CN116910758A

CN116910758A - 恶意软件检测方法、装置、电子设备、芯片及存储介质

Info

Publication number: CN116910758A
Application number: CN202311178972.5A
Authority: CN
Inventors: 张兵兵
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Suzhou Software Technology Co Ltd
Priority date: 2023-09-13
Filing date: 2023-09-13
Publication date: 2023-10-20
Anticipated expiration: 2043-09-13
Also published as: CN116910758B

Abstract

本公开提供一种恶意软件检测方法、装置、电子设备、芯片及存储介质，方法包括：基于待检测软件第一可移植可执行（PE）文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。本公开提供的方案，能够提高恶意软件检测结果准确度。

Description

恶意软件检测方法、装置、电子设备、芯片及存储介质

技术领域

本公开涉及信息安全领域，尤其涉及一种恶意软件检测方法、装置、电子设备、芯片及存储介质。

背景技术

可视化的恶意软件检测方法，是一种将软件的可移植可执行（PE，PortableExecutable）文件映射到二维空间，得到可以反映软件特征的可视化图像，然后利用机器学习算法等算法对得到的可视化图像进行分类，从而检测出该软件是否为恶意软件的方法。

然而，相关技术中的恶意软件检测方法检测精度较低。

发明内容

本公开提供一种恶意软件检测方法、装置、电子设备、芯片及存储介质，以解决相关技术中的问题，提高恶意软件检测结果准确度。

本公开的第一方面实施例提出了一种恶意软件检测方法，该方法包括：

基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；

利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。

上述方案中，所述基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图，包括：

基于第一PE文件的编码信息，生成R通道灰度图；

基于第一PE文件的结构信息，生成G通道灰度图；

基于第一PE文件的家族信息，生成B通道灰度图。

上述方案中，所述基于第一PE文件的结构信息，生成G通道灰度图，包括：

基于第一PE文件多个组成部分中每个组成部分的信息熵与所述第一PE文件的信息熵之和，生成所述G通道灰度图。

上述方案中，所述基于第一PE文件的家族信息，生成B通道灰度图，包括：

利用第二模型和第一PE文件，生成所述待检测软件的马尔科夫图像，得到所述B通道灰度图。

上述方案中，所述基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图之前，所述方法还包括：

将所述待检测软件的第二PE文件由十六进制转化为十进制，得到所述第一PE文件。

上述方案中，所述利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件，包括：

级联所述至少一个单通道灰度图，得到所述待检测软件的三通道灰度图；

利用第一模型对所述三通道灰度图进行分类，得到分类结果；

基于所述分类结果，确定所述待检测软件是否为恶意软件。

上述方案中，所述第一模型包括第一模块，所述利用第一模型对所述三通道灰度图进行分类，得到分类结果，包括：

利用所述第一模块提取所述三通道灰度图的上下文信息；

基于所述上下文信息，对所述三通道灰度图进行分类，得到分类结果。

上述方案中，所述第一模块包括至少两种不同尺寸的卷积核；所述利用所述第一模块提取所述三通道灰度图的上下文信息，包括：

利用所述第一模块提取所述三通道灰度图至少两种尺度的上下文信息。

本公开的第二方面实施例提出了一种恶意软件检测装置，该装置包括：

第一处理单元，用于基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；

第二处理单元，用于利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。

本公开的第三方面实施例提出了一种电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行本公开第一方面实施例中描述的方法。

本公开的第四方面实施例提出了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行本公开第一方面实施例中描述的方法。

本公开的第五方面实施例提出了一种芯片，该芯片包括一个或多个接口和一个或多个处理器；接口用于从电子设备的存储器接收信号，并向处理器发送信号，信号包括存储器中存储的计算机指令，当处理器执行计算机指令时，使得电子设备执行本公开第一方面实施例中描述的方法。

综上，本公开提出的恶意软件检测方法、装置、电子设备、芯片及存储介质，通过利用待检测软件的编码信息、结构信息和家族信息生成可视化图像，使生成的可视化图像能够充分反映软件在多个维度的特性，提高了可视化图像的精度，从而在利用可视化图像分类结果判断待检测软件是否为恶意软件的过程中，提高检测结果的准确性；同时，在可视化过程中引入了家族信息，由于家族信息能够反映同一家族恶意软件的变形情况，因此，能够实现支持对恶意软件变种的检测，进一步提高恶意软件检测结果的准确度。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理，并不构成对本公开的不当限定。

