等于X,则说明基于深度学习预测模型无法较为准确的确定待预测软件的软件类别,待预测软件的软件类别很可能不属于恶意软件的软件类别,因此确定待预测软件为非恶意软件。
本发明实施例提供的恶意软件检测方法,先将待检测软件转换为行宽度和列宽度均为N的第一图像和行宽度和列宽度均M的第二图像,然后将第一图像分割平均为L个第三图像,再基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,并判断所述待预测图像集中命中目标软件类别的图像的数量是否大于或等于ceil{(L+1)/2},若不大于,则输出用于指示所述待检测软件为非恶意软件的第一指示信息。相比于现有技术,本发明实施例中将待检测软件转换为L+1张图像,且在该L+1张图像中的一半以上未命中同一个软件类别时,认定各个图像命中的软件类别均为误命中,并输出指示所述待检测软件为非恶意软件的指示信息,因此本发明实施例可以在通过基于图像检测的深度学习软件分类技术进行恶意软件检测时减小误报率。
进一步的,参照图7所示,在上述步骤S104中,若所述命中数量大于X,则本发明实施例提供的恶意软件检测方法还包括如下步骤:
S701、获取所述命中数量对应的第一阈值和第二阈值。
作为本发明实施例一种可选的实施例方式,可以通过如下步骤1至步骤4获取所述命中数量对应的第一阈值和第二阈值:
步骤1、对阈值获取样本集中的各软件样本进行图像转换,获取第一图像集合和第二图像集合。
其中,所述第一图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第二图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合。
上述步骤1的实现方式可以参照上述步骤S101将待检测软件转换为第一图像和第二图像的实现方式。不同之处在于,在将阈值获取样本集各个软件样本转为对应的第一图像和第二图像之后,还需要将各个软件样本对应的第一图像组合为第一图像集合,将各个软件样本对应的第二图像组合为第二图像集合。
步骤2、将所述第一图像集合中的每一个图像分割平均为L个图像,获取第三图像集合。
上述步骤2的实现方式可以参照上述步骤S102将第一图像转换为L个第三图像的实现方式,不同之处在于,在将第一图像集合中的每一个图像分割平均为L个图像后,还需要将第一图像集合中的每一个图像分割平均获取的L个图像组合第三图像集合。
步骤3、基于所述深度学习预测模型预测阈值获取图像集中各图像为各个软件类别的概率。
其中,所述阈值获取图像集为所述第二图像集合中的图像和所述第三图像集合中的图像组成的集合。
步骤4、根据预设误报率,以预设值为间隔依次遍历所述阈值获取图像集中各图像为各个软件类别的概率,获取所述第一阈值和所述第二阈值。
具体的,对于表1所示行数为L+1的预测概率矩阵,设计ceil{(L+1)/2}个判据分支,每个判据分支均代表一个可能出现的命中数量。例如:L=4时,预测概率矩阵行数为5,设计3个判据分支,分别为:5个图像全部命中同一软件分类、4个图像中同一软件分类,另一图像命中其它软件分类、3个图像中同一软件分类,其余2个图像命中其它软件分类。再例如:例如:L=9时,预测概率矩阵行数为10,设计5个判据分支,5个判据分支中命中同一软件分类的数量分别为:10、9、8、7、6。针对每一个判据分支设定阈值区间(0,1),以0.01为间隔,预测概率使用网格搜索方式对每种情况进行依次遍历,找到使得误报率满足预设误报率的阈值。
例如:命中数量为3时,首先将阈值设置为0.01,将命中数量为3且命中概率均大于0.01的图像对应的软件确定为恶意软件,判断是否满足预设误报率,若不满足则将阈值设置为0.02,将命中数量为3且命中概率均大于0.02的图像对应的软件确定为恶意软件,判断是否满足预设误报率,依次遍历直到某一阈值满足预设误报率,则将该阈值确定为第一阈值。第二阈值的确定方式与第一阈值类似,不同之处在于第二阈值确定过程中会将命中数量为3且命中概率中的最小值小于阈值且概率中的次小值大于阈值图像对应的软件确定为恶意软件,判断是否满足预设误报率,直到依次遍历直到某一阈值满足预设误报率,则将该阈值确定为第二阈值。
S702、判断命中图像的命中概率是否满足预设条件。
所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值。所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值
即,除命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值以外,其它情况均确定命中图像的命中概率不满足预设条件。例如:命中图像的命中概率均小于第一阈值,或者命中图像的命中概率中具有2个小于第二阈值的概率值,则确定命中图像的命中概率不满足预设条件。
在上述步骤S702中,若命中图像的命中概率不满足预设条件,则执行如下步骤S703。
S703、输出所述第一指示信息。
即,输出用于指示待检测软件为非恶意软件的指示信息。
上述实施例进一步通过设定各个分支的概率阈值来剔除对待检测软件的误报,因此本发明可以进一步在通过基于图像检测的深度学习软件分类技术进行恶意软件检测时减小误报率。
进一步,参照图8所示,在上述步骤S702中,若所述命中图像的命中概率满足所述预设条件,则本发明实施例提供的恶意软件预测方法还包括:
S801、获取第一直方图和第二直方图。
其中,第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图。
S802、获取所述第一直方图和所述第二直方图的相似度。
作为本发明实施例一种可选的实施方式,可以通过如下步骤Ⅰ和步骤Ⅱ获取所述第一直方图和所述第二直方图的相似度:
步骤Ⅰ、对所述第一直方图和所述第二直方图进行归一化处理。
步骤Ⅱ、根据所述第一直方图和所述第二直方图的归一化结果以及如下公式获取所述第一直方图和所述第二直方图的相似度:
其中,
d为所述第一直方图和所述第二直方图的相似度。
