CN115455416A - 一种恶意代码检测方法、装置、电子设备及存储介质 - Google Patents
一种恶意代码检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115455416A CN115455416A CN202211104769.9A CN202211104769A CN115455416A CN 115455416 A CN115455416 A CN 115455416A CN 202211104769 A CN202211104769 A CN 202211104769A CN 115455416 A CN115455416 A CN 115455416A
- Authority
- CN
- China
- Prior art keywords
- text
- sub
- data
- text data
- malicious code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 99
- 239000013598 vector Substances 0.000 claims abstract description 172
- 238000003062 neural network model Methods 0.000 claims abstract description 75
- 238000000034 method Methods 0.000 claims abstract description 56
- 238000012549 training Methods 0.000 claims description 54
- 230000006870 function Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 16
- 230000008569 process Effects 0.000 claims description 16
- 238000001914 filtration Methods 0.000 claims description 10
- 125000004122 cyclic group Chemical group 0.000 claims description 5
- 238000012545 processing Methods 0.000 abstract description 11
- 230000011218 segmentation Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 239000000243 solution Substances 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 210000002569 neuron Anatomy 0.000 description 2
- 238000003786 synthesis reaction Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/43—Checking; Contextual analysis
- G06F8/436—Semantic checking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Biomedical Technology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biophysics (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种恶意代码的检测方法、装置、电子设备及存储介质。该方法包括:获取待检测文本数据,根据语义逻辑将待检测文本数据划分为至少一个子文本数据,确定子文本数据对应的子文本向量,将子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果。本发明实施例,通过语义逻辑将获取的待检测文本数据划分为至少一个子文本数据并确定相应的子文本向量,能够形成子文本特征,便于后续最优神经网络模型的数据处理;通过最优神经网络模型以确定子文本向量中恶意代码的检测结果,能够确认恶意代码对应的相关检测信息,提升对恶意代码的检测的准确率。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种恶意代码检测方法、装置、电子设备及存储介质。
背景技术
日常生活中,黑客的攻击形式多种多样,有些攻击方式特征比较明显,有些攻击方式特征比较隐蔽。黑客的攻击方式往往通过将恶意代码注入到文件中的部分位置,当该文件被查看或者被执行命令,该恶意代码就会运行,从而插入病毒木马,留后门等危险行为,一旦设备联网,该设备非常容易被入侵和劫持,从而造成重大损失。
针对上述问题,现有技术中,对文件中恶意代码的检测方法,一种是通过关键词匹配查找文件中是否存在恶意代码,这种方式往往造成当未知的恶意代码进入时,无法正确进行相应的检测;另一种是通过机器学习或深度学习的分类方法判断数据是否是恶意代码,然而,这种方式不能同时确认恶意代码的位置和类型。
公开内容
有鉴于此,本发明提供一种恶意代码的检测方法、装置、设备及介质,能够同时确认恶意代码对应的概率、位置和类型,提升对恶意代码的检测的准确率。
根据本发明的一方面,本发明实施例提供了一种恶意代码的检测方法,该方法包括:
获取待检测文本数据;
根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量;
将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,所述最优神经网络模型基于含有恶意代码的文本数据训练集生成。
根据本发明的另一方面,本发明实施例还提供了一种恶意代码的检测方法装置,该装置包括:
数据获取模块,用于获取待检测文本数据;
子文本向量确定模块,用于根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量;
结果确定模块,用于将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,所述最优神经网络模型基于含有恶意代码的文本数据训练集生成。