图1为相关技术中恶意软件检测方法流程示意图；

图2为本公开实施例提供的一种恶意软件检测方法流程示意图；

图3为本公开实施例提供的另一种恶意软件检测方法流程示意图；

图4为本公开实施例提供的一种恶意软件检测装置结构示意图；

图5为本公开实施例提供的电子设备的结构示意图；

图6为本公开实施例提供的芯片的结构示意图。

具体实施方式

下面详细描述本公开的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本公开，而不能理解为对本公开的限制。

随着自动生成工具的广泛使用，恶意软件也出现大量增长。相关技术中，为了保障网络信息安全，常采用静态分析和动态分析两种方法对恶意软件进行检测。静态分析，是在不执行恶意软件的情况下分析反汇编代码，比如，分析操作码、应用程序接口（API ，Application Programming Interface）序列和函数调用图等；然而，静态分析过程容易受到代码混淆和加密技术的干扰，分析结果准确度不高，且无法在短时间内检测大量的恶意软件。动态分析，是通过在监控的虚拟环境中执行软件样本，分析软件的行为信息，比如网络活动、系统调用、文件操作和注册表修改记录等行为信息，从而判断该软件是否为恶意软件；然而，动态分析方法的实现时间和实现成本均较高，难以适应恶意软件大量增加场景下的检测需求。

在此基础上，相关技术中引入了计算机视觉技术，提出了一种基于可视化的恶意软件检测方法。基于可视化恶意软件检测方法是一种应用于软件PE文件的静态分析方法，由于无需额外的反汇编和汇编代码分析，因此，能够适用于检测大量恶意软件的应用场景。可视化恶意软件检测方法的流程可以分为可视化和检测两部分，其中，如图1所示，先利用样本软件的可视化图像建立训练集和测试集，用于训练检测模型；在应用过程中，利用检测模型将PE文件中每两个十六进制位作为一组并转换为十进制，得到一组范围在 0 到 255的值，将得到的值映射到灰度像素值（比如，0为黑色，255为白色），得到一组灰度像素值，根据得到的一组灰度像素值和设定的图像宽度（通常是一个可调参数），最终得到一个能够反映软件特性的灰度图像，即可视化图像；在此过程中，首先，需要将原始数据按照灰度化图像方法（即，将第一PE文件由十六进制转化为十进制的方法）填充到R维；其次，将原始数据中的可见美国信息交换标准代码（ASCII，American Standard Code for InformationInterchange）、不可见ASCII、非ASCII、00字符及FF字符分别用不同的固定数值填充到G维；最后，按照第一PE文件格式结构，将软件代码的文件头、节表、代码段、资源段、入口点和调试信息分别使用不同的固定数值填充到B维；而在检测过程中，则可采用机器学习或深度学习的方法（比如，支持向量机或VGG-16等方法）对得到的可视化图像进行分类，从而检测出恶意软件。

然而，R维和G维的内容是反映恶意软件的字节信息，冗余且作用不大，而采用固定数值反映文件结构，将会大量丢失恶意软件的重要信息，从而造成可视化结果准确度较低，进而导致恶意软件检测精度较低。同时，由于缺少对恶意软件变形情况的分析，因此，无法实现支持对恶意软件变形的检测，导致检测精度较低。

为了解决相关技术中存在的问题，本公开提出一种恶意软件检测方法、装置、电子设备、芯片及存储介质，通过利用待检测软件的编码信息、结构信息和家族信息生成可视化图像，使生成的可视化图像能够充分反映软件在多个维度的特性，提高了可视化图像的精度，从而在利用可视化图像分类结果判断待检测软件是否为恶意软件的过程中，提高检测结果的准确性；同时，在可视化过程中引入了家族信息，由于家族信息能够反映同一家族恶意软件的变形情况，因此，能够实现支持对恶意软件变种的检测，进一步提高恶意软件检测结果的准确度。