S803、判断所述相似度是否大于或等于相似度阈值。
本实施例中的相似度阈值可以由本领域技术人员根据经验进行设置,示例性的,相似度阈值可以为0.9。
在上述步骤S803中,若第一直方图和第二直方图的相似度小于相似度阈值,则执行如下步骤S804,若第一直方图和第二直方图的相似度大于或等于相似度阈值,执行如下步骤S805。
S804、输出所述第一指示信息。
即,若第一直方图和第二直方图的相似度小于相似度阈值,则仍确定待检测软件为非恶意软件。
S805、输出第二指示信息和类别信息。
其中,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
在第一直方图和第二直方图的相似度大于或等于相似度阈值的情况下,首先可以确定待检测软件的软件类别为目标软件类别,而目标软件类别为恶意软件家族的软件类别,因此输出待检测软件为恶意软件,和待检测软件的软件类别为所述目标软件类别。
上述实施例进一步基于图像相似度剔除待检测软件的误报,因此本发明可以进一步在通过基于图像检测的深度学习软件分类技术进行恶意软件检测时减小误报率。
由于本发明实施例提供的恶意软件检测方法需要基于深度学习预测模型预测图像为各个软件类别的概率,因此在预测之前首先还需要建立深度学习预测模型。作为本发明实施例一种可选的实施方式,可以通过如下步骤建立深度学习预测模型;
(1)、对训练样本集中的各软件样本进行图像转换,获取第四图像集合和第五图像集合。
其中,所述第四图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第五图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合
上述步骤(1)的实现方式可以参照上述步骤S101将待检测软件转换为第一图像和第二图像的实现方式。不同之处在于,在将训练样本集各个软件样本转为对应的第一图像和第二图像之后,还需要将各个软件样本对应的第一图像组合为第四图像集合,将各个软件样本对应的第二图像组合为第五图像集合。
(2)、将所述第四图像集合中的每一个图像分割平均为L个图像,获取第六图像集合。
上述步骤(2)的实现方式可以参照上述步骤S102将第一图像转换为L个第三图像的实现方式,不同之处在于,在将第四图像集合中的每一个图像分割平均为L个图像后,还需要将第四图像集合中的每一个图像分割平均获取的L个图像组合第六图像集合。
(3)、基于深度学习算法对、训练样本集中的各软件样本的分类标签以及训练样图像集进行训练,获取所述深度学习预测模型;所述训练样图像集为所述第五图像集合中的图像和所述第六图像集合中的图像组成的集合。
具体的,可以采用6层带有权重参数的深度学习网络模型进行训练,其中网络层数作为超参数,具体包含4层卷积,2层全连接,最后一个全连接层是具有F个输出的softmax函数,将这F个全连接输出映射到0-1,作为属于每个软件类别的概率,这些值的累加和为1。为了防止发生过拟合,还加入了dropout层,深度学习网络模型在训练样图像集上训练生成深度学习预测模型。
基于同一发明构思,作为对上述方法的实现,本发明实施例还提供了一种恶意软件检测装置,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的恶意软件检测装置能够对应实现前述方法实施例中的全部内容。
图9为本发明实施例提供的恶意软件检测装置的结构示意图,如图9所示,本实施例提供的恶意软件检测装置900包括:
转换单元91,用于将待检测软件转换为第一图像和第二图像,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数;
分割单元92,用于将所述第一图像分割平均为L个第三图像,L=a2;
预测单元93,用于基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合;
处理单元94,用于判断命中数量是否大于X,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数;
输出单元95,用于在所述命中数量小于或等于X的情况下,输出第一指示信息,所述第一指示信息用于指示所述待检测软件为非恶意软件。
作为本发明实施例一种可选的实施方式,在所述命中数量大于X的情况下,所述处理单元94,还用于获取所述命中数量对应的第一阈值和第二阈值,判断命中图像的命中概率是否满足预设条件,所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值,所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值;
所述输出单元95,还用于在所述命中图像的命中概率不满足所述预设条件的情况下,输出所述第一指示信息。
作为本发明实施例一种可选的实施方式,所述处理单元94,具体用于对阈值获取样本集中的各软件样本进行图像转换,获取第一图像集合和第二图像集合,将所述第一图像集合中的每一个图像分割平均为L个图像,获取第三图像集合,基于所述深度学习预测模型预测阈值获取图像集中各图像为各个软件类别的概率,根据预设误报率,以预设值为间隔依次遍历所述阈值获取图像集中各图像为各个软件类别的概率,获取所述第一阈值和所述第二阈值;
其中,所述第一图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第二图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;所述阈值获取图像集为所述第二图像集合中的图像和所述第三图像集合中的图像组成的集合。
作为本发明实施例一种可选的实施方式,在所述命中图像的命中概率满足所述预设条件的情况下,所述处理单元94,还用于获取第一直方图和第二直方图,所述第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图;获取所述第一直方图和所述第二直方图的相似度;判断所述相似度是否大于相似度阈值;
