CN112597495B - 一种恶意代码检测方法、系统、设备及存储介质 - Google Patents

一种恶意代码检测方法、系统、设备及存储介质 Download PDF

Info

Publication number
CN112597495B
CN112597495B CN202011532274.7A CN202011532274A CN112597495B CN 112597495 B CN112597495 B CN 112597495B CN 202011532274 A CN202011532274 A CN 202011532274A CN 112597495 B CN112597495 B CN 112597495B
Authority
CN
China
Prior art keywords
api
ins
sequence
neural network
byte stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011532274.7A
Other languages
English (en)
Other versions
CN112597495A (zh
Inventor
赵大伟
吴晓明
杨美红
徐丽娟
张磊
杨淑棉
唐勇伟
陈川
周洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Computer Science Center National Super Computing Center in Jinan
Original Assignee
Shandong Computer Science Center National Super Computing Center in Jinan
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Computer Science Center National Super Computing Center in Jinan filed Critical Shandong Computer Science Center National Super Computing Center in Jinan
Priority to CN202011532274.7A priority Critical patent/CN112597495B/zh
Publication of CN112597495A publication Critical patent/CN112597495A/zh
Application granted granted Critical
Publication of CN112597495B publication Critical patent/CN112597495B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • G06F18/253Fusion techniques of extracted features
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Biology (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Image Analysis (AREA)

Abstract

本发明涉及一种恶意代码检测方法、系统、设备及存储介质。该方法包括;(1)训练阶段:利用已知软件样本训练多模态深度神经网络模型;(2)检测阶段:利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。本发明可以将任意不同大小的软件样本转换为相同大小的灰度图像,便于应用于卷积神经网络;本发明同时使用了API函数调用序列、指令序列、字节流三个典型特征,克服了单一特征检测的局限,本发明多模态深度学习将静态特征与动态特征进行融合决策,能获得更全面且准确的恶意代码检测结果。

