CN117313093A - 恶意代码检测方法、装置、电子设备及存储介质 - Google Patents

恶意代码检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117313093A
CN117313093A CN202311354676.6A CN202311354676A CN117313093A CN 117313093 A CN117313093 A CN 117313093A CN 202311354676 A CN202311354676 A CN 202311354676A CN 117313093 A CN117313093 A CN 117313093A
Authority
CN
China
Prior art keywords
data
detected
map
malicious code
feature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311354676.6A
Other languages
English (en)
Inventor
暴爽
李丽香
彭海朋
安晓宁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Network Security Technology Co Ltd
Original Assignee
Beijing Topsec Network Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Network Security Technology Co Ltd filed Critical Beijing Topsec Network Security Technology Co Ltd
Priority to CN202311354676.6A priority Critical patent/CN117313093A/zh
Publication of CN117313093A publication Critical patent/CN117313093A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本申请提供一种恶意代码检测方法、装置、电子设备及存储介质,其中,恶意代码检测方法包括:获取待检测数据,并提取所述待检测数据的有效载荷;将所述待检测数据的有效载荷映射为灰度图;提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量;将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果。本申请能够对检测分类恶意代码,并提高恶意代码的检测分类效率。

Description

恶意代码检测方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种恶意代码检测方法、装置、电子设备及存储介质。
背景技术
近年来,随着互联网的广泛使用和高速发展,引发了很多不容忽视的网络安全问题。其中恶意软件已经成为威胁互联网安全的重要因素之一,每年给政府和企业造成了巨大的经济损失。其攻击规模、影响及破坏效果进一步扩大,对全球各个关键领域都造成了严重影响,甚至可能影响国家的正常运转。因此,抵御不断增长的恶意软件及其变体的威胁,研究有效可靠的检测分析和分类方法变得尤为重要。
发明内容
本申请实施例的目的在于提供一种恶意代码检测方法、装置、电子设备及存储介质,用以对检测分类恶意代码,并提高恶意代码的检测分类效率。
为此,本申请第一方面公开一种恶意代码检测方法,所述方法包括:
获取待检测数据,并提取所述待检测数据的有效载荷;
将所述待检测数据的有效载荷映射为灰度图;
提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量;
将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果。
本申请第一方面的方法通过获取待检测数据,并提取所述待检测数据的有效载荷,进而能够将所述待检测数据的有效载荷映射为灰度图,进而能够提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量,进而能够将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。
在本申请第一方面中,作为一种可选的实施方式,所述提取所述灰度图中的有效特征信息,包括:
基于压缩感知的特征选择算法去除所述灰度图的特征中的冗余特征,并得到特征子集,其中,所述灰度图的特征至少包括:导入函数、导出函数、文件头特征、文件大小、是否有重定位、文件头大小;
基于反向搜索方法和贪心原则遍历所述特征子集,以删除所述特征子集中分类结果最差的特征,并得到精简特征集合;
将所述精简特征集合作为所述灰度图的有效特征信息。
本可选的实施方式能够基于压缩感知的特征选择算法去除所述灰度图的导入函数、导出函数、文件头特征、文件大小、是否有重定位、文件头大小这些特征中的冗余特征,并得到特征子集,进而能够基于反向搜索方法和贪心原则遍历所述特征子集,以删除所述特征子集中分类结果最差的特征,并得到精简特征集合,最终将所述精简特征集合作为所述灰度图的有效特征信息,这样一来,可将冗余特征元素去除,构建PE文件精简特征集合,降低模型计算成本。