图2为本公开实施例提供的一种恶意软件检测方法。如图2所示，该方法可以包括：

步骤201：基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息。

在一实施例中，在基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图之前，可以先将所述待检测软件的第二PE文件由十六进制转化为十进制，得到所述第一PE文件；实际应用时，所述第二PE文件也可以称为所述待检测软件的原始PE文件，还可以称为原始数据，本公开实施例对此不作限定。

在一实施例中，可以基于第一PE文件的编码信息，生成R通道灰度图，基于第一PE文件的结构信息，生成G通道灰度图，基于第一PE文件的家族信息，生成B通道灰度图。

实际应用时，所述基于第一PE文件的编码信息，生成R通道灰度图时，可以将得到的第一PE文件的十进制数据映射到[0，255]的数值范围中，以生成R通道灰度图。

实际应用时，基于第一PE文件的结构信息，生成G通道灰度图时，可以通过信息熵体现所述第一PE文件的文件结构，具体地，可以基于第一PE文件多个组成部分中每个组成部分的信息熵与所述第一PE文件的信息熵之和，生成所述G通道灰度图。

实际应用时，所述家族信息，可以是所述待检测软件所属软件家族的信息；可以将得到的第一PE文件的十进制数据输入马尔科夫模型，生成马尔科夫图像，即所述B通道灰度图；由于马尔科夫模型能够反映出恶意软件的变形情况，因此，通过引入马尔科夫模型，能够在可视化过程引入所述待检测软件的家族信息，从而提高软件检测结果的准确度。

步骤202：利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。

在一实施例中，可以级联所述至少一个单通道灰度图，得到所述待检测软件的三通道灰度图，然后利用第一模型对所述三通道灰度图进行分类，得到分类结果，基于所述分类结果，确定所述待检测软件是否为恶意软件。

实际应用时，所述第一模型可以采用卷积神经网络（CNN，Convolutional NeuralNetworks）模型，具体地，可以采用VGG-16模型；其中，VGG-16属于视觉几何群（VGG，VisualGeometry Group）网络的一种，VGG-16中使用小卷积核代替大卷积核，因为多层非线性层能够增加网络深度，可以支持学习更复杂的模式，且参数较少，使得成本相对较小，因此，相较于残差网络（ResNet ，Residual Network）和经典网络（DenseNet ，Dense ConvolutionalNetwork）等分类模型，VGG-16属于一个轻量级的模型，便于在资源有限的平台上运行。

综上，本公开实施例提供的恶意软件检测方法，通过利用待检测软件的编码信息、结构信息和家族信息生成可视化图像，使生成的可视化图像能够充分反映软件在多个维度的特性，提高了可视化图像的精度，从而在利用可视化图像分类结果判断待检测软件是否为恶意软件的过程中，提高检测结果的准确性；同时，在可视化过程中引入了家族信息，由于家族信息能够反映同一家族恶意软件的变形情况，因此，能够实现支持对恶意软件变种的检测，进一步提高恶意软件检测结果的准确度。

基于图2所示的恶意软件检测方法，本公开实施例还提供了一种恶意软件检测方法。如图3所示，该方法可以包括：

步骤301：基于第一PE文件的编码信息，生成R通道灰度图。

在一实施例中，可以先将所述待检测软件的第二PE文件由十六进制转换为十进制，得到所述第一PE文件。

实际应用时，所述第二PE文件也可以称为十六进制的PE文件，还可以称为原始PE文件，还可以称为原始数据；所述第一PE文件也可以称为十进制的第一PE文件，还可以称为待处理的PE文件，还可以称为待处理数据；所述R通道灰度图也可以称为R灰度图；本公开实施例对此不作限定，只要能实现其功能即可。

在一实施例中，可以将所述第一PE文件映射到[0，255]的数值范围中，得到第一一维数组，然后将设定图像宽度作为所述第一一维数组的行数，生成第一二维数组；将第一二维数组中每个元素的十进制值与像素值一一对应，即可得到一个单通道的灰度图像，即所述R通道灰度图。

实际应用时，可以根据预设的文件大小与图像宽度的关联关系，来确定与所述十进制的第一PE文件对应的图像宽度，即所述设定图像宽度。

步骤302：基于第一PE文件多个组成部分中每个组成部分的信息熵与所述第一PE文件的信息熵之和，生成G通道灰度图。

实际应用时，步骤302可以表示基于第一PE文件的结构信息，生成G通道灰度图的过程；所述G通道灰度图也可以称为G灰度图，本公开实施例对此不作限定，只要能实现其功能即可。