Description

一种恶意代码检测方法、系统、设备及存储介质
技术领域
本发明属于软件安全防护技术领域,涉及一种恶意代码检测方法、系统、设备及存储介质。
背景技术
随着网络信息技术的不断发展,恶意代码已成为网络空间安全领域面临的最重要威胁之一,特别是变种、混淆、加壳、加密等手段的应用,对恶意代码检测技术提出了更高的要求。机器学习已被广泛应用于恶意代码检测,但是传统的基于机器学习的恶意代码检测技术严重依赖于特征工程,需要依据大量专家知识构建能有效表征恶意代码行为的特征,然后使用分类器进行检测。近年来,随着深度学习技术的发展,出现了大量端到端的恶意代码检测方法,端到端的检测方法将特征提取与分类整合成一个学习过程,避免了特征难构建及需要人工参与的不足。
目前,使用灰度图表示恶意代码,然后利用深度神经网络进行端到端检测受到广泛关注,但是由于不同恶意代码大小差异显著,如何将不同大小的恶意代码转换为相同大小的灰度图像,进而更好的应用深度神经网络进行检测是亟需解决的一个重要问题。同时,如何同时使用不同的特征对恶意代码进行表示,然后使用合适的深度学习框架以便获得更好的检测效果也是恶意代码检测领域面临的重要难题。
发明内容
针对现有技术的不足,本发明提供了一种恶意代码检测方法;
本发明还提供了一种恶意代码检测系统、计算机存储设备及存储介质。
术语解释:
软件动态分析和静态分析方法,软件静态分析是指不执行软件程序,通过反汇编等方式获得字符串、操作码、头文件和控制流图等静态特征;动态分析是指在沙箱或虚拟机等受控环境中执行软件程序并记录它在系统中完成的操作,包括函数调用、注册表模式、软件行为和网络活动等。
本发明的技术方案为:
一种恶意代码检测方法,该方法包括;
(1)训练阶段:利用已知软件样本训练多模态深度神经网络模型;
(2)检测阶段:利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。
根据本发明优选的,步骤(1),利用已知软件样本训练多模态深度神经网络模型,包括步骤如下:
步骤1.1:提取已知软件样本的API函数调用序列、指令序列、字节流;
步骤1.2:分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤1.3:使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型。
根据本发明优选的,步骤1.1,提取已知软件样本的API函数调用序列、指令序列、字节流,包括步骤如下:
步骤1.1.1:利用软件动态分析和静态分析方法获得所有已知软件样本的API函数调用序列、指令序列、字节流,统计在所有已知软件样本中出现频次最高的前M个API函数API1,API2,…,APIM与前N个指令INS1,INS2,…,INSN,将M个API函数组成集合A={API1,API2,…,APIM},将N个指令组成集合I={INS1,INS2,…,INSN},M和N为可调参数;
步骤1.1.2:将已知软件样本中不属于集合A的API函数都标记为API0,不属于集合I的指令都标记为INS0,进而获得包括M+1种API函数的API函数调用序列即API0,API1,API2,…,APIM和包括N+1种指令的指令序列即INS0,INS1,INS2,…,INSN,以及只有256种字节的字节流BY0,BY1,BY2,…,BY255
根据本发明优选的,步骤1.2,分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;是指:
针对API函数调用序列,构建一个长、宽均为M+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(APIi,APIj),此取值的计算方法如式(Ⅰ)所示:
Figure BDA0002852380370000021
式(Ⅰ)中,q(APIi,APIj)表示在API函数调用序列中相邻出现且API函数APIi在前API函数APIj在后的函数对的数量;
Figure BDA0002852380370000023
表示不小于x的最小整数;
针对指令序列,构建一个长、宽均为N+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(INSi,INSj),此取值的计算方法如式(Ⅱ)所示:
Figure BDA0002852380370000022
式(Ⅱ)中,q(INSi,INSj)表示在指令序列中相邻出现且指令INSi在前指令INSj在后的指令对的数量;
针对字节流,构建一个长、宽均为256个像素的灰度图,其中第i行,第j列的像素点的取值记作p(BYi,BYj),此取值的计算方法如式(Ⅲ)所示:
Figure BDA0002852380370000031
式(Ⅲ)中,q(BYi,BYj)表示在字节流中相邻出现且字节BYi在前字节BYj在后的字节对的数量。
根据本发明优选的,已知软件样本标注正常或恶意,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测其是正常软件或恶意软件。
根据本发明优选的,已知软件样本标注其所属的类别,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测所属的类别。
根据本发明优选的,所述多模态深度神经网络模型包括三个子网络、全连接层及输出层;三个卷积神经网络分别作为三个子网络,每个子网络包括依次连接的若干个卷积池化层、全连接层,所述卷积池化层包括卷积层和池化层。
根据本发明优选的,步骤1.3,使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型,是指:
将步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像分别输入三个子网络,经卷积和池化,通过全连接层和输出层进行多模态的决策融合,训练得到训练好的多模态深度神经网络模型。
根据本发明优选的,步骤(2),利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测,包括步骤如下:
步骤2.1:提取未知软件样本的API函数调用序列、指令序列、字节流;
步骤2.2:分别将步骤2.1提取的未知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤2.3:将步骤2.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像输入训练好的多模态深度神经网络模型,得到检测结果。
一种恶意代码检测系统,用于实现恶意代码检测方法,包括数据获取模块、预处理模块、检测模块;
所述数据获取模块用于:获取软件的API函数调用序列、指令序列、字节流;所述预处理模块用于:将获取的API函数调用序列、指令序列、字节流转换为相应的灰度图;所述检测模块用于:将API函数调用序列、指令序列、字节流转换为相应的灰度图输入训练好的多模态深度神经网络模型进行检测。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现所述恶意代码检测方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现所述恶意代码检测方法的步骤。
本发明的有益效果为:
1、本发明可以将任意不同大小的软件样本转换为相同大小的灰度图像,便于应用于卷积神经网络。
2、本发明同时使用了API函数调用序列、指令序列、字节流三个典型特征,克服了单一特征检测的局限。
3、本发明多模态深度学习将静态特征与动态特征进行融合决策,能获得更全面且准确的恶意代码检测结果。
附图说明
图1为多模态深度学习模型训练过程示意图;
图2为API函数调用序列转换为灰度图像示例示意图;
图3为指令序列转换为灰度图像示例示意图;
图4为字节流序列转换为灰度图像示例示意图;
图5为多模态深度学习模型框架示意图;
图6为恶意代码检测系统的结构示意图。
具体实施方式
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
实施例1
一种恶意代码检测方法,该方法包括;
(1)训练阶段:利用已知软件样本训练多模态深度神经网络模型;
(2)检测阶段:利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测。
实施例2
根据实施例1所述的一种恶意代码检测方法,其区别在于:
步骤(1),利用已知软件样本训练多模态深度神经网络模型,如图1所示,包括步骤如下:
步骤1.1:提取已知软件样本的API函数调用序列、指令序列、字节流;
步骤1.2:分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤1.3:使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型(多模态深度学习模型)。
步骤1.1,提取已知软件样本的API函数调用序列、指令序列、字节流,包括步骤如下:
步骤1.1.1:利用反汇编和动态沙箱等软件动态分析和静态分析方法获得所有已知软件样本的API函数调用序列、指令序列、字节流,统计在所有已知软件样本中出现频次最高的前M个API函数API1,API2,…,APIM与前N个指令INS1,INS2,…,INSN,将M个API函数组成集合A={API1,API2,…,APIM},将N个指令组成集合I={INS1,INS2,…,INSN},M和N为可调参数;
步骤1.1.2:将已知软件样本中不属于集合A的API函数都标记为API0,不属于集合I的指令都标记为INS0,进而获得包括M+1种API函数的API函数调用序列即API0,API1,API2,…,APIM和包括N+1种指令的指令序列即INS0,INS1,INS2,…,INSN,以及只有256种字节的字节流BY0,BY1,BY2,…,BY255
步骤1.2,分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;是指:
如图2所示,针对API函数调用序列,构建一个长、宽均为M+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(APIi,APIj),此取值的计算方法如式(Ⅰ)所示:
Figure BDA0002852380370000051
式(Ⅰ)中,q(APIi,APIj)表示在API函数调用序列中相邻出现且API函数APIi在前API函数APIj在后的函数对的数量;
Figure BDA0002852380370000053
表示不小于x的最小整数;
如图3所示,针对指令序列,构建一个长、宽均为N+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(INSi,INSj),此取值的计算方法如式(Ⅱ)所示:
Figure BDA0002852380370000052
式(Ⅱ)中,q(INSi,INSj)表示在指令序列中相邻出现且指令INSi在前指令INSj在后的指令对的数量;
如图4所示,针对字节流,构建一个长、宽均为256个像素的灰度图,其中第i行,第j列的像素点的取值记作p(BYi,BYj),此取值的计算方法如式(Ⅲ)所示:
Figure BDA0002852380370000061
式(Ⅲ)中,q(BYi,BYj)表示在字节流中相邻出现且字节BYi在前字节BYj在后的字节对的数量。
步骤1.3,使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型,如图5所示,是指:
将步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像分别输入三个子网络,经卷积和池化,通过全连接层和输出层进行多模态的决策融合,训练得到训练好的多模态深度神经网络模型。
本发明多模态深度学习将静态特征与动态特征进行融合决策,能学习到更全面的恶意代码行为特征。同时有效避免单独使用静态特征容易被加壳、混淆等技术规避检测,以及单独使用动态特征易被反虚拟机、反沙箱技术规避检测的不足。本发明的使用多模态神经网络检测的准确率与单独使用单一特征进行检测的准确率相比能提升不少于2个百分点。
实施例3
根据实施例1或2所述的一种恶意代码检测方法,其区别在于:
多模态深度神经网络模型包括三个子网络、全连接层及输出层;三个卷积神经网络分别作为三个子网络,每个子网络包括依次连接的若干个卷积池化层、全连接层,卷积池化层包括卷积层和池化层。
步骤(2),利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测,包括步骤如下:
步骤2.1:提取未知软件样本的API函数调用序列、指令序列、字节流;
步骤2.2:分别将步骤2.1提取的未知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤2.3:将步骤2.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像输入训练好的多模态深度神经网络模型,得到检测结果。
完成多模态深度学习模型训练后,即可使用训练得到的多模态深度学习模型对未知软件样本进行检测。首先根据训练阶段获得的集合A和集合I,获取未知软件样本的API函数调用序列、指令序列、字节流,然后将他们转换为相应的灰度图,之后将灰度图像输入多模态深度学习模型,即可得到检测结果。
实施例4
根据实施例1-3任一所述的一种恶意代码检测方法,其区别在于:
已知软件样本标注正常或恶意,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测其是正常软件或恶意软件。
实施例5
根据实施例1-3任一所述的一种恶意代码检测方法,其区别在于:
已知软件样本标注其所属的类别,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测所属的类别。
实施例6
一种恶意代码检测系统,用于实现实施例1-5任一恶意代码检测方法,如图6所示,包括数据获取模块、预处理模块、检测模块;
数据获取模块用于:获取软件的API函数调用序列、指令序列、字节流;预处理模块用于:将获取的API函数调用序列、指令序列、字节流转换为相应的灰度图;检测模块用于:将API函数调用序列、指令序列、字节流转换为相应的灰度图输入训练好的多模态深度神经网络模型进行检测。
实施例7
一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现实施例1-5任一恶意代码检测方法的步骤。
实施例8
一种计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现实施例1-5任一恶意代码检测方法的步骤。

Claims (7)

1.一种恶意代码检测方法,其特征在于,该方法包括;
(1)训练阶段:利用已知软件样本训练多模态深度神经网络模型;
(2)检测阶段:利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测;
步骤(1),利用已知软件样本训练多模态深度神经网络模型,包括步骤如下:
步骤1.1:提取已知软件样本的API函数调用序列、指令序列、字节流;
步骤1.2:分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤1.3:使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型;
步骤1.1,提取已知软件样本的API函数调用序列、指令序列、字节流,包括步骤如下:
步骤1.1.1:利用软件动态分析和静态分析方法获得所有已知软件样本的API函数调用序列、指令序列、字节流,统计在所有已知软件样本中出现频次最高的前M个API函数API1,API2,…,APIM与前N个指令INS1,INS2,…,INSN,将M个API函数组成集合A={API1,API2,…,APIM},将N个指令组成集合I={INS1,INS2,…,INSN},M和N为可调参数;
步骤1.1.2:将已知软件样本中不属于集合A的API函数都标记为API0,不属于集合I的指令都标记为INS0,进而获得包括M+1种API函数的API函数调用序列即API0,API1,API2,…,APIM和包括N+1种指令的指令序列即INS0,INS1,INS2,…,INSN,以及只有256种字节的字节流BY0,BY1,BY2,…,BY255
步骤1.2,分别将提取的已知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;是指:
针对API函数调用序列,构建一个长、宽均为M+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(APIi,APIj),此取值的计算方法如式(Ⅰ)所示:
Figure FDA0003115033200000011
式(Ⅰ)中,q(APIi,APIj)表示在API函数调用序列中相邻出现且API函数APIi在前API函数APIj在后的函数对的数量;
针对指令序列,构建一个长、宽均为N+1个像素的灰度图,其中第i行,第j列的像素点的取值记作p(INSi,INSj),此取值的计算方法如式(Ⅱ)所示:
Figure FDA0003115033200000021
式(Ⅱ)中,q(INSi,INSj)表示在指令序列中相邻出现且指令INSi在前指令INSj在后的指令对的数量;
针对字节流,构建一个长、宽均为256个像素的灰度图,其中第i行,第j列的像素点的取值记作p(BYi,BYj),此取值的计算方法如式(Ⅲ)所示:
Figure FDA0003115033200000022
式(Ⅲ)中,q(BYi,BYj)表示在字节流中相邻出现且字节BYi在前字节BYj在后的字节对的数量。
2.根据权利要求1所述的一种恶意代码检测方法,其特征在于,步骤1.3,使用步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像训练多模态深度神经网络模型,是指:
将步骤1.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像分别输入三个子网络,经卷积和池化,通过全连接层和输出层进行多模态的决策融合,训练得到训练好的多模态深度神经网络模型。
3.根据权利要求1所述的一种恶意代码检测方法,其特征在于,已知软件样本标注正常或恶意,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测其是正常软件或恶意软件;
或者,已知软件样本标注其所属的类别,则通过训练好的多模态深度神经网络模型对未知软件样本判断检测所属的类别。
4.根据权利要求1所述的一种恶意代码检测方法,其特征在于,所述多模态深度神经网络模型包括三个子网络、全连接层及输出层;三个卷积神经网络分别作为三个子网络,每个子网络包括依次连接的若干个卷积池化层、全连接层,所述卷积池化层包括卷积层和池化层;
步骤(2),利用训练阶段训练好的多模态深度神经网络模型对未知软件样本进行检测,包括步骤如下:
步骤2.1:提取未知软件样本的API函数调用序列、指令序列、字节流;
步骤2.2:分别将步骤2.1提取的未知软件样本的API函数调用序列、指令序列、字节流转换成相应的灰度图像;
步骤2.3:将步骤2.2中得到的由API函数调用序列、指令序列、字节流转换成的灰度图像输入训练好的多模态深度神经网络模型,得到检测结果。
5.一种恶意代码检测系统,其特征在于,用于实现权利要求1-4任一所述恶意代码检测方法,包括数据获取模块、预处理模块、检测模块;
所述数据获取模块用于:获取软件的API函数调用序列、指令序列、字节流;所述预处理模块用于:将获取的API函数调用序列、指令序列、字节流转换为相应的灰度图;所述检测模块用于:将API函数调用序列、指令序列、字节流转换为相应的灰度图输入训练好的多模态深度神经网络模型进行检测。
6.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现权利要求1-4任一所述恶意代码检测方法的步骤。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-4任一所述恶意代码检测方法的步骤。
CN202011532274.7A 2020-12-22 2020-12-22 一种恶意代码检测方法、系统、设备及存储介质 Active CN112597495B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011532274.7A CN112597495B (zh) 2020-12-22 2020-12-22 一种恶意代码检测方法、系统、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011532274.7A CN112597495B (zh) 2020-12-22 2020-12-22 一种恶意代码检测方法、系统、设备及存储介质