在本申请第一方面中,作为一种可选的实施方式,所述提取所述待检测数据的有效载荷,包括:
触发所述待检测数据的运行过程,以将所述待检测数据先写入内存,后执行所述待检测数据;
当检测到依次将所述待检测数据写入所述内存、执行所述待检测数据和系统API调用后,调用内存dump模块,并基于所述内存dump模块确定所述待检测数据所在的内存块setk;
基于所述待检测数据所在的内存块setk存储的信息查找原始程序入口OEP;
当查询到所述原始程序入口OEP时,基于Scylla工具修复导入地址表;
基于修复后的导入地址表重构恶意代码,并将重构的所述恶意代码作为所述待检测数据的有效载荷。
本可选的实施方式通过触发所述待检测数据的运行过程,能够将所述待检测数据先写入内存,后执行所述待检测数据,进而当检测到依次将所述待检测数据写入所述内存、执行所述待检测数据和系统API调用后,调用内存dump模块,并基于所述内存dump模块确定所述待检测数据所在的内存块setk,进而能够基于所述待检测数据所在的内存块setk存储的信息查找原始程序入口OEP,进而当查询到所述原始程序入口OEP时,能够基于Scylla工具修复导入地址表,进而能够基于修复后的导入地址表重构恶意代码,并将重构的所述恶意代码作为所述待检测数据的有效载荷。
在本申请第一方面中,作为一种可选的实施方式,所述将所述待检测数据的有效载荷映射为灰度图,包括:
读取所述有效载荷的二进制数据流,并基于所述二进制数据流构建所述灰度图,其中,所述二进制数据流中的每8位无符号整数表示一个像素,所述8位无符号整数构成的数值在0~255之间,所述像素呈现不同程度的灰色,所述灰度图的高度为预设固定值,所述灰度图的宽度基于所述有效载荷的文件大小确定。
本可选的实施方式能够读取所述有效载荷的二进制数据流,并基于所述二进制数据流构建所述灰度图,从而能够运用可视化转换方法生成图像,减少了复杂特征工程。
在本申请第一方面中,作为一种可选的实施方式,所述灰度图的宽度对应的计算式为:
其中,sum(bytes)表示所述有效载荷的文件大小,w表示所述灰度图的宽度。
在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
将所述灰度图的图像大小调整为统一尺寸大小。
由于灰度图的宽度由有效载荷的文件大小的大小决定,因此灰度图的图像大小存在不确定性这一问题,而本可选的实施方式能够将所述灰度图的图像大小调整为统一尺寸大小,克服灰度图的图像大小存在不确定性这一问题。同时,在归一化图像大小的过程中,可能会丢失某些重要特征,但是大部分相关转换图像都很好地保存了其布局和纹理特征。
在本申请第一方面中,作为一种可选的实施方式,所述方法还包括:
根据所述分类器的输入数据的动态变化调整所述分类器的网络结构,并更新所述分类器网络参数。
本可选的实施方式能够根据所述分类器的输入数据的动态变化调整所述分类器的网络结构,并更新所述分类器网络参数,这样一来,可避免固定的网络结构可能会造成计算资源的浪费和准确率的下降这一问题。
本申请第二方面公开一种恶意代码检测装置,所述装置包括:
获取模块,用于获取待检测数据,并提取所述待检测数据的有效载荷;
映射模块,用于将所述待检测数据的有效载荷映射为灰度图;
提取模块,用于提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量;
分类模块,用于将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果。
本申请第二方面的装置通过获取待检测数据,并提取所述待检测数据的有效载荷,进而能够将所述待检测数据的有效载荷映射为灰度图,进而能够提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量,进而能够将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。
本申请第三方面公开一种电子设备,其包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行恶意代码检测方法。
本申请第三方面的电子设备通过获取待检测数据,并提取所述待检测数据的有效载荷,进而能够将所述待检测数据的有效载荷映射为灰度图,进而能够提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量,进而能够将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。
本申请第四方面公开一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行恶意代码检测方法。
本申请第四方面的存储介质通过获取待检测数据,并提取所述待检测数据的有效载荷,进而能够将所述待检测数据的有效载荷映射为灰度图,进而能够提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量,进而能够将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种恶意代码检测方法的流程示意图;
图2是本申请实施例公开的一种恶意代码检测过程的示意图;
图3是本申请实施例公开的一种恶意代码检测装置的结构示意图;