在一实施例中，所述第一PE文件的多个组成部分，可以包括磁盘操作系（DOS，DiskOperating System）头、PE头、节表和节表内容；其中，所述第一PE文件可以包括至少一个节表；实际应用时，所述 DOS头也可以称为 DOS HEADER，所述PE头也可以称为PE HEADER，所述节表也可以称为SECTION，所述节表内容也可以称为SECTION DATA，本公开实施例对此不作限定，只要能实现其功能即可。

实际应用时，每个组成部分的信息熵与所述第一PE文件的信息熵之和，可以表示对应组成部分的取值；利用所述每个组成部分的信息熵与所述第一PE文件的信息熵之和，可以生成第二一维数组，然后将所述设定图像宽度作为所述第二一维数组的行数，生成第二二维数组。

这里，通过使用信息熵反映PE文件的结构信息，并在计算信息熵时，分别计算PE文件各部分和整体的信息熵，最后将两种信息熵叠加，最终计算出的信息熵，可以使得到的灰度图不仅可以反映PE文件的整体结构，还可以反映PE文件各部分单独的结构，相较于相关技术中使用自定义的固定数值反映结构信息，利用本公开实施例技术方案所得的可视化图像能够保留更多恶意软件的特征信息，从而提高可视化结果的准确性，进而提高最终分类结果的准确性。

实际应用时，由于信息熵的取值范围与像素值取值范围不同，因此，为了使第二二维数组中的元素与像素值一一对应，可以根据所述每个组成部分的信息熵取值范围与所述像素值取值范围之间的差异，对所述第二二维数组中的元素数值进行扩展，扩展后的第二二维数组中每个元素与像素值一一对应，即可得到一个单通道的灰度图像，即所述G通道灰度图。

示例性地，可以先根据以下公式计算信息熵：

（1）；

其中，表示所述第一PE文件的信息熵，/>表示一个十进制位出现的频率；

利用公式（1）计算第一PE文件中各个组成部分的信息熵，得到、/>、和/>，其中，/>表示DOS头的信息熵，/>表示PE头的信息熵，/>表示至少一个节表中节表i的信息熵，/>表示节表内容的信息熵；用熵值替代所述第一PE文件中原有的十进制数值，可以得到一维数组/>，即所述第二一维数组；

一维数组可以利用以下公式表示：

（2）；

其中，表示DOS头部分的取值，/>表示DOS头部分的在/>中所处的位置；/>表示PE头部分的取值，/>表示PE头部分的在/>中所处的位置，表示节表i部分的取值，/>表示节表i部分的在/>中所处的位置，表示节点数据部分的取值，/>表示节点数据部分的在/>中所处的位置；

然后，使用设定的数值W作为图像的宽度，得到二维数组，即第二二维数组；由于/> 、/> 、/> 、/>和/>的取值范围为（0，8），因此，为了使二维数组/>能够准确映射为图像的像素值，可以将二维数组/>中的值扩大255/16倍，根据扩展后的二维数组/>，即可得到G通道灰度图； G通道灰度图可以利用以下公式表示：

；（3）

其中，表示G通道灰度图。

步骤303：基于第一PE文件的家族信息，生成B通道灰度图。

实际应用时，所述家族信息，可以包括所述待检测软件所属软件家族的信息。

实际应用时，同一家族的恶意软件的执行过程和代码结构具有一定的相似性，因此，通过引入所述待检测软件所属软件家族的信息，在待检测软件为恶意软件的变形时，能够所述根据家族信息检测出该恶意软件的变形，提高检测结果准确性。

实际应用时，可以利用马尔科夫模型生成所述B通道灰度图。

基于此，在一实施例中，所述基于第一PE文件的家族信息，生成B通道灰度图，可以包括：

具体地，可以将所述第一PE文件输入马尔科夫模型，生成第三一维数组，然后将所述设定图像宽度作为所述第三一维数组的行数，生成第三二维数组；将所述第三二维数组中每个元素的十进制值与像素值一一对应，即可得到一个单通道的灰度图像，即所述B通道灰度图；所述B通道灰度图也可以称为B灰度图，还可以称为马尔科夫图像，本公开实施例对此不作限定，只要能实现其功能即可；所述家族信息，也可以称为马尔科夫信息，本公开实施例对此不作限定，只要能实现其功能即可。

这里，由于马尔科夫模型能够反映出恶意软件的变化情况，因此，通过引入马尔科夫模型，能够提升对同一家族内新变种恶意软件的检测率，从而提高软件检测结果的准确度。

示例性地，可以先将所述第一PE文件输入所述马尔科夫模型，生成一维数组，即所述第三一维数组，将设定图像宽度/>作为一维数组/>的行数，即可生成用于映射B通道灰度图的二维数组/>，即所述第三二维数组。

需要说明的是，步骤301至步骤303的执行顺序可以相互调换，也可以同时执行，本公开实施例对此不作限定。

步骤304：利用第一模型、所述R通道灰度图、所述G通道灰度图和所述B通道灰图，确定所述待检测软件是否为恶意软件。

实际应用时，所述第一模型也可以称为分类模型；所述第一模型可以采用VGG-16模型。

实际应用时，为了提高所述第一模型的检测精度，可以在检测过程中引入所述待检测软件的上下文信息。

基于此，在一实施例中，所述第一模型包括第一模块，所述利用第一模型对所述三通道灰度图进行分类，得到分类结果，包括：

利用所述第一模块提取所述三通道灰度图的上下文信息；

实际应用时，所述第一模块，也可以称为多尺度模块（MSM，Multi-Scale Module），本公开实施例对此不作限定，只要能实现其功能即可。

实际应用时，为了能够捕获特征图（即所述三通道灰度图）多尺度感受野，进一步提高所述第一模型的检测精度，可以在特征图中加入多种尺度的上下文信息。

基于此，在一实施例中，所述第一模块可以包括至少两种不同尺寸的卷积核。

实际应用时，所述第一模块可以包括四种不同尺寸的卷积核。

示例性地，在VGG-16的第二个卷积层后加入MSM_1，在第四个卷积层后加入MSM_2；具体参数如下：对于MSM_1，第一层有64个1×1卷积核，第二层有11个7×7、11个5×5、12个3×3和30个1×1卷积核，第三层有128个1×1卷积核；对于MSM_2，第一层有128个1×1卷积核，第二层有23个7×7、23个的5×5、22个3×3和60个1×1卷积核，第三层有256个1×1卷积核。

这里，通过加入所述第一模块，可以在保留原有特征图信息的基础上，额外加入多尺度的上下文信息，从而能够在分类过程中充分考虑待检测软件前后代码存在的联系，提高分类结果准确度，提高恶意软件检测结果的准确度；同时，通过将第一模块设置为包括四种不同尺寸的卷积核，使第一模型可以捕获特征图的多尺度感受野，有利于提取特征图的多尺度信息，从而提高模型检测精度。

下面结合具体应用实施例对本公开作进一步详细说明。

本公开应用实施例提供了一种基于可视化和多尺度信息的恶意软件检测方法；该方法可以包括：

步骤1：可视化，然后执行步骤2。

首先，将文件以PE结构形式打开，然后，使用PE文件的十六进制信息、PE文件的结构信息和PE文件的马尔科夫信息，生成三通道的恶意软件图像。

具体地，生成R灰度图：将PE文件的十六进制转为十进制得到（每两位十六进制为一组转为十进制），将转化后的数据放在一个数组内，得到一组值在范围[0，255]的一维数组/>，i代表数组的列数；按照预先设定的文件大小与图像宽度对照表，设定图像宽度W，将该宽度作为数组的行数j，可以得到一个二维数组/>。/>中元素的十进制值与像素值一一对应，即可得到一个单通道的灰度图像，这里称为R灰度图。

生成G灰度图：首先，将文件按照DOS HEADER、PE HEADER、SECTION和SECTIONDATA划分，根据公式（1）计算/>文件的信息熵/>、DOS HEADER部分的信息熵/>、PEHEADER部分的信息熵/>、SECTION部分的信息熵/>和SECTION DATA部分的信息熵，其中，一个PE文件包括多个SECTION，可以分别计算每个SECTION部分的信息熵；