所述输出单元95,还用于在所述相似度大于或等于所述相似度阈值的情况下,输出所述第一指示信息;在所述相似度小于所述相似度阈值的情况下,输出第二指示信息和类别信息,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
作为本发明实施例一种可选的实施方式,所述处理单元95,具体用于对所述第一直方图和所述第二直方图进行归一化处理;根据所述第一直方图和所述第二直方图的归一化结果以及如下公式获取所述第一直方图和所述第二直方图的相似度:
其中,
d为所述第一直方图和所述第二直方图的相似度。
作为本发明实施例一种可选的实施方式,所述转换单元91,具体用于将所述待检测软件转换为第四图像,所述第三图像为行宽度为N的灰度图像;将所述第四图像转换为所述第一图像和所述第二图像。
作为本发明实施例一种可选的实施方式,参照图10所述装置还包括:建模单元96;
所述转换单元91,还用于对训练样本集中的各软件样本进行图像转换,获取第四图像集合和第五图像集合,所述第四图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第五图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
所述分割单元92,还用于将所述第四图像集合中的每一个图像分割平均为L个图像,获取第六图像集合;
所述建模单元96,用于基于深度学习算法对、训练样本集中的各软件样本的分类标签以及训练样图像集进行训练,获取所述深度学习预测模型;所述训练样图像集为所述第五图像集合中的图像和所述第六图像集合中的图像组成的集合。
本实施例提供的恶意软件检测装置可以执行上述方法实施例提供的恶意软件检测方法,其实现原理与技术效果类似,此处不再赘述。
基于同一发明构思,本发明实施例还提供了一种电子设备。图11为本发明实施例提供的电子设备的结构示意图,如图11所示,本实施例提供的电子设备包括:存储器111和处理器112,存储器111用于存储计算机程序;处理器112用于在调用计算机程序时执行上述实施例提供的恶意软件检测方法的步骤。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述实施例提供的恶意软件检测方法的步骤。
本领域技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
处理器可以是中央处理单元(CentralProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(DigitalSignalProcessor,DSP)、专用集成电路(ApplicationSpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-ProgrammableGateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flashRAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储,信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。根据本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitorymedia),如调制的数据信号和载波。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (8)
1.一种恶意软件检测方法,其特征在于,包括:
将待检测软件转换为第一图像和第二图像,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数;
将所述第一图像分割平均为L个第三图像,L=a2;
基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合;
判断命中数量是否大于X,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该待预测图像集中任一图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数;
若否,则输出第一指示信息,所述第一指示信息用于指示所述待检测软件为非恶意软件;
在所述命中数量大于X的情况下,所述方法还包括:
获取所述命中数量对应的第一阈值和第二阈值;
判断命中图像的命中概率是否满足预设条件,所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值,所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值;
若否,则输出所述第一指示信息;
在所述命中图像的命中概率满足所述预设条件的情况下,所述方法还包括:
获取第一直方图和第二直方图,所述第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图;
获取所述第一直方图和所述第二直方图的相似度;
判断所述相似度是否大于或等于相似度阈值;
若否,则输出所述第一指示信息;
若是,则输出第二指示信息和类别信息,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
2.根据权利要求1所述的方法,其特征在于,所述获取所述命中数量对应的第一阈值和第二阈值包括:
对阈值获取样本集中的各软件样本进行图像转换,获取第一图像集合和第二图像集合,所述第一图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第二图像集合为所述阈值获取样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