图4是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种恶意代码检测方法的流程示意图。如图1所示,本申请实施例的方法包括以下步骤:
101、获取待检测数据,并提取待检测数据的有效载荷;
102、将待检测数据的有效载荷映射为灰度图;
103、提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量;
104、将特征向量输入到分类器中,以使分类器输出恶意代码分类结果。
本申请实施例的方法通过获取待检测数据,并提取待检测数据的有效载荷,进而能够将待检测数据的有效载荷映射为灰度图,进而能够提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量,进而能够将特征向量输入到分类器中,以使分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。另一方面,与现有技术相比,本申请的分类器基于待检测数据的有效载荷对待检测数据进行恶意代码检测分类,进而具有更高的检测分类效率。
在本申请实施例中,针对步骤101,待检测数据可以是PE(Portable Executable)文件,其中,PE文件可以是后缀为EXE、DLL、OCX、SYS、COM的文件。
在本申请实施例中,针对步骤101,通常恶意攻击者为了伪装恶意代码,会在一PE文件的正常代码中混入恶意代码,其中,PE文件的正常代码并无法用于进行恶意代码的检测分类,即该类正常代码为非有效载荷,而混入正常代码中的恶意代码为有效载荷,因此,需要提前待检测数据的有效载荷,其中,待检测数据的有效载荷是指代检测数据携带的恶意代码。
在本申请实施例中,针对步骤102,灰度图作为神经网络的一种输入方式,可以简化计算复杂性,同时可以保留输入数据的基本特征和结构信息,是一种有效的特征处理方法,具体到本申请,在特征处理中,灰度图直接反映恶意代码对应的图像的明暗程度,而且计算简单、数据量小,有利于提高神经网络的计算速度和准确性。另一方面,不同类型的恶意代码对应不同的灰度图,例如,恶意代码A可映射为灰度图A,而恶意代码B可映射为灰度图B。
在本申请实施例中,针对步骤103,有效特征信息可以是指能够起到良好的检测分类效果的特信息。
在本申请实施例中,针对步骤104,分类器是一种神经网络,其中,该神经网络的结构可以是现有技术中常见的结构,例如,其可由全卷积层、深度可分离卷积层、池化层组成。在一些场景中,分类器的结构可仅由深度可分离卷积层、池化层组成,其中,由于全连接层参数众多,效率低下,因此可省略全连接层。作为一种示例,分类器可以是U-net网络,其中,请参阅表1,表1是一种U-Net的总体架构的示意。如表1所示,U-Net网络包括Mode网络、Global网络、Output层,其中,Mode网络中含有9层,Global网络中只有一个卷积层,卷积核大小为1×1,Output层接收汇聚后的全局上下文特征,输出最后预测值。
表1 U-Net的整体结构
在本申请实施例中,作为一种可选的实施方式,步骤:提取灰度图中的有效特征信息,包括以下子步骤:
基于压缩感知的特征选择算法去除灰度图的特征中的冗余特征,并得到特征子集,其中,灰度图的特征至少包括:导入函数、导出函数、文件头特征、文件大小、是否有重定位、文件头大小;
基于反向搜索方法和贪心原则遍历特征子集,以删除特征子集中分类结果最差的特征,并得到精简特征集合;
将精简特征集合作为灰度图的有效特征信息。
本可选的实施方式能够基于压缩感知的特征选择算法去除灰度图的导入函数、导出函数、文件头特征、文件大小、是否有重定位、文件头大小这些特征中的冗余特征,并得到特征子集,进而能够基于反向搜索方法和贪心原则遍历特征子集,以删除特征子集中分类结果最差的特征,并得到精简特征集合,最终将精简特征集合作为灰度图的有效特征信息,这样一来,可将冗余特征元素去除,构建PE文件精简特征集合,降低模型计算成本。
在本可选的实施方式中,压缩感知的特征选择算法主要是利用压缩感知特有的稀疏采样,从PE文件中的所有可描述属性特征中选择最重要、蕴含信息最多的相当少的一部分,然后利用得到的该特征子集重构出二进制PE文件的代表性特,其中压缩感知是指以低于奈奎斯特采样率条件下,对原信号或图像进行随机稀疏采样,以采集到的比较少的测量样本来恢复原始信号或图像,压缩感知的采样过程可以表示为:
y=φx=φψs=Φs (3)
其中φ∈RM*N为测量矩阵,由于M<N,原始特征数据x∈RN*1通过与φ矩阵相乘可以达到维数减小的目的。由于只有在原始特征数据稀疏或可压缩的情况下才可以进行压缩感知操作,因此引入稀疏基ψ∈RN*N,使原始特征数据x在稀疏基ψ下是稀疏的,s称为稀疏系数,其中只有K个大系数,K<M<N,剩下的都是零项或趋近于零项。将φψ合并成一个传感矩阵Φ∈RM*N。而对于采样后的原始特征数据重建过程,就是已知y和Φ,求解s。整个重建过程可以表示为:
x*=arg min||x||0,s.t.Φx=y (4)
然而,l0优化问题是一个组合优化问题,求解l0优化问题被证明是NP难的。在某些条件下,l0优化问题可以被转换为如下的l1优化问题:
x*=arg min||x||1,s.t.Φx=y (4)
其中,||x||1表示向量x的l1范数,即X中元素绝对值之和。