用熵值替代文件中原有的十进制值，即可得到一维数组/>，/>可以通过公式（2）表示；然后利用设定的图像宽度W作为图像的宽度，可以得到二维数组/>，由于/> 、、/> 、/>和/>的取值范围为（0，8），因此，需要利用公式（3）扩大数值，以使数值能够更准确地映射为图像的像素值，得到G灰度图。

生成B灰度图：由于同一家族的恶意软件在执行过程中和代码结构上具有一定的相似性，因此可以利用马尔科夫模型生成恶意软件的可视化图像，使用该图像训练分类模型将提升对同一家族内新变种恶意软件的检测正确率。本公开应用实施例中，基于生成新的马尔科夫图像，得到二维数组/>，利用/>映射的灰度图即为B灰度图；其中，/>输入马尔科夫模型后，将输出一维数组/>；利用马尔科夫模型生成一维数组/>的过程可以表示为：

1：初始化二维数组M[255][255]，初始值为0；

2：初始化数组S[255] ，初始值为0；

3： α=0；

4：while(α<256) do

r =[α]；

c =[α + 1]；

M[r][c]= M[r][c]+ 1；

S[r] = S[r]+ 1；

end while；

6：α = 0, β = 0；

7：while (α<256) do

while (β<256) do

M[α][β]= M[α][β ]/S[α]；

end while；

8：α = 0；

9：while (α<i) do

[α] = ((M[α][α+1] ∗ 255)/Max(M))mod 256；

end while。

在得到一维数组后，设定图像宽度W，即可得到二维数组/>映射的灰度图。

步骤2：检测。

具体地，利用一种基于VGG-16的多尺度检测模型，如图4所示，相较于VGG-16，本公开应用实施例中的多尺度检测模块是在VGG-16中加入MSM；每个MSM中有4种不同尺寸的卷积核，可以用于捕获特征图的多尺度感受野，为输出的特征图中加入了多种尺度的上下文信息。

MSM具体参数如下：对于MSM_1，第一层有64个1×1卷积核，第二层有11个7×7、11个5×5、12个3×3和30个1×1卷积核，第三层有128个1×1卷积核；对于MSM_2，第一层有128个1×1卷积核，第二层有23个7×7、23个的5×5、22个3×3和60个1×1卷积核，第三层有256个1×1卷积核。

MSM的这种参数配置可以保留原有的特征图信息，并额外加入多尺度信息。

本公开应用实施例提供的技术方案，具有以下优点：

（1）可视化图像中使用PE文件的信息熵来反映恶意软件的结构信息，而不是使用自定义的固定数值反映其结构信息，因此本方法的可视化图像保留了更多恶意软件的特征信息；

（2）使用马尔科夫模型生成马尔科夫图像作为可视化图像中的一个维度，同时马尔科夫图像可以在一定程度上反映同一家族恶意软件的新变种，因此本提案的方法提高了对该类新变种的检测能力；

（3）通过在检测模型中加入MSM，该模块有4种不同尺寸的卷积核，可以捕获特征图的多尺度感受野，为输出的特征图中加入了多种尺度的上下文信息。在VGG-16的基础上加入了MSM后，可以提高模型的检测精度。

为了实现上述恶意软件检测方法，本公开实施例还提供了一种恶意软件检测装置。如图4所示，该恶意软件检测装置400包括：

第一处理单元401，用于基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；

第二处理单元402，用于利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。

在一实施例中，所述第一处理单元401，具体可以用于：

基于第一PE文件的编码信息，生成R通道灰度图；

基于第一PE文件的结构信息，生成G通道灰度图；

基于第一PE文件的家族信息，生成B通道灰度图。

在一实施例中，所述第一处理单元401，具体可以用于：

在一实施例中，所述第一处理单元401在基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图之前，还可以用于：

在一实施例中，所述第二处理单元402，具体可以用于：

基于所述分类结果，确定所述待检测软件是否为恶意软件。

在一实施例中，所述第一模型包括第一模块，所述第二处理模块402，具体可以用于：

利用所述第一模块提取所述三通道灰度图的上下文信息；

在一实施例中，所述第一模块包括至少两种不同尺寸的卷积核；所述第二处理模块402，具体可以用于：

需要说明的是：上述实施例提供的恶意软件检测在进行检测时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的恶意软件检测装置与检测方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

基于上述程序模块的硬件实现，且为了实现本公开实施例的方法，本公开实施例还提供了一种电子设备，如图5所示，所述电子设备500包括：

通信接口501，能够与其他设备进行信息交互；

处理器502，与所述通信接口501连接，以实现与其他设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的方法；

存储器503，所述计算机程序存储在所述存储器503上。

具体的，所述处理器502，可以用于基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；以及，利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件。

在一实施例中，所述处理器502，具体可以用于：

基于第一PE文件的编码信息，生成R通道灰度图；

基于第一PE文件的结构信息，生成G通道灰度图；

基于第一PE文件的家族信息，生成B通道灰度图。

在一实施例中，所述处理器502，具体可以用于：

在一实施例中，所述处理器502在基于待检测软件第一PE文件的特征信息，生成所述第一PE文件在不同颜色通道的灰度图，得到至少一个单通道灰度图之前，还可以用于：

在一实施例中，所述处理器502，具体可以用于：

基于所述分类结果，确定所述待检测软件是否为恶意软件。

在一实施例中，所述第一模型包括第一模块，所述处理器502，具体可以用于：

利用所述第一模块提取所述三通道灰度图的上下文信息；

在一实施例中，所述第一模块包括至少两种不同尺寸的卷积核；所述处理器502，具体可以用于：

需要说明的是：处理器502的具体处理过程可参照上述方法理解。

当然，实际应用时，电子设备500中的各个组件通过总线系统504耦合在一起。可理解，总线系统504用于实现这些组件之间的连接通信。总线系统504除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图5中将各种总线都标为总线系统504。

本申请实施例中的存储器503用于存储各种类型的数据以支持电子设备500的操作。这些数据的示例包括：用于在电子设备500上操作的任何计算机程序。

上述本申请实施例揭示的方法可以应用于所述处理器502中，或者由所述处理器502实现。所述处理器502可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过所述处理器502中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器502可以是通用处理器、数字信号处理器（DSP，DigitalSignal Processor），或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述处理器502可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器503，所述处理器502读取存储器503中的信息，结合其硬件完成前述方法的步骤。

在示例性实施例中，电子设备500可以被一个或多个应用专用集成电路（ASIC，Application Specific Integrated Circuit）、DSP、可编程逻辑器件（PLD，ProgrammableLogic Device）、复杂可编程逻辑器件（CPLD，Complex Programmable Logic Device）、现场可编程门阵列（FPGA，Field-Programmable Gate Array）、通用处理器、控制器、微控制器（MCU，Micro Controller Unit）、微处理器（Microprocessor）、或者其他电子元件实现，用于执行前述方法。

可以理解，本申请实施例的存储器（存储器503）可以是易失性存储器或者非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器（ROM，Read Only Memory）、可编程只读存储器（PROM，Programmable Read-OnlyMemory）、可擦除可编程只读存储器（EPROM，Erasable Programmable Read-Only Memory）、电可擦除可编程只读存储器（EEPROM，Electrically Erasable Programmable Read-OnlyMemory）、磁性随机存取存储器（FRAM，ferromagnetic random access memory）、快闪存储器（Flash Memory）、磁表面存储器、光盘、或只读光盘（CD-ROM，Compact Disc Read-OnlyMemory）；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器（RAM，Random Access Memory），其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器（SRAM，Static Random Access Memory）、同步静态随机存取存储器（SSRAM，Synchronous Static Random Access Memory）、动态随机存取存储器（DRAM，Dynamic Random Access Memory）、同步动态随机存取存储器（SDRAM，Synchronous Dynamic Random Access Memory）、双倍数据速率同步动态随机存取存储器（DDRSDRAM，Double Data Rate Synchronous Dynamic Random Access Memory）、增强型同步动态随机存取存储器（ESDRAM，Enhanced Synchronous Dynamic Random AccessMemory）、同步连接动态随机存取存储器（SLDRAM，SyncLink Dynamic Random AccessMemory）、直接内存总线随机存取存储器（DRRAM，Direct Rambus Random Access Memory）。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。

本公开的实施例还提出了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行本公开上述实施例中描述的恶意软件检测方法。

本公开的实施例还提出一种计算机程序产品，包括计算机程序，计算机程序在被处理器执行本公开上述实施例中描述的恶意软件检测方法。

本公开的实施例还提出了一种芯片，可参见图6所示的芯片的结构示意图。图6所示的芯片包括处理器601和接口602。其中，处理器601的数量可以是一个或多个，接口602的数量可以是一个或多个。

可选的，芯片还包括存储器603，存储器603用于存储必要的计算机程序和数据；接口602用于从存储器603接收信号，并向处理器601发送信号，信号包括存储器503中存储的计算机指令，当处理器601执行计算机指令时，使得电子设备执行本公开上述实施例中描述的恶意软件检测方法。

需要说明的是，本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本公开的实施例能够以除了在这里图示或描述的那些以外的顺序实施。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本说明书的描述中，参考术语“一个实施方式”、“一些实施方式”、“示意性实施方式”、“示例”、“具体示例”或“一些示例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理模块的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(控制方法)，便携式计算机盘盒(磁装置)，RAM， ROM， EPROM或闪速存储器，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序，然后将其存储在计算机存储器中。

应当理解，本发明的实施方式的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明的各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器，磁盘或光盘等。

尽管上面已经示出和描述了本发明的实施方式，可以理解的是，上述实施方式是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施实施进行变化、修改、替换和变型。

Claims

1.一种恶意软件检测方法，其特征在于，所述方法包括：

基于待检测软件第一可移植可执行文件的特征信息，生成所述第一可移植可执行文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；

2.根据权利要求1所述的方法，其特征在于，所述基于待检测软件第一可移植可执行文件的特征信息，生成所述第一可移植可执行文件在不同颜色通道的灰度图，得到至少一个单通道灰度图，包括：

基于第一可移植可执行文件的编码信息，生成R通道灰度图；

基于第一可移植可执行文件的结构信息，生成G通道灰度图；

基于第一可移植可执行文件的家族信息，生成B通道灰度图。

3.根据权利要求2所述的方法，其特征在于，所述基于第一可移植可执行文件的结构信息，生成G通道灰度图，包括：

基于第一可移植可执行文件多个组成部分中每个组成部分的信息熵与所述第一可移植可执行文件的信息熵之和，生成所述G通道灰度图。

4.根据权利要求2所述的方法，其特征在于，所述基于第一可移植可执行文件的家族信息，生成B通道灰度图，包括：

利用第二模型和第一可移植可执行文件，生成所述待检测软件的马尔科夫图像，得到所述B通道灰度图。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述基于待检测软件第一可移植可执行文件的特征信息，生成所述第一可移植可执行文件在不同颜色通道的灰度图，得到至少一个单通道灰度图之前，所述方法还包括：

将所述待检测软件的第二可移植可执行文件由十六进制转化为十进制，得到所述第一可移植可执行文件。

6.根据权利要求1至4中任一项所述的方法，其特征在于，所述利用第一模型和所述至少一个单通道灰度图，确定所述待检测软件是否为恶意软件，包括：

基于所述分类结果，确定所述待检测软件是否为恶意软件。

7.根据权利要求6所述的方法，其特征在于，所述第一模型包括第一模块，所述利用第一模型对所述三通道灰度图进行分类，得到分类结果，包括：

利用所述第一模块提取所述三通道灰度图的上下文信息；

8.根据权利要求7所述的方法，其特征在于，所述第一模块包括至少两种不同尺寸的卷积核；所述利用所述第一模块提取所述三通道灰度图的上下文信息，包括：

9.一种恶意软件检测装置，其特征在于，所述装置包括：

第一处理单元，用于基于待检测软件第一可移植可执行文件的特征信息，生成所述第一可移植可执行文件在不同颜色通道的灰度图，得到至少一个单通道灰度图；所述特征信息包括编码信息、结构信息和家族信息；

10.一种电子设备，其特征在于，包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1至8中任一项所述的方法。

11.一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，所述计算机指令用于使所述计算机执行根据权利要求1至8中任一项所述的方法。

12.一种芯片，其特征在于，包括一个或多个接口和一个或多个处理器；所述接口用于从电子设备的存储器接收信号，并向所述处理器发送所述信号，所述信号包括存储器中存储的计算机指令，当所述处理器执行所述计算机指令时，使得所述电子设备执行权利要求1至8中任一项所述的方法。