将所述第一图像集合中的每一个图像分割平均为L个图像,获取第三图像集合;
基于所述深度学习预测模型预测阈值获取图像集中各图像为各个软件类别的概率,所述阈值获取图像集为所述第二图像集合中的图像和所述第三图像集合中的图像组成的集合;
根据预设误报率,以预设值为间隔依次遍历所述阈值获取图像集中各图像为各个软件类别的概率,获取所述第一阈值和所述第二阈值。
3.根据权利要求1所述的方法,其特征在于,所述获取所述第一直方图和所述第二直方图的相似度,包括:
对所述第一直方图和所述第二直方图进行归一化处理;
根据所述第一直方图和所述第二直方图的归一化结果以及如下公式获取所述第一直方图和所述第二直方图的相似度:
其中,
d为所述第一直方图和所述第二直方图的相似度。
4.根据权利要求1所述的方法,其特征在于,所述将待检测软件转换为第一图像和第二图像,包括:
将所述待检测软件转换为第四图像,所述第四图像为行宽度为N的灰度图像;
将所述第四图像转换为所述第一图像和所述第二图像。
5.根据权利要求1-4任一项所述的方法,其特征在于,在基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率之前,所述方法还包括:
对训练样本集中的各软件样本进行图像转换,获取第四图像集合和第五图像集合,所述第四图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为N的灰度图像组成的集合;所述第五图像集合为所述训练样本集中的各软件样本转换得到的行宽度和列宽度均为M的灰度图像组成的集合;
将所述第四图像集合中的每一个图像分割平均为L个图像,获取第六图像集合;
基于深度学习算法对训练样本集中的各软件样本的分类标签以及训练样本图像集进行训练,获取所述深度学习预测模型;所述训练样本图像集为所述第五图像集合中的图像和所述第六图像集合中的图像组成的集合。
6.一种恶意软件检测装置,其特征在于,包括:
转换单元,用于将待检测软件转换为第一图像和第二图像,所述第一图像为行宽度和列宽度均为N的灰度图像,所述第二图像为行宽度和列宽度均M的灰度图像,N=a*M,N、M、a均为正整数;
分割单元,用于将所述第一图像分割平均为L个第三图像,L=a2;
预测单元,用于基于深度学习预测模型分别预测待预测图像集中各图像为各个软件类别的概率,所述待预测图像集为所述第二图像和所述L个第三图像组成的集合;
处理单元,用于判断命中数量是否大于X,所述命中数量为所述待预测图像集中命中目标软件类别的图像的数量,所述待预测图像集中任一图像命中的软件类别为该待预测图像集中任一图像的概率中的最大值对应的软件类别,所述目标软件类别为被所述待预测图像集中的图像命中次数最多的软件类别,X=ceil{(L+1)/2},ceil{}为非整数时向上取整函数;
输出单元,用于在所述命中数量小于或等于X的情况下,输出第一指示信息,所述第一指示信息用于指示所述待检测软件为非恶意软件;
在所述命中数量大于X的情况下,还包括:
获取所述命中数量对应的第一阈值和第二阈值;
判断命中图像的命中概率是否满足预设条件,所述命中图像为所述待预测图像集中命中所述目标软件类别的图像,所述命中概率为所述命中图像的软件类别为所述目标软件类别的概率值,所述预设条件为所述命中图像中的一个图像的命中概率大于所述第二阈值且小于所述第一阈值,且所述命中图像中其它图像的命中概率均大于所述第一阈值,或者所述命中图像的命中概率均大于所述第一阈值;
若否,则输出所述第一指示信息;
在所述命中图像的命中概率满足所述预设条件的情况下,还包括:
获取第一直方图和第二直方图,所述第一直方图为所述第一图像的直方图,所述第二直方图为所述目标软件类别的样本图像的直方图;
获取所述第一直方图和所述第二直方图的相似度;
判断所述相似度是否大于或等于相似度阈值;
若否,则输出所述第一指示信息;
若是,则输出第二指示信息和类别信息,所述第二指示信息用于指示所述待检测软件为恶意软件,所述类别信息用于指示所述待检测软件的软件类别为所述目标软件类别。
7.一种电子设备,其特征在于,包括:存储器和处理器,存储器用于存储计算机程序;处理器用于在调用计算机程序时执行权利要求1-5任一项所述的恶意软件检测方法。
8.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,计算机程序被处理器执行时实现权利要求1-5任一项所述的恶意软件检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011089772.9A CN112347478B (zh) | 2020-10-13 | 2020-10-13 | 一种恶意软件检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011089772.9A CN112347478B (zh) | 2020-10-13 | 2020-10-13 | 一种恶意软件检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112347478A CN112347478A (zh) | 2021-02-09 |
| CN112347478B true CN112347478B (zh) | 2021-08-24 |
Family
ID=74361905
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011089772.9A Active CN112347478B (zh) | 2020-10-13 | 2020-10-13 | 一种恶意软件检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112347478B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113282925B (zh) * | 2021-03-30 | 2023-09-05 | 深圳融安网络科技有限公司 | 恶意文件检测方法、装置、终端设备以及存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106469267A (zh) * | 2015-08-20 | 2017-03-01 | 深圳市腾讯计算机系统有限公司 | 一种验证码样本收集方法及系统 |