压缩感知的重构方法主要可以分为基于优化的图像重建算法和基于网络的图像重建算法。许多传统算法用来解决优化问题从而进行图像重建,例如基础追踪算法(BP)、正交匹配追踪算法(OMP)、全差分算法(TVAL3)、快速迭代收缩阈值算法(FISTA)[25]和近似消息传递算法(AMP)等。另外,为了提高重建效率同时降低计算成本,还提出了很多基于网络的算法。这里,本申请实施例选用了一种基于卷积神经网络的重建算法,将近似消息传递(AMP)算法展开到卷积神经网络上,这种方法重建速度快、特征数据重构的精度高、网络参数少。
在本申请第一方面中,作为一种可选的实施方式,步骤:提取待检测数据的有效载荷,包括以下步骤:
触发待检测数据的运行过程,以将待检测数据先写入内存,后执行待检测数据;
当检测到依次将待检测数据写入内存、执行待检测数据和系统API调用后,调用内存dump模块,并基于内存dump模块确定待检测数据所在的内存块setk;
基于待检测数据所在的内存块setk存储的信息查找原始程序入口OEP;
当查询到原始程序入口OEP时,基于Scylla工具修复导入地址表;
基于修复后的导入地址表重构恶意代码,并将重构的恶意代码作为待检测数据的有效载荷。
本可选的实施方式通过触发待检测数据的运行过程,能够将待检测数据先写入内存,后执行待检测数据,进而当检测到依次将待检测数据写入内存、执行待检测数据和系统API调用后,调用内存dump模块,并基于内存dump模块确定待检测数据所在的内存块setk,进而能够基于待检测数据所在的内存块setk存储的信息查找原始程序入口OEP,进而当查询到原始程序入口OEP时,能够基于Scylla工具修复导入地址表,进而能够基于修复后的导入地址表重构恶意代码,并将重构的恶意代码作为待检测数据的有效载荷。
在本申请实施例中,作为一种可选的实施方式,步骤:将待检测数据的有效载荷映射为灰度图,包括以下子步骤:
读取有效载荷的二进制数据流,并基于二进制数据流构建灰度图,其中,二进制数据流中的每8位无符号整数表示一个像素,8位无符号整数构成的数值在0~255之间,像素呈现不同程度的灰色,灰度图的高度为预设固定值,灰度图的宽度基于有效载荷的文件大小确定。
本可选的实施方式能够读取有效载荷的二进制数据流,并基于二进制数据流构建灰度图,从而能够运用可视化转换方法生成图像,减少了复杂特征工程。
在本申请实施例中,作为一种可选的实施方式,灰度图的宽度对应的计算式为:
其中,sum(bytes)表示有效载荷的文件大小,w表示灰度图的宽度。
在本申请第一方面中,作为一种可选的实施方式,方法还包括:
将灰度图的图像大小调整为统一尺寸大小。
由于灰度图的宽度由有效载荷的文件大小的大小决定,因此灰度图的图像大小存在不确定性这一问题,而本可选的实施方式能够将灰度图的图像大小调整为统一尺寸大小,克服灰度图的图像大小存在不确定性这一问题。同时,在归一化图像大小的过程中,可能会丢失某些重要特征,但是大部分相关转换图像都很好地保存了其布局和纹理特征。
在本申请实施例中,作为一种可选的实施方式,本申请实施例方法还包括以下步骤:
根据分类器的输入数据的动态变化调整分类器的网络结构,并更新分类器网络参数。
本可选的实施方式能够根据分类器的输入数据的动态变化调整分类器的网络结构,并更新分类器网络参数,这样一来,可避免固定的网络结构可能会造成计算资源的浪费和准确率的下降这一问题。
需要说明的是,本申请实施例的方法可用于恶意软件家族聚类分析中,降低了恶意软件家族的误报率,获得很好地检测效果,例如,将未知恶意软件核心代码文件输入该模型分析判断,利用模型输出的分析结果来进一步表征家族特征及家族间的相似程度,可以刻画出恶意软件家族间谱系关系,从而大大加速恶意软件分析。作为一种示例,请参阅图2,图2是本申请实施例公开的一种恶意代码检测过程的示意图。如图2所示,可在获取待检测数据后,进而恶意代码检测。
实施例二
请参阅图3,图3是本申请实施例公开的一种恶意代码检测装置的结构示意图,如图3所示,本申请实施例的装置包括以下功能模块:
获取模块201,用于获取待检测数据,并提取待检测数据的有效载荷;
映射模块202,用于将待检测数据的有效载荷映射为灰度图;
提取模块203,用于提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量;
分类模块204,用于将特征向量输入到分类器中,以使分类器输出恶意代码分类结果。
本申请实施例的装置通过获取待检测数据,并提取待检测数据的有效载荷,进而能够将待检测数据的有效载荷映射为灰度图,进而能够提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量,进而能够将特征向量输入到分类器中,以使分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。另一方面,与现有技术相比,本申请的分类器基于待检测数据的有效载荷对待检测数据进行恶意代码检测分类,进而具有更高的检测分类效率。
需要说明的是,关于本申请实施例的装置的其他详细说明,请参阅本申请实施例一的相关说明,本申请实施例对此不作赘述。
实施例三
请参阅图4,图4是本申请实施例公开的一种电子设备的结构示意图,如图4所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器执行时,执行恶意代码检测方法。
本申请实施例的电子设备通过获取待检测数据,并提取待检测数据的有效载荷,进而能够将待检测数据的有效载荷映射为灰度图,进而能够提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量,进而能够将特征向量输入到分类器中,以使分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。另一方面,与现有技术相比,本申请的分类器基于待检测数据的有效载荷对待检测数据进行恶意代码检测分类,进而具有更高的检测分类效率。
实施例四
本申请实施例公开一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行恶意代码检测方法。
本申请实施例的存储介质通过获取待检测数据,并提取待检测数据的有效载荷,进而能够将待检测数据的有效载荷映射为灰度图,进而能够提取灰度图中的有效特征信息,并基于有效特征信息构建特征向量,进而能够将特征向量输入到分类器中,以使分类器输出恶意代码分类结果,最终可以实现对待检测数据的恶意代码检测分类。另一方面,与现有技术相比,本申请的分类器基于待检测数据的有效载荷对待检测数据进行恶意代码检测分类,进而具有更高的检测分类效率。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种恶意代码检测方法,其特征在于,所述方法包括:
获取待检测数据,并提取所述待检测数据的有效载荷;
将所述待检测数据的有效载荷映射为灰度图;
提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量;
将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果。
2.如权利要求1所述的方法,其特征在于,所述提取所述灰度图中的有效特征信息,包括:
基于压缩感知的特征选择算法去除所述灰度图的特征中的冗余特征,并得到特征子集,其中,所述灰度图的特征至少包括:导入函数、导出函数、文件头特征、文件大小、是否有重定位、文件头大小;
基于反向搜索方法和贪心原则遍历所述特征子集,以删除所述特征子集中分类结果最差的特征,并得到精简特征集合;
将所述精简特征集合作为所述灰度图的有效特征信息。
3.如权利要求1所述的方法,其特征在于,所述提取所述待检测数据的有效载荷,包括:
触发所述待检测数据的运行过程,以将所述待检测数据先写入内存,后执行所述待检测数据;
当检测到依次将所述待检测数据写入所述内存、执行所述待检测数据和系统API调用后,调用内存dump模块,并基于所述内存dump模块确定所述待检测数据所在的内存块setk;
基于所述待检测数据所在的内存块setk存储的信息查找原始程序入口OEP;
当查询到所述原始程序入口OEP时,基于Scylla工具修复导入地址表;
基于修复后的导入地址表重构恶意代码,并将重构的所述恶意代码作为所述待检测数据的有效载荷。
4.如权利要求1所述的方法,其特征在于,所述将所述待检测数据的有效载荷映射为灰度图,包括:
读取所述有效载荷的二进制数据流,并基于所述二进制数据流构建所述灰度图,其中,所述二进制数据流中的每8位无符号整数表示一个像素,所述8位无符号整数构成的数值在0~255之间,所述像素呈现不同程度的灰色,所述灰度图的高度为预设固定值,所述灰度图的宽度基于所述有效载荷的文件大小确定。
5.如权利要求4所述的方法,其特征在于,所述灰度图的宽度对应的计算式为:
w=2[log2b+1]
其中,sum(bytes)表示所述有效载荷的文件大小,w表示所述灰度图的宽度。
6.如权利要求5所述的方法,其特征在于,所述方法还包括:
将所述灰度图的图像大小调整为统一尺寸大小。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述分类器的输入数据的动态变化调整所述分类器的网络结构,并更新所述分类器网络参数。
8.一种恶意代码检测装置,其特征在于,所述装置包括:
获取模块,用于获取待检测数据,并提取所述待检测数据的有效载荷;
映射模块,用于将所述待检测数据的有效载荷映射为灰度图;
提取模块,用于提取所述灰度图中的有效特征信息,并基于所述有效特征信息构建特征向量;
分类模块,用于将所述特征向量输入到分类器中,以使所述分类器输出恶意代码分类结果。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-7任一项所述的恶意代码检测方法。
10.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-7任一项所述的恶意代码检测方法。
CN202311354676.6A 2023-10-18 2023-10-18 恶意代码检测方法、装置、电子设备及存储介质 Pending CN117313093A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311354676.6A CN117313093A (zh) 2023-10-18 2023-10-18 恶意代码检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311354676.6A CN117313093A (zh) 2023-10-18 2023-10-18 恶意代码检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117313093A true CN117313093A (zh) 2023-12-29

Family

ID=89260168

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311354676.6A Pending CN117313093A (zh) 2023-10-18 2023-10-18 恶意代码检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117313093A (zh)

Similar Documents

Publication Publication Date Title
Du et al. Perceptual hashing for image authentication: A survey
Bi et al. Multi-level dense descriptor and hierarchical feature matching for copy–move forgery detection
JP5926291B2 (ja) 類似画像を識別する方法および装置
CN102880726B (zh) 一种图像过滤方法及系统
WO2014138745A2 (en) Method and system for clustering and classifying online visual information
CN110532413B (zh) 基于图片匹配的信息检索方法、装置、计算机设备
WO2009158691A2 (en) Patch-based texture histogram coding for fast image similarity search
CN104661037B (zh) 压缩图像量化表篡改的检测方法和系统
CN110516212B (zh) 一种云计算的海量文档相似检测方法
AU2011207120B2 (en) Identifying matching images
CN115443490A (zh) 影像审核方法及装置、设备、存储介质
CN108566372A (zh) 基于哈希算法的文件信息防泄漏方法、介质及设备
Roy et al. Perceptual hashing scheme using KAZE feature descriptors for combinatorial manipulations
CN113360911A (zh) 恶意代码同源分析方法、装置、计算机设备和存储介质
CN116975864A (zh) 恶意代码检测方法、装置、电子设备及存储介质
CN117313093A (zh) 恶意代码检测方法、装置、电子设备及存储介质
Suryawanshi Image Recognition: Detection of nearly duplicate images
CN109977849B (zh) 一种基于迹变换的图像纹理特征融合提取方法
CN113239356A (zh) 一种基于混合纹理特征的恶意代码分类方法及装置
CN114463764A (zh) 表格线检测方法、装置、计算机设备和存储介质
CN113888428A (zh) 一种基于局部对比度的红外弱小目标检测方法及装置
Du et al. Image hashing for tamper detection with multiview embedding and perceptual saliency
CN108009233B (zh) 一种图像还原方法、装置、计算机设备及存储介质
Baheti et al. Information-theoretic database building and querying for mobile Augmented Reality applications
Lakshmi et al. Robust algorithm for Telugu word image retrieval and recognition

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
TA01 Transfer of patent application right

Effective date of registration: 20240418

Address after: Room 101, 1st Floor, Building 11, West District, No.10 Northwest Wangdong Road, Haidian District, Beijing, 100193

Applicant after: Beijing Topsec Network Security Technology Co.,Ltd.

Country or region after: China

Address before: 046000, Unit 10, Building 4, Guangming South District, Xinjian Street, Guxian County, suburban Changzhi City, Shanxi Province

Applicant before: Bao Shuang

Country or region before: China

Applicant before: Beijing Topsec Network Security Technology Co.,Ltd.

TA01 Transfer of patent application right
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination