[发明专利]一种恶意程序检测方法、装置、电子设备及存储介质

说明书

本发明实施例提供一种恶意程序检测方法、装置、电子设备及存储介质，该方法包括：获取检测文件，对检测文件类型进行识别；在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列；将所述词法单元序列输入第一预设恶意程序检测模型进行分类检测，得到所述词法单元序列的检测结果；其中，所述第一预设恶意程序检测模型是根据带程序类别标签的样本词法单元序列训练得到的。可以适用于无需特征签名库的深度学习模型，检测流程的一次优化和定型即可应对未来相当一段时间的未知威胁检测，无需频繁更新特征提取规则以及特征签名库，免除了对恶意程序样例的人工特征分析和特征签名提取的繁杂过程。

技术领域

本发明涉及计算机技术领域，尤其涉及一种恶意程序检测方法、装置、电子设备及存储介质。

背景技术

随着网络技术的发展，恶意程序呈现出传播速度更快、破坏能力更强、数量庞大、变化多端(更多地使用代码混淆、代码变异、代码加密等技术)的特点，给恶意程序检测工作带来巨大挑战。

当前网络安全产品普遍使用的恶意程序检测方法主要有两种：

一是基于特征码扫描技术的传统恶意程序检测方法。其基本原理是：人工分析并提取已知恶意程序样例中的特征数据，即特征签名，如文件名、一段特殊代码或字符串、文件哈希值等，该特征签名能唯一识别该类型恶意程序，将其添加到恶意程序特征签名库中，在检测时搜索恶意程序特征签名库，查找是否存在匹配的特征签名来判别目标是否为恶意程序，若匹配则为恶意程序，反之则为正常程序。

二是基于传统分类算法/传统机器学习技术的启发式恶意程序检测方法。该方法由人工预先编制文件特征提取规则，应用该规则从文件中提取的特征将反映文件的行为属性，是否存在恶意行为。这些文件特征再被输入传统分类算法/传统机器学习方法，最终由传统分类算法/传统机器学习方法给出文件的分类结果，判定是否为恶意程序，以及相关的置信度/概率值。该类方法的目标是通过启发式规则/算法分析量化的文件特征，试图发现特征签名库中仍未包含的新恶意程序，即未知威胁程序。

但是当前的恶意程序检测方法中，启发式技术强依赖于人工制定的特征提取策略，需要特征提取方面的先验知识。同时若当前策略不能用以较好地抽取未知威胁程序的特征时，该启发式技术将失效，同时，基于特征提取策略的启发式检测，对于未知威胁程序预测的能力不佳。

因此如何更好的实现恶意程序检测已经成为业界亟待解决的问题。

发明内容

本发明实施例提供一种恶意程序检测方法、装置、电子设备及存储介质，用以解决上述背景技术中提出的技术问题，或至少部分解决上述背景技术中提出的技术问题。

第一方面，本发明实施例提供一种恶意程序检测方法，包括：

获取检测文件，对检测文件类型进行识别；

在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列；

将所述词法单元序列输入第一预设恶意程序检测模型进行分类检测，得到所述词法单元序列的检测结果；

其中，所述第一预设恶意程序检测模型是根据带程序类别标签的样本词法单元序列训练得到的。

更具体的，在所述获取检测文件，对检测文件类型进行识别的步骤之后，所述方法还包括：

在所述检测文件为可执行文件时，将所述检测文件转换为像素矩阵；

将所述像素矩阵输入第二预设恶意程序检测模型进行分类检测，得到所述像素矩阵的检测结果；

其中，所述第二预设恶意程序检测模型是根据带程序类别标签的样本像素矩阵训练得到的。

更具体的，在所述检测文件为源代码文件时，将所述检测文件转换为词法单元序列的步骤，具体包括：