| CN106919841A (zh) * | 2017-03-10 | 2017-07-04 | 西京学院 | 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN108985361A (zh) * | 2018-07-02 | 2018-12-11 | 北京金睛云华科技有限公司 | 一种基于深度学习的恶意流量检测实现方法和装置 |
| CN109241741A (zh) * | 2018-03-14 | 2019-01-18 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于图像纹理指纹的恶意代码分类方法 |
| CN109344618A (zh) * | 2018-02-08 | 2019-02-15 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于深度森林的恶意代码分类方法 |
| CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
| CN110704840A (zh) * | 2019-09-10 | 2020-01-17 | 中国人民公安大学 | 一种基于卷积神经网络cnn的恶意软件检测方法 |
| US10552639B1 (en) * | 2019-02-04 | 2020-02-04 | S2 Systems Corporation | Local isolator application with cohesive application-isolation interface |
| CN110765458A (zh) * | 2019-09-19 | 2020-02-07 | 浙江工业大学 | 一种基于深度学习的恶意软件检测方法及其装置 |
| CN111737522A (zh) * | 2020-08-14 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 视频匹配方法、基于区块链的侵权存证方法和装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10362340B2 (en) * | 2017-04-06 | 2019-07-23 | Burst, Inc. | Techniques for creation of auto-montages for media content |
| US20190042743A1 (en) * | 2017-12-15 | 2019-02-07 | Intel Corporation | Malware detection and classification using artificial neural network |
| CN111552964A (zh) * | 2020-04-07 | 2020-08-18 | 哈尔滨工程大学 | 一种基于静态分析的恶意软件分类方法 |
-
2020
- 2020-10-13 CN CN202011089772.9A patent/CN112347478B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106469267A (zh) * | 2015-08-20 | 2017-03-01 | 深圳市腾讯计算机系统有限公司 | 一种验证码样本收集方法及系统 |
| CN106919841A (zh) * | 2017-03-10 | 2017-07-04 | 西京学院 | 一种高效的基于旋转森林的Android恶意软件检测模型DroidDet |
| CN107392019A (zh) * | 2017-07-05 | 2017-11-24 | 北京金睛云华科技有限公司 | 一种恶意代码家族的训练和检测方法及装置 |
| CN109344618A (zh) * | 2018-02-08 | 2019-02-15 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于深度森林的恶意代码分类方法 |
| CN109241741A (zh) * | 2018-03-14 | 2019-01-18 | 中国人民解放军陆军炮兵防空兵学院郑州校区 | 一种基于图像纹理指纹的恶意代码分类方法 |
| CN108985361A (zh) * | 2018-07-02 | 2018-12-11 | 北京金睛云华科技有限公司 | 一种基于深度学习的恶意流量检测实现方法和装置 |
| US10552639B1 (en) * | 2019-02-04 | 2020-02-04 | S2 Systems Corporation | Local isolator application with cohesive application-isolation interface |
| CN110704840A (zh) * | 2019-09-10 | 2020-01-17 | 中国人民公安大学 | 一种基于卷积神经网络cnn的恶意软件检测方法 |
| CN110765458A (zh) * | 2019-09-19 | 2020-02-07 | 浙江工业大学 | 一种基于深度学习的恶意软件检测方法及其装置 |
| CN110704842A (zh) * | 2019-09-27 | 2020-01-17 | 山东理工大学 | 一种恶意代码家族分类检测方法 |
| CN111737522A (zh) * | 2020-08-14 | 2020-10-02 | 支付宝(杭州)信息技术有限公司 | 视频匹配方法、基于区块链的侵权存证方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| Cyber Security Threats Detection in Internet of Things Using Deep Learning Approach;Farhan Ullah等;《IEEE Access》;20190826;第7卷;第124379-124389页 * |
| Detection of Malicious Code Variants Based on Deep Learning;Zhihua Cui等;《IEEE TRANSACTIONS ON INDUSTRIAL INFORMATICS》;20180731;第14卷(第7期);第3187-3196页 * |
| 基于代码图像增强的恶意代码检测方法;孙博文等;《清华大学学报(自然科学版)》;20191218;第60卷(第5期);第386-392页 * |
| 基于纹理特征和随机森林的恶意代码分类研究;刘宇强等;《湖北工业大学学报》;20200415;第35卷(第2期);第56-60页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112347478A (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Hu et al. | Automatic tumor segmentation in breast ultrasound images using a dilated fully convolutional network combined with an active contour model | |
| CN109543674B (zh) | 一种基于生成对抗网络的图像拷贝检测方法 | |
| WO2018197835A1 (en) | Apparatus and method for open-set object recognition | |
| WO2023116632A1 (zh) | 基于时空记忆信息的视频实例分割方法和分割装置 | |
| US11893497B2 (en) | Method and apparatus for acquiring feature data from low-bit image | |
| CN108665420B (zh) | 基于变分贝叶斯模型的红外弱小目标图像背景抑制方法 | |
| Demidova et al. | Improving the Classification Quality of the SVM Classifier for the Imbalanced Datasets on the Base of Ideas the SMOTE Algorithm | |
| CN102376087B (zh) | 检测图像中的对象的装置和方法、分类器生成装置和方法 | |
| CN112347478B (zh) | 一种恶意软件检测方法及装置 | |
| Assegie | An optimized KNN model for signature-based malware detection | |
| CN111144425B (zh) | 检测拍屏图片的方法、装置、电子设备及存储介质 | |
| Jiang et al. | A parallel genetic algorithm for cell image segmentation | |
| US9858293B2 (en) | Image processing apparatus and image processing method | |
| CN111815627B (zh) | 遥感图像变化检测方法、模型训练方法及对应装置 | |
| CN117576089A (zh) | 一种活塞环缺陷检测方法及系统 | |
| CN110705631B (zh) | 一种基于svm的散货船舶设备状态检测方法 | |
| CN112560856A (zh) | 车牌检测识别方法、装置、设备及存储介质 | |
| CN112287993A (zh) | 模型生成方法、图像分类方法、装置、电子设备及介质 | |
| Sun et al. | Classification of lung nodules based on GAN and 3D CNN | |
| US20230252283A1 (en) | Method and device with neural network | |
| Mukherjee et al. | Segmentation of natural images based on super pixel and graph merging | |
| JP2014199533A (ja) | 画像識別装置、画像識別方法およびプログラム | |
| Li et al. | Fuzzy multilevel image thresholding based on modified quick artificial bee colony algorithm and local information aggregation | |
| Rush et al. | Feature Map Activation Analysis for Object Key-Point Detection | |
| Katsigiannis et al. | FLBP: Fuzzy local binary patterns |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |