[发明专利]一种恶意程序检测方法、装置、电子设备及存储介质

权利要求书

1.一种恶意程序检测方法，其特征在于，包括：

获取检测文件，对检测文件类型进行识别；

在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列；

将所述词法单元序列输入第一预设恶意程序检测模型进行分类检测，得到所述词法单元序列的检测结果；

其中，所述第一预设恶意程序检测模型是根据带程序类别标签的样本词法单元序列训练得到的。

2.根据权利要求1所述恶意程序检测方法，其特征在于，在所述获取检测文件，对检测文件类型进行识别的步骤之后，所述方法还包括：

在所述检测文件为可执行文件时，将所述检测文件转换为像素矩阵；

将所述像素矩阵输入第二预设恶意程序检测模型进行分类检测，得到所述像素矩阵的检测结果；

其中，所述第二预设恶意程序检测模型是根据带程序类别标签的样本像素矩阵训练得到的。

3.根据权利要求1所述恶意程序检测方法，其特征在于，在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列的步骤，具体包括：

根据预设词法分析规则对所述源代码文件进行词法分析，得到源代码词法单元序号集；

对所述源代码词法单元序号集进行长度规格化处理，得到词法单元序列。

4.根据权利要求3所述恶意程序检测方法，其特征在于，对所述源代码词法单元序号集进行长度规格化处理，得到词法单元序列的步骤，具体为：

分析所述源代码词法单元序号集的长度；

在所述源代码词法单元序号集超过预设长度时，在所述源代码词法单元序号集截取出预设长度的词法单元序号，以实现规格化处理；

在所述源代码词法单元序号集短于预设长度时，以词法单元结束符进行补充，以实现规格化处理。

5.根据权利要求2所述恶意程序检测方法，其特征在于，在所述检测文件为可执行文件时，将所述检测文件转换为像素矩阵的步骤，具体包括：

根据所述检测文件内存信息确定矩阵尺寸信息；

将所述检测文件的字节的归一化浮点值，按照所述矩阵尺寸信息生成字节矩阵；

通过全浮点双线性插值算法将所述字节矩阵缩放为预设尺寸，得到像素矩阵；

其中，所述像素矩阵的每个像素点为取值[0.0,1.0)的单精度浮点数。

6.根据权利要求1所述恶意程序检测方法，其特征在于，所述第一预设恶意程序检测模型为：LSTM模型或Google Transformer模型。

7.根据权利要求2所述恶意程序检测方法，其特征在于，所述第二预设恶意程序检测模型为：ResNet模型或MobileNet模型。

8.一种恶意程序检测装置，其特征在于，包括：

获取模块，用于获取检测文件，对检测文件类型进行识别；

预处理模块，用于在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列；

检测模块，用于将所述词法单元序列输入第一预设恶意程序检测模型进行分类检测，得到所述词法单元序列的检测结果；

其中，所述第一预设恶意程序检测模型是根据带程序类别标签的样本词法单元序列训练得到的。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任一项所述恶意程序检测方法的步骤。

10.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至7任一项所述恶意程序检测方法的步骤。