根据本发明的另一方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的恶意代码的检测方法。
根据本发明的另一方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的恶意代码的检测方法。
本发明实施例的技术方案,通过获取待检测文本数据,根据语义逻辑将待检测文本数据划分为至少一个子文本数据,确定子文本数据对应的子文本向量,将子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果其中,最优神经网络模型基于含有恶意代码的文本数据训练集生成。本发明实施例,通过语义逻辑将获取的待检测文本数据划分为至少一个子文本数据并确定相应的子文本向量,能够形成子文本特征,便于后续最优神经网络模型的数据处理;通过最优神经网络模型以确定子文本向量中恶意代码的检测结果,能够确认恶意代码对应的相关检测信息,提升对恶意代码的检测的准确率。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种恶意代码的检测方法的流程图;
图2为本发明一实施例提供的另一种恶意代码的检测方法的流程图;
图3为本发明一实施例提供的一种恶意代码训练过程的流程图;
图4为本发明一实施例提供的一种恶意代码的检测过程的流程图;
图5是本发明一实施例提供的一种恶意代码的检测装置的结构框图;
图6示出了可以用来实施本发明的实施例的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”,“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
在一实施例中,图1为本发明一实施例提供的一种恶意代码的检测方法的流程图,本实施例可适用于在各种文件进行传输过程中对恶意代码进行检测时的情况,该方法可以由恶意代码的检测装置来执行,该恶意代码的检测装置可以采用硬件和/或软件的形式实现,该恶意代码的检测装置可配置于电子设备中。如图1所示,该方法包括:
S110、获取待检测文本数据。
其中,待检测文本数据指的是等待被检测的可能含有恶意代码的相关文本数据。待检测文本数据也可以称为字符型数据,为各种不同类型文件中的文本数据,例如可以是doc文件,pdf文件,txt文件中的相关文本数据,可以为包含英文字符、汉字、数字以及其他可输入的字符等等。
在本实施例中,可以在各种不同类型的文件进行传输、转储或者打开的过程中,获取各种类型的待检测文本数据中的文件所属类型、文本数据的具体内容信息,各内容信息的所在页面的行等,以便对获取的文本数据进行相应的处理。
S120、根据语义逻辑将待检测文本数据划分为至少一个子文本数据,确定子文本数据对应的子文本向量。
其中,语义逻辑可以理解为句与句之间的逻辑关系或者页面内语句之间的字符符号。逻辑关系例如可以为并列、承接、转折、结果和原因、目的、让步等。
在本实施例中,子文本数据可以理解为通过语义逻辑将待检测文本数据进行模块化划分,各模块所对应的子文本数据。需要说明的是,待检测文本数据可以通过模块化划分为至少一个模块,每个模块可以对应有一个子文本数据,进行模块化划分之后所对应的子文本数据可以为代码类文件,也可以非脚本文件,本实施例在此不做限制。子文本向量可以理解为对各个模块的子文本数据采用doc2vec的模型或word2vec的模型进行向量化所得到的对应各模块的子文本向量。
在本实施例中,可以通过提取待检测文本数据中的内容数据,对内容数据进行相应的过滤得到英文数据,依据得到的英文数据的格式、类型等的不同,例如可以是非脚本文档或编程代码等,可以按照与其相对应的逻辑内容将英文数据进行相应的划分,并采用doc2vec的模型或word2vec的模型将划分之后各模块所对应的子文本数据进行向量化;也可以通过待检测文本数据所对应的函数调用图以获取相应的调用序列所对应的特征向量进行相应的向量化,本实施例在此不做限制。
S130、将子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,最优神经网络模型基于含有恶意代码的文本数据训练集生成。
其中,最优神经网络模型是通过一些公开的包含有恶意代码的数据源的相关文本数据训练集进行训练生成的。恶意代码也可以称为恶意软件,指的是所有可能与某个组织安全策略相冲突的软件或代码,这些代码没有作用却会带来一定的危险,可以是在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件;也可以是故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。在本实施例中,对恶意代码的类型不做限制,可以为sql注入,也可以为xss攻击也可以称为跨站脚本攻击等等。
在本实施例中,对恶意代码的检测结果中包括恶意代码的所在位置、恶意代码对应的类型以及恶意代码的类型对应的概率等。
在本实施例中,可以将切分后各模块中子文本数据所对应的子文本向量输入至最优神经网络模型中,以确定恶意代码的检测结果。具体的,可以将待检测文本数据对应的子文本向量构成子文本向量集合,按照预设数量将子文本向量集合切分为至少一个子集,将至少一个子集输入至最优神经网络模型中以确定恶意代码的检测结果,可以依据子集的构成个数进行区分处理,若为单个子集,则直接将单个子集的检测结果作为最优神经网络模型的输出结果,若为至少两个子集,则依据至少两个子集进行综合以确定相应的检测结果并进行输出。
在一实施例中,最优神经网络模型的训练包括:
提取含有恶意代码的文本数据训练集中的文本数据,其中,文本数据训练集中的文本数据包含恶意代码的位置和类型;
对文本数据提取内容数据,并过滤出内容数据中的非英文数据,以得到英文数据;
将英文数据划分为至少一个子文本数据,并采用doc2vec模型确定子文本数据对应的子文本向量;
依据文本数据训练集中恶意代码的位置和类型,对应生成子文本数据中恶意代码的位置、类型以及对应的概率标签,以组成文本数据训练集;
基于文本数据训练集对神经网络模型更新参数和权重值进行迭代训练,直到损失函数达到最小,输出最优神经网络模型,否则调整神经网络模型的参数和权重值并重复上述过程。
其中,文本数据训练集由包含有恶意代码的文本数据所构成,文本数据训练集中的文本数据包含恶意代码的位置和类型,示例性的,文件1中包含有恶意代码,该恶意代码的类型为xss攻击,所在位置为页面的第6行。