Publications (2)

Publication Number Publication Date
CN112597495A CN112597495A (zh) 2021-04-02
CN112597495B true CN112597495B (zh) 2021-07-30

Family

ID=75200537

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011532274.7A Active CN112597495B (zh) 2020-12-22 2020-12-22 一种恶意代码检测方法、系统、设备及存储介质

Country Status (1)

Country Link
CN (1) CN112597495B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113221115B (zh) * 2021-07-09 2021-09-17 四川大学 基于协同学习的可视化恶意软件检测方法
CN114065199B (zh) * 2021-11-18 2022-06-21 山东省计算中心(国家超级计算济南中心) 一种跨平台恶意代码检测方法及系统
CN115393678B (zh) * 2022-08-01 2024-04-02 北京理工大学 一种基于图像式中间态的多模态数据融合决策方法
CN115577353B (zh) * 2022-12-08 2023-04-25 深圳市永达电子信息股份有限公司 基于脑计算机制的网络安全防护方法和系统
CN116226854B (zh) * 2023-05-06 2023-07-11 江西萤火虫微电子科技有限公司 恶意软件检测方法、系统、可读存储介质及计算机

Also Published As

Publication number Publication date
CN112597495A (zh) 2021-04-02

Similar Documents

Publication Publication Date Title
CN112597495B (zh) 一种恶意代码检测方法、系统、设备及存储介质
Bayar et al. Design principles of convolutional neural networks for multimedia forensics
CN108229526B (zh) 网络训练、图像处理方法、装置、存储介质和电子设备
CN112465748B (zh) 基于神经网络的裂缝识别方法、装置、设备及存储介质
CN107392019A (zh) 一种恶意代码家族的训练和检测方法及装置
CN111105336A (zh) 一种基于对抗网络的图像去水印的方法
CN110879963B (zh) 一种敏感表情包检测方法、装置与电子设备
CN111552966A (zh) 一种基于信息融合的恶意软件同源性检测方法
CN109544468B (zh) 一种图像数据扩增方法
CN104008401A (zh) 一种图像文字识别的方法及装置
CN113779581B (zh) 一种轻量化高精度恶意软件识别模型的鲁棒检测方法及系统
CN110971603B (zh) 一种基于深度学习的异常流量检测方法及系统
CN110276357A (zh) 一种基于卷积神经网络的验证码识别方法
CN108710893A (zh) 一种基于特征融合的数字图像相机源模型分类方法
CN112836692B (zh) 用于处理图像的方法、装置、设备和介质
CN116206185A (zh) 一种基于改进YOLOv7的轻量级小目标检测方法
CN109102015A (zh) 一种基于复数神经网络的sar图像变化检测方法
CN108171229B (zh) 一种空心粘连验证码的识别方法及系统
CN113159045A (zh) 一种结合图像预处理与卷积神经网络的验证码识别方法
CN113344826A (zh) 图像处理方法、装置、电子设备及存储介质
CN112819096A (zh) 一种基于复合卷积神经网络的化石图像分类模型的构建方法
CN115272826A (zh) 一种基于卷积神经网络的图像识别方法、装置及系统
CN116910752A (zh) 一种基于大数据的恶意代码检测方法
CN116258917B (zh) 一种基于tf-idf转移熵的恶意软件分类方法及装置
CN116644422A (zh) 一种基于恶意块标注和图像处理的恶意代码检测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant