[发明专利]木马检测方法及装置、电子设备、存储介质

说明书

本公开涉及一种木马检测方法及装置、电子设备、计算机可读存储介质，属于网络安全技术领域。该方法包括：获取待检测文件，根据待检测文件，确定待检测文件对应的待检测特征向量；根据木马检测模型对待检测特征向量进行检测，并确定待检测文件是否为木马文件。本公开可以提高木马检测的准确性及效率。

技术领域

本公开涉及网络安全技术领域，尤其涉及一种木马检测方法及装置、电子设备、计算机可读存储介质。

背景技术

在Web(网络)安全领域，黑客想要入侵服务器，一般都会上传木马文件，以获取服务器的更高权限并执行更多的功能，例如命令执行等。为了提高信息的安全性，可以对服务器中的文件进行检测，并将检测到的木马文件删除。

现有的木马检测方法中，可以通过正则表达式匹配的方法进行检测，但是该方法对于未知的木马文件不易检测，并且需要人工添加规则，因此，检测的准确性及效率较低。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本公开的目的在于提供一种木马检测方法及装置、电子设备、计算机可读存储介质，进而至少在一定程度上克服由于现有技术的限制和缺陷而导致的木马检测时检测准确性及效率较低的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的第一方面，提供一种木马检测方法，包括：

获取待检测文件；

根据所述待检测文件，确定所述待检测文件对应的待检测特征向量；

根据木马检测模型对所述待检测特征向量进行检测，并确定所述待检测文件是否为木马文件。

可选的，所述根据所述待检测文件，确定所述待检测文件对应的待检测特征向量，包括：

对所述待检测文件进行解析，得到所述待检测文件的中间代码；

将所述待检测文件的中间代码转换为所述待检测特征向量。

可选的，所述待检测文件包括：超文本预处理器PHP文件、JAVA文件和Python文件。

可选的，所述将所述待检测文件的中间代码转换为待检测特征向量，包括：

通过CountVectorizer将所述待检测文件的中间代码转换为中间特征向量；

通过TfidfVectorizer将所述中间特征向量转换为待检测特征向量。

可选的，所述根据木马检测模型对所述待检测特征向量进行检测，并确定所述待检测文件是否为木马文件，包括：

根据木马检测模型确定所述待检测特征向量对应的属性向量，其中，所述属性向量包括属于木马文件的概率和属于非木马文件的概率；

根据所述属性向量，确定所述待检测文件是否为木马文件。

可选的，所述木马检测模型是根据多个训练样本文件的样本特征向量及所述多个训练样本文件对应的样本属性向量进行机器学习得到的，所述样本属性向量是根据所述训练样本文件是否属于木马文件确定的。

可选的，所述木马检测模型是通过朴素贝叶斯算法训练得到的。

根据本公开的第二方面，提供一种木马检测装置，包括：

待检测文件获取模块，用于获取待检测文件；

特征向量确定模块，用于根据所述待检测文件，确定所述待检测文件对应的待检测特征向量；