其中,内容数据可以包括文本类型、文本信息、所述文本信息所在行和/或列、所述文本信息对应的字数其中的一种或多种。
在本实施例中,最优神经网络模型的训练过程为,从文本数据训练集中提取含有恶意代码的文本数据,其中,文本数据训练集中的文本数据包含恶意代码的位置和类型;提取文本数据中的内容数据,如doc文件,pdf文件,txt文件中文本信息、文本所对应的行、字数等等,生成原始文本集,保持原始文本数据对应的页面所在行数,并过滤出内容数据中的非英文数据,以得到英文数据,将英文数据划分为至少一个子文本数据,并采用doc2vec模型确定子文本数据对应的子文本向量,依据文本数据训练集中恶意代码的位置和类型,对应生成子文本数据中恶意代码的位置、类型以及对应的概率标签,以组成文本数据训练集,通过文本数据训练集对神经网络模型更新参数和权重值进行迭代训练,直到损失函数达到最小,输出最优神经网络模型,否则调整神经网络模型的参数和权重值并重复上述过程。
需要说明的是,神经网络模型中,训练截断的整体损失函数分为位置损失与分类损失之和,可以理解为,神经网络模型的训练是经过多次迭代计算出来的,经过多次迭代使得准确率达到最高,以减小整个神经网络的错误率,使用损失函数可以纠正真实位置与预测位置之间的偏差。训练截断的整体损失函数,用公式可以表示为:LossTotal=loss(location)+loss(classify),其中,其中loss(location)可采用交并比(Intersectionover Union,IOU)相关系列损失表达,如使用GIoU损失函数时,A是预测位置,B是真实位置,C为A与B的最小凸闭合框,即为真实目标边界框,则损失函数IOU=|A∩B|/|A∪B|,GIOU=IOU-|C/(A∪B)|/|C|,其中loss(classify)是交叉熵损失函数。
需要说明的是,若有新的文本数据,可在原来模型上进行微调更新或者结合旧数据重新训练。
本发明实施例的技术方案,通过获取待检测文本数据,根据语义逻辑将待检测文本数据划分为至少一个子文本数据,确定子文本数据对应的子文本向量,将子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果其中,最优神经网络模型基于含有恶意代码的文本数据训练集生成。本发明实施例,通过语义逻辑将获取的待检测文本数据划分为至少一个子文本数据并确定相应的子文本向量,能够形成子文本特征,便于后续最优神经网络模型的数据处理;通过最优神经网络模型以确定子文本向量中恶意代码的检测结果,能够确认恶意代码对应的相关检测信息,提升对恶意代码的检测的准确率。
在一实施例中,图2为本发明一实施例提供的另一种恶意代码的检测方法的流程图,本实施例在上述各实施例地基础上,对根据语义逻辑将待检测文本数据划分为至少一个子文本数据,以确定子文本数据对应的子文本向量,以及将子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果进行了进一步的细化,如图2所示,本实施例中的恶意代码的检测方法具体可以包含如下步骤:
S210、获取待检测文本数据。
S220、提取待检测文本数据中的内容数据。
其中,内容数据至少包括下述之一:文本类型、文本信息、文本信息所在行和/或列、文本信息对应的字数。文本类型指的是待检测文本数据所对应的文件类型,例如可以是doc文件,pdf文件,txt文件等。文本信息可以理解为待检测文本数据的文字信息、文字信息的相关属性信息。
在本实施例中,通过固定的文本信息提取工具和/或解析文本数据的工具包,库等可以从待检测文本数据中提取相对应的内容数据,以生成原始文本集,可以知道的是,原始文本集中保持待检测文本信息的原始内容数据,包含待检测文本数据的原始文本类型、原始文本信息、原始文本信息所在行和/或列、原始文本信息对应的字数。
S230、过滤内容数据中的非英文数据,以得到内容数据中的英文数据。
其中,英文数据可以理解为英文字符。
在本实施例中,依据内容数据的相关字符所对应的编码方式可以判断出待检测文本数据中内容数据是中文字符数据还是英文字符数据,恶意代码的语言通常是英文字符,将中文字符数据进行过滤出,得到内容数据相对应的英文数据。
S240、在英文数据为代码的情况下,按照代码的逻辑结构将英文数据划分为至少一个子文本数据,采用doc2vec模型确定子文本数据对应的子文本向量。
其中,逻辑结构至少包括下述之一:顺序逻辑、条件逻辑、循环逻辑、函数块、类。doc2vec模型是一中用来产生词向量和段落向量的相关模型,针对每个模块化所得到的子文本数据采用doc2vec模型进行embedding向量化。
在本实施例中,可以通过编程语言相关脚本文档的固定格式,进行判断过滤的英文数据是代码还是非脚本文档,在英文数据为代码的情况下,按照编程代码的逻辑结构,例如可以是顺序逻辑、条件逻辑、循环逻辑、函数块和类等结构对英文数据进行相应的划分模块,每个模块对应相应的子文本数据,所划分的模块数量至少为一个,在进行相应的划分之后,可以采用doc2vec模型确定各模块中子文本数据所对应的子文本向量。示例性的,将英文数据为代码的待检测文件进行模块化切分之后的模块数量记为n,对n个模块的子文本数据采用doc2vec模型进行embedding向量化,以生成相应的m*k为向量,其中,m表示每个模块中子文本数据含有的字符的数量,k表示词汇表数目,此时一个待检测文本数据的向量可以表示n*m*k维向量。
S250、在英文数据为非脚本文档的情况下,按照英文数据中字符的标点符号将英文数据划分为至少一个子文本数据,并采用doc2vec的模型确定子文本数据对应的子文本向量。
其中,非脚本文档可以为doc类型,pdf类型、txt类型等非脚本文档。英文数据中字符的标点符号可以理解为页面中各行字符中的标点符号。示例的,各行字符中每一个标点符号划分为一句。
在本实施例中,若判断出的英文数据为非脚本文档,则需要按照英文数据中字符的标点符号,将英文数据进行相应的划分模块,每个模块对应相应的子文本数据,所划分的模块数量至少为一个,在进行相应的划分之后,可以采用doc2vec模型进行embedding向量化,以确定各模块中子文本数据所对应的子文本向量。
S260、将待检测文本数据对应的子文本向量构成子文本向量集合。
在本实施例中,依据待检测文本数据所对应的子文本向量,可以构成对应的子文本向量集合。需要说明的是,子文本向量集合中可能包含一个或多个子文本向量。
S270、按照预设数量将子文本向量集合切分为至少一个子集。
其中,预设数量可以理解为预先进行设置的模块对应的子文本向量的固定数量,可以通过经验进行相应的设置,也可以人为进行自行设置,本实施例在此不做限制。子集中包含一个或多个子文本数据所对应的子文本向量。
在本实施例中,由于每个待检测文本数据中所划分的模块个数不同,也即子文本数据的数量不同,需要对每个待检测文本数据中的子文本数据的所对应的子文本向量集合按照固定个数进行相应的切分,得到子集所对应的向量,对n个模块的子文本数据采用doc2vec模型进行embedding向量化,以生成相应的m*k为向量,则此时按照固定个数r进行相应的切分,每个子集所对应的向量为r*m*k,其中,m表示每个模块中子文本数据含有的字符的数量,k表示词汇表数目。需要说明的是,对于切分时不满足固定个数r的结尾切分,需要复制本身的子文本数据直至达到固定个数r。
需要说明的是,若待检测文本数据中含有恶意代码,则按照预设数量将子文本向量进行切分之后,恶意代码的位置可能为原始待检测文本数据中的位置,也可能不是原始待检测文本数据中的位置。
在一实施例中,按照预设数量将子文本向量集合切分为至少一个子集,包括:
若子文本向量集合中的子文本向量的数量超过预设数量,则按照预设数量在各子文本向量中选择对应数量的子文本向量划分到一个子集,直到剩余的子文本向量的数量未达到预设数量;
若子文本向量集合中的子文本向量的数量未达到预设数量,则复制子文本向量以使得复制的子文本向量与各子文本向量之和等于预设数量,将复制的子文本向量与各子文本向量划分到一个子集。
在本实施例中,在子文本向量的数量超过预设数量的情况下,则按照预设数量在各子文本向量中选择对应数量的子文本向量划分到一个子集,直到剩余的子文本向量的数量未达到预设数量,在子文本向量的数量未达到预设数量的情况下,则复制子文本向量以使得复制的子文本向量与各子文本向量之和等于预设数量,将复制的子文本向量与各子文本向量划分到一个子集。需要说明的是,若各子文本向量的数量未达到预设数量的个数余数为1时,则复制该子文本数据所对应的子文本向量以扩展到预设数量,若各子文本向量的数量未达到预设数量的个数余数为至少为2时,则可以复制其中的一个子文本数据所对应的子文本向量以扩展到预设数量,也可以复制其中的多个以子文本数据所对应的子文本向量以扩展到预设数量。
示例性的,预设数量也即标准化个数为5,若待检测文本数据中子文本数据对应的子文本向量为15,则按照标准化个数5将该待检测文本数据中子文本数据对应的子文本向量切分为3份;若待检测文本数据中子文本数据对应的子文本向量为17,则按照标准化个数5将该待检测文本数据中子文本数据对应的子文本向量切为4份,在4份中有2个子文本向量,此时需要将第4份扩展到标准化个数5,此时将第4份中的2个子文本向量进行复制以扩展到标准化个数5。
S280、将至少一个子集输入至最优神经网络模型中,以确定恶意代码的检测结果,其中,检测结果中包含恶意代码的位置、类型和对应的概率。
在本实施例中,基于最优神经网络模型对输入的至少一个子集进行相应的检测,以确定对待检测文本数据中恶意代码的相关检测结果,若含有恶意代码,则从最优神经网络模型中对应输出包含恶意代码的位置、类型和对应的概率。需要说明的是,可以依据子集的个数进行区分处理,以获取单个子集合至少两个子集情况下对应恶意代码的检测结果。
S290、若子文本向量集合中的子文本向量的数量构成单个子集,则将单个子集的检测结果作为最优神经网络模型的输出结果。
在本实施例中,在子文本向量的数量构成单个子集的情况下,则直接将单个子集的检测结果作为最优神经网络模型的输出结果。具体的,若单个子集的类型对应的概率低于预设概率,则确定恶意代码的检测结果为待检测文本数据不存在恶意代码;若单个子集的类型对应的概率超过预设概率,则确定恶意代码的检测结果为待检测文本数据存在恶意代码,直接输出单个子集中恶意代码的对应的位置、类别和对应概率。
在一实施例中,将单个子集的检测结果作为最优神经网络模型的输出结果,包括:
在单个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为待检测文本数据不存在恶意代码;
在单个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为待检测文本数据存在恶意代码,输出单个子集中恶意代码的对应的位置、类别和对应概率。
在本实施例中,在单个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为待检测文本数据不存在恶意代码;在单个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为待检测文本数据存在恶意代码,输出单个子集中恶意代码的对应的位置、类别和对应概率。示例性的,预设概率为5%,单个子集的类型对应的概率超过5%的情况下,确定恶意代码的检测结果为待检测文本数据存在恶意代码,通过最优神经网络模型输出恶意代码当前所在的位置、类别以及对应的概率,例如可以为页面的第几行,恶意代码的所属类别以及当前恶意代码对应的概率。
S2100、若子文本向量集合中的子文本向量的数量构成至少两个子集,依据至少两个子集进行综合的检测结果确定最优神经网络模型的输出结果。
在本实施例中,若子文本向量集合中的子文本向量的数量构成至少两个子集,依据至少两个子集进行综合的检测结果确定最优神经网络模型的输出结果。具体的,若至少两个子集的类型对应的概率低于预设概率,则确定恶意代码的检测结果为待检测文本数据不存在恶意代码;若至少两个子集的类型对应的概率超过预设概率,则确定恶意代码的检测结果为待检测文本数据存在恶意代码,需要按照各子集的原始顺序进行合并各子集所对应的内容数据,以确定至少两个子集中恶意代码的对应的位置、类别和对应概率。
在一实施例中,依据至少两个子集进行综合的检测结果确定最优神经网络模型的输出结果,包括:
在至少两个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为待检测文本数据不存在恶意代码;
在至少两个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为待检测文本数据存在恶意代码,按照各子集的原始顺序进行合并各子集所对应的内容数据,以确定至少两个子集中恶意代码的对应的位置、类别和对应概率。
在本实施例中,在至少两个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为待检测文本数据不存在恶意代码;在至少两个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为待检测文本数据存在恶意代码,按照各子集的原始顺序进行合并各子集所对应的内容数据,以确定至少两个子集中恶意代码的对应的位置、类别和对应概率。
示例性的,若确定恶意代码的检测结果为待检测文本数据存在恶意代码,则前面进行子集切分的时候,对恶意代码的位置也相应的进行了切分,比如原始原始数据中恶意代码在第7行-10行,按固定个数8进行切分之后,第一个子集中恶意代码在第7行和第8行,第二个子集中恶意代码在第1行和第2行,需要按照各子集的原始行数顺序进行合并各子集所对应的内容数据,以确定原始数据中包含恶意代码的位置、类型和相应的概率信息。
本发明实施例的上述技术方案,通过提取待检测文本数据中的内容数据,过滤内容数据中的非英文数据,以得到内容数据中的英文数据,在英文数据为代码的情况下,按照代码的逻辑结构将英文数据划分为至少一个子文本数据,采用doc2vec模型确定子文本数据对应的子文本向量,在英文数据为非脚本文档的情况下,按照英文数据中字符的标点符号将英文数据划分为至少一个子文本数据,并采用doc2vec的模型子文本数据对应的子文本向量,进一步形成相应的子文本特征,便于后续最优神经网络模型的数据处理;通过按照预设数量将子文本向量切分为至少一个子集,将至少一个子集输入至最优神经网络模型中,以确定恶意代码的检测结果,其中,检测结果中包含恶意代码的位置、类型和对应的概率,若子文本数据为单个子集,则将单个子集的检测结果作为最优神经网络模型的输出结果。若子文本数据为至少两个子集组成,依据至少两个子集进行综合的检测结果确定最优神经网络模型的输出结果,能够同时确认恶意代码对应的概率、位置和类型,提升对恶意代码的检测的准确率。
在一实施例中,由于恶意代码的检测方法可分为恶意代码的训练阶段和对恶意代码的检测阶段,为便于更好的理解恶意代码的检测方法,图3为本发明一实施例提供的一种恶意代码训练过程的流程图,图4为本发明一实施例提供的一种恶意代码的检测过程的流程图。其中,文本数据表示上述实施例中的待检测文本数据,非英文字符表示上述实施例中的非英文数据,子样本表示上述实施例中的子集,预设模块数量表示上述实施例中的预设数量。
首先,在训练阶段的具体步骤如下:
S310、采集包含恶意代码的文本数据。
在本实施例中,进行数据采集,确定训练数据。
S320、提取文本数据中的文本内容数据,生成原始文本集,保持原始行数。
S330、从文本内容数据中过滤非英文字符,以得到英文字符。
S340、对英文字符进行模块化划分。
在本实施例中,基于语义逻辑对文本数据进行网格化切分,模块个数记为n,如果包含英文字符的文本数据是代码文件,则按照顺序逻辑,条件逻辑,循环逻辑,函数块,类等结构进行划分,所划分的模块数量记为n;如果包含英文字符的文本数据是doc、pdf、txt等非脚本文档,则按行内语句进行切分,生成n个模块。
本实施例中的对英文字符进行模块化划分,可以理解为上述各实施例中的根据语义逻辑将待检测文本数据划分为至少一个子文本数据。一个模块表示为一个子文本数据。
S350、对划分之后每个模块的文本数据采用doc2vec的模型进行embedding向量化,生成m*k维向量。
在本实施例中,此种情况下,一个文件的向量表示为n*m*k维向量。本实施例中的模块向量化,可以理解为上述各实施例中确定子文本数据对应的子文本向量。
S360、按照预设模块数量进行切分以生成子样本。
在本实施例中,根据固定长度进行切割,由于每个文件中所含的模块个数不同,则对每个文件向量按照固定模块个数r进行切分,得到子样本向量,则每个子样本向量为r*m*k维向量,其中不满足r个的结尾切分模块则复制本身数据直至r个模块。
S370、依据文本数据训练集中恶意代码的位置和类型,对应生成样本中恶意代码的位置、类型以及对应的概率标签,以组成文本数据训练集。
S380、将子样本训练数据输入构建的神经网络模型中进行训练迭代,得到最终的最优神经网络模型。
在本实施例中,构建端到端的神经网络模型,定义网络层数,确定损失函数和优化器。
在本实施例中,训练截断的整体损失函数分为位置损失与分类损失之和。损失函数用公式可以表示为:LossTotal=loss(location)+loss(classify),其中,loss(location)可采用IoU相关系列损失表达,如GIoU,如:A是预测位置,B是真实位置,C为A与B的最小凸闭合框,即为真实目标边界框,则
IOU=|A∩B|/|A∪B|
GIOU=IOU-|C/(A∪B)|/|C|
其中,loss(classify)是交叉熵损失函数。
在本实施例中,在训练的过程中是不断在调整模型中的一些参数,最优神经网络模型中网络层数所对应的一些权重、参数是确定的,比如网络有3层,第二层有3个神经元,每个神经元对应的权重、学习率。
如图4所示,在恶意代码的检测阶段的具体步骤如下:
S410、获取待检测文本数据,并提取待检测文本数据中内容数据。
S420、过滤内容数据中的非英文数据,以得到内容数据中的英文数据。
S430、基于语义逻辑对文本数据中的英文数据进行模块化划分。
在本实施例中,基于语义逻辑对文本数据进行网格化切分,模块个数记为n:如果包含英文字符的文本数据是代码文件,则按照顺序逻辑,条件逻辑,循环逻辑,函数块,类等结构进行划分,所划分的模块数量记为n;如果包含英文字符的文本数据是doc、pdf、txt等非脚本文档,则按行内语句进行切分,生成n个模块。
S440、对划分之后每个模块的文本数据采用doc2vec的模型进行embedding向量化,生成m*k维向量。
S450、按照预设模块数量进行切分以生成子样本。
在本实施例中,根据固定长度进行切割,由于每个文件中所含的模块个数不同,则对每个文件向量按照固定模块个数r进行切分,得到子样本向量,则每个子样本向量为r*m*k维向量,其中不满足r个的结尾切分模块则复制本身数据直至r个模块。
S460、判断子样本的个数是否为单个子样本,若是则执行S470;若否,则执行S480。
S470、判断单个子样本的类型对应的概率是否低于预设概率,若是,则执行S471;否则,执行S472。
S471、不存在恶意代码。
S472、存在恶意代码,输出单子子样本中恶意代码的对应的位置、类别和对应概率。
S480、判断至少两个子样本的类型对应的概率是否低于预设概率,若是,则执行S481;否则,执行S482。
S481、不存在恶意代码。
S482、存在恶意代码,按照各子样本的原始顺序进行合并各子样本所对应的内容数据,以确定各子样本合并之后恶意代码的对应的位置、类别和对应概率。
在一实施例中,图5是本发明一实施例提供的一种恶意代码的检测装置的结构框图,该装置适用于在各种文件进行传输过程中对恶意代码进行检测时的情况,该装置可以由硬件/软件实现。可配置于电子设备中来实现本发明实施例中的一种恶意代码的检测方法。如图5所示,该装置包括:数据获取模块510、子文本向量确定模块520以及结果确定模块530。
其中,数据获取模块510,用于获取待检测文本数据;
子文本向量确定模块520,用于根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量;
结果确定模块530,用于将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,所述最优神经网络模型基于含有恶意代码的文本数据训练集生成。
本发明实施例,子文本向量确定模块,通过语义逻辑将获取的待检测文本数据划分为至少一个子文本数据并确定相应的子文本向量,能够形成样本特征,便于后续最优神经网络模型的数据处理;结果确定模块,通过最优神经网络模型以确定子文本向量中恶意代码的检测结果,能够确认恶意代码对应的相关检测信息,提升对恶意代码的检测的准确率。
在一实施例中,子文本向量确定模块520,包括:
数据提取单元,用于提取所述待检测文本数据中的内容数据,其中,所述内容数据至少包括下述之一:文本类型、文本信息、所述文本信息所在行和/或列、所述文本信息对应的字数;
数据过滤单元,用于过滤所述内容数据中的非英文数据,以得到所述内容数据中的英文数据;
第一子文本向量确定单元,用于在所述英文数据为代码的情况下,按照所述代码的逻辑结构将所述英文数据划分为至少一个子文本数据,采用doc2vec模型确定所述子文本数据对应的子文本向量;其中,所述逻辑结构至少包括下述之一:顺序逻辑、条件逻辑、循环逻辑、函数块、类;
第二子文本向量确定单元,用于在所述英文数据为非脚本文档的情况下,按照所述英文数据中字符的标点符号将所述英文数据划分为至少一个子文本数据,并采用所述doc2vec的模型所述子文本数据对应的子文本向量。
在一实施例中,结果确定模块530,包括:
集合构成模块,用于将所述待检测文本数据对应的所述子文本向量构成子文本向量集合;
子集划分单元,用于按照预设数量将所述子文本向量集合切分为至少一个子集;
结果确定单元,用于将所述至少一个子集输入至所述最优神经网络模型中,以确定恶意代码的检测结果,其中,所述检测结果中包含所述恶意代码的位置、类型和对应的概率;
第一结果输出单元,用于若所述子文本向量集合中的所述子文本向量的数量构成单个子集,则将所述单个子集的检测结果作为所述最优神经网络模型的输出结果;
第二结果输出单元,用于若子文本向量集合中的所述子文本向量的数量构成至少两个子集,依据所述至少两个子集进行综合的检测结果确定所述最优神经网络模型的输出结果。
在一实施例中,子集划分单元,包括:
第一子集划分子单元,用于若所述子文本向量集合中的所述子文本向量的数量超过所述预设数量,则按照所述预设数量在各所述子文本向量中选择对应数量的所述子文本向量划分到一个所述子集,直到剩余的所述子文本向量的数量未达到所述预设数量;
第二子集划分子单元,用于若所述子文本向量集合中的所述子文本向量的数量未达到所述预设数量,则复制所述子文本向量以使得复制的所述子文本向量与各所述子文本向量之和等于所述预设数量,将所述复制的所述子文本向量与各所述子文本向量划分到一个所述子集。
在一实施例中,第一结果输出单元,包括:
第一结果确定子单元,用于在所述单个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据不存在恶意代码;
第二结果确定子单元,用于在所述单个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据存在恶意代码,输出所述单个子集中恶意代码的对应的位置、类别和对应概率。
在一实施例中,第二结果输出单元,包括:
第三结果输出子单元,用于在所述至少两个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据不存在恶意代码;
第四结果输出子单元,用于在所述至少两个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据存在恶意代码,按照各子集的原始顺序进行合并各子集所对应的内容数据,以确定所述至少两个子集中恶意代码的对应的位置、类别和对应概率。
在一实施例中,所述最优神经网络模型的训练,具体用于:
提取含有恶意代码的文本数据训练集中的文本数据,其中,所述文本数据训练集中的文本数据包含恶意代码的位置和类型;
对所述文本数据提取内容数据,并过滤出所述内容数据中的非英文数据,以得到英文数据;
将所述英文数据划分为至少一个子文本数据,并采用doc2vec模型确定所述子文本数据对应的子文本向量;
依据所述文本数据训练集中恶意代码的位置和类型,对应生成所述子文本数据中所述恶意代码的位置、类型以及对应的概率标签,以组成所述文本数据训练集;
基于所述文本数据训练集对神经网络模型更新参数和权重值进行迭代训练,直到损失函数达到最小,输出最优神经网络模型,否则调整所述神经网络模型的参数和权重值并重复上述过程。
本发明实施例所提供的恶意代码的检测装置可执行本发明任意实施例所提供的恶意代码的检测方法,具备执行方法相应的功能模块和有益效果。
在一实施例中,图6示出了可以用来实施本发明的实施例的电子设备的结构示意图。电子设备10旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图6所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如恶意代码的检测方法。
在一些实施例中,恶意代码的检测方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的恶意代码的检测方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行恶意代码的检测方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种恶意代码的检测方法,其特征在于,包括:
获取待检测文本数据;
根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量;
将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,所述最优神经网络模型基于含有恶意代码的文本数据训练集生成。
2.根据权利要求1所述的方法,其特征在于,所述根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量,包括:
提取所述待检测文本数据中的内容数据,其中,所述内容数据至少包括下述之一:文本类型、文本信息、所述文本信息所在行和/或列、所述文本信息对应的字数;
过滤所述内容数据中的非英文数据,以得到所述内容数据中的英文数据;
在所述英文数据为代码的情况下,按照所述代码的逻辑结构将所述英文数据划分为至少一个子文本数据,采用doc2vec模型确定所述子文本数据对应的子文本向量;其中,所述逻辑结构至少包括下述之一:顺序逻辑、条件逻辑、循环逻辑、函数块、类;
在所述英文数据为非脚本文档的情况下,按照所述英文数据中字符的标点符号将所述英文数据划分为至少一个子文本数据,并采用所述doc2vec的模型确定所述子文本数据对应的子文本向量。
3.根据权利要求1所述的方法,其特征在于,所述将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果,包括:
将所述待检测文本数据对应的所述子文本向量构成子文本向量集合;
按照预设数量将所述子文本向量集合切分为至少一个子集;
将所述至少一个子集输入至所述最优神经网络模型中,以确定恶意代码的检测结果,其中,所述检测结果中包含所述恶意代码的位置、类型和对应的概率;
若所述子文本向量集合中的所述子文本向量的数量构成单个子集,则将所述单个子集的检测结果作为所述最优神经网络模型的输出结果;
若所述子文本向量集合中的所述子文本向量的数量构成至少两个子集,依据所述至少两个子集进行综合的检测结果确定所述最优神经网络模型的输出结果。
4.根据权利要求3所述的方法,其特征在于,所述按照预设数量将所述子文本向量集合切分为至少一个子集,包括:
若所述子文本向量集合中的所述子文本向量的数量超过所述预设数量,则按照所述预设数量在所述子文本向量中选择对应数量的所述子文本向量划分到一个所述子集,直到剩余的所述子文本向量的数量未达到所述预设数量;
若所述子文本向量集合中的所述子文本向量的数量未达到所述预设数量,则复制所述子文本向量以使得复制的所述子文本向量与各所述子文本向量之和等于所述预设数量,将所述复制的所述子文本向量与各所述子文本向量划分到一个所述子集。
5.根据权利要求3所述的方法,其特征在于,所述将所述单个子集的检测结果作为所述最优神经网络模型的输出结果,包括:
在所述单个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据不存在恶意代码;
在所述单个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据存在恶意代码,输出所述单个子集中恶意代码的对应的位置、类别和对应概率。
6.根据权利要求3所述的方法,其特征在于,所述依据所述至少两个子集进行综合的检测结果确定所述最优神经网络模型的输出结果,包括:
在所述至少两个子集的类型对应的概率低于预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据不存在恶意代码;
在所述至少两个子集的类型对应的概率超过预设概率的情况下,确定恶意代码的检测结果为所述待检测文本数据存在恶意代码,按照各子集的原始顺序进行合并各子集所对应的内容数据,以确定所述至少两个子集中恶意代码的对应的位置、类别和对应概率。
7.根据权利要求1所述的方法,其特征在于,所述最优神经网络模型的训练包括:
提取含有恶意代码的文本数据训练集中的文本数据,其中,所述文本数据训练集中的文本数据包含恶意代码的位置和类型;
对所述文本数据提取内容数据,并过滤出所述内容数据中的非英文数据,以得到英文数据;
将所述英文数据划分为至少一个子文本数据,并采用doc2vec模型确定所述子文本数据对应的子文本向量;
依据所述文本数据训练集中恶意代码的位置和类型,对应生成所述子文本数据中所述恶意代码的位置、类型以及对应的概率标签,以组成所述文本数据训练集;
基于所述文本数据训练集对神经网络模型更新参数和权重值进行迭代训练,直到损失函数达到最小,输出最优神经网络模型,否则调整所述神经网络模型的参数和权重值并重复上述过程。
8.一种恶意代码的检测装置,其特征在于,包括:
数据获取模块,用于获取待检测文本数据;
子文本向量确定模块,用于根据语义逻辑将所述待检测文本数据划分为至少一个子文本数据,确定所述子文本数据对应的子文本向量;
结果确定模块,用于将所述子文本向量输入至最优神经网络模型中以确定恶意代码的检测结果;其中,所述最优神经网络模型基于含有恶意代码的文本数据训练集生成。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的恶意代码的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的恶意代码的检测方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211104769.9A CN115455416A (zh) | 2022-09-09 | 2022-09-09 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
PCT/CN2023/093383 WO2024051196A1 (zh) | 2022-09-09 | 2023-05-11 | 恶意代码检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211104769.9A CN115455416A (zh) | 2022-09-09 | 2022-09-09 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115455416A true CN115455416A (zh) | 2022-12-09 |
Family
ID=84302126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211104769.9A Pending CN115455416A (zh) | 2022-09-09 | 2022-09-09 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN115455416A (zh) |
WO (1) | WO2024051196A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024051196A1 (zh) * | 2022-09-09 | 2024-03-14 | 上海派拉软件股份有限公司 | 恶意代码检测方法、装置、电子设备及存储介质 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112685739B (zh) * | 2020-12-31 | 2022-11-04 | 卓尔智联(武汉)研究院有限公司 | 恶意代码检测方法、数据交互方法及相关设备 |
CN114817913A (zh) * | 2021-01-19 | 2022-07-29 | 腾讯科技(深圳)有限公司 | 代码检测方法、装置、计算机设备和存储介质 |
CN113239354A (zh) * | 2021-04-30 | 2021-08-10 | 武汉科技大学 | 一种基于循环神经网络的恶意代码检测方法及系统 |
CN114357443A (zh) * | 2021-12-13 | 2022-04-15 | 北京六方云信息技术有限公司 | 基于深度学习的恶意代码检测方法、设备与存储介质 |
CN114579965A (zh) * | 2021-12-31 | 2022-06-03 | 厦门服云信息科技有限公司 | 一种恶意代码的检测方法、装置及计算机可读存储介质 |
CN114253866B (zh) * | 2022-03-01 | 2022-05-10 | 紫光恒越技术有限公司 | 恶意代码检测的方法、装置、计算机设备及可读存储介质 |
CN114692156B (zh) * | 2022-05-31 | 2022-08-30 | 山东省计算中心(国家超级计算济南中心) | 内存片段恶意代码入侵检测方法、系统、存储介质及设备 |
CN115455416A (zh) * | 2022-09-09 | 2022-12-09 | 上海派拉软件股份有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
-
2022
- 2022-09-09 CN CN202211104769.9A patent/CN115455416A/zh active Pending
-
2023
- 2023-05-11 WO PCT/CN2023/093383 patent/WO2024051196A1/zh unknown
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024051196A1 (zh) * | 2022-09-09 | 2024-03-14 | 上海派拉软件股份有限公司 | 恶意代码检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2024051196A1 (zh) | 2024-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111291195B (zh) | 一种数据处理方法、装置、终端及可读存储介质 | |
CN107004159B (zh) | 主动机器学习 | |
CN112287684B (zh) | 融合变体词识别的短文本审核方法及装置 | |
WO2020108063A1 (zh) | 特征词的确定方法、装置和服务器 | |
CN113807098A (zh) | 模型训练方法和装置、电子设备以及存储介质 | |
CN111460820A (zh) | 一种基于预训练模型bert的网络空间安全领域命名实体识别方法和装置 | |
EP4241209A1 (en) | Task specific processing of regulatory content | |
CN113688240B (zh) | 威胁要素提取方法、装置、设备及存储介质 | |
AU2019203783B2 (en) | Extraction of tokens and relationship between tokens from documents to form an entity relationship map | |
WO2023116561A1 (zh) | 一种实体提取方法、装置、电子设备及存储介质 | |
CN111984792A (zh) | 网站分类方法、装置、计算机设备及存储介质 | |
JP2018010514A (ja) | 対訳辞書作成装置、対訳辞書作成方法、及び対訳辞書作成プログラム | |
CN112528653B (zh) | 短文本实体识别方法和系统 | |
CN115017898A (zh) | 敏感文本的识别方法、装置、电子设备及存储介质 | |
WO2024051196A1 (zh) | 恶意代码检测方法、装置、电子设备及存储介质 | |
CN114647727A (zh) | 应用于实体信息识别的模型训练方法、装置和设备 | |
CN112560425B (zh) | 模板生成方法、装置、电子设备及存储介质 | |
Yasin et al. | Transformer-Based Neural Machine Translation for Post-OCR Error Correction in Cursive Text | |
CN115858776B (zh) | 一种变体文本分类识别方法、系统、存储介质和电子设备 | |
CN115035890B (zh) | 语音识别模型的训练方法、装置、电子设备及存储介质 | |
CN114880520A (zh) | 视频标题生成方法、装置、电子设备和介质 | |
US20210073258A1 (en) | Information processing apparatus and non-transitory computer readable medium | |
CN114417862A (zh) | 文本匹配方法、文本匹配模型的训练方法和装置 | |
CN115455179B (zh) | 敏感词汇检测方法、装置、设备及存储介质 | |
CN112364641B (zh) | 一种面向文本审核的中文对抗样本生成方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |