[发明专利]一种检测恶意软件的方法、装置、存储介质和电子设备在审
| 申请号: | 202011384531.7 | 申请日: | 2020-11-30 |
| 公开(公告)号: | CN112380537A | 公开(公告)日: | 2021-02-19 |
| 发明(设计)人: | 黄娜;李建国;余小军 | 申请(专利权)人: | 北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06K9/62;G06N3/08 |
| 代理公司: | 北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 | 代理人: | 衡滔 |
| 地址: | 100000 北京*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 检测 恶意 软件 方法 装置 存储 介质 电子设备 | ||
1.一种检测恶意软件的方法,其特征在于,包括:
从待检测软件中提取待检测特征;
利用训练好的判别模型对所述待检测特征进行检测,以得到用于确定所述软件是否为恶意软件的检测结果,所述训练好的判别模型是利用正常特征样本、恶意特征样本和对抗样本训练得到的,所述正常特征样本是从正常软件样本中提取的样本,所述恶意特征样本是从恶意软件样本中提取的样本,所述对抗样本是由包含所述判别模型的生成式对抗网络中的生成模型对所述恶意特征样本进行变换处理后获得的。
2.根据权利要求1所述的方法,其特征在于,在所述利用训练好的判别模型对所述待检测特征进行检测之前,所述方法还包括:
固定初始判别模型的参数,根据所述初始判别模型输出的检测结果对初始生成模型进行训练,以得到训练后的生成模型,并由所述训练后的生成模型对所述恶意特征样本进行变换处理,以获得所述对抗样本,所述检测结果是在固定所述初始生成模型的参数的情况下,由所述初始判别模型对所述正常特征样本、所述恶意特征样本或者所述对抗样本进行检测后获得的;
固定所述优化后的生成模型的参数,利用所述对抗样本对所述初始判别模型进行训练,以获得所述训练好的判别模型。
3.根据权利要求2所述的方法,其特征在于,所述由所述训练后的生成模型对所述恶意特征样本进行变换处理,包括:
根据公式对所述恶意特征样本进行进行变换处理;
其中,表示第m个对抗样本,xm表示第m个恶意特征样本,wm表示所述第m个恶意特征样本对应的权重,bm表示所述第m个恶意特征样本对应的偏移量,m为正整数。
4.根据权利要求3所述的方法,其特征在于,所述根据所述初始判别模型输出的检测结果对初始生成模型进行训练,包括:
利用所述检测结果对所述初始生成模型的第一目标函数进行优化,所述第一目标函数为:
其中,L1表示第一目标函数值,SMalicious为恶意软件样本库,ym表示所述第m个恶意特征样本对应的类型标记,表示所述第m个对抗样本对应的检测结果。
5.根据权利要求4所述的方法,其特征在于,所述利用所述对抗样本对所述初始判别模型进行训练,包括:
利用所述对抗样本对所述初始判别模型的第二目标函数进行优化,所述第二目标函数为:
其中,L2表示第二目标函数值,fD(xm)表示所述第m个恶意特征样本对应的检测结果,yn表示第n个正常特征样本对应的类型标记,fD(xn)表示第n个正常特征样本对应的检测结果。
6.根据权利要求1所述的方法,其特征在于,所述待检测特征包括以下特征信息中的至少一种特征信息:软件大小信息、导入动态链接库的数量信息、导入函数的数量信息、代码节的属性信息、图像信息、可打印字符信息和字节熵直方图信息。
7.一种检测恶意软件的装置,其特征在于,包括:
提取模块,用于从待检测软件中提取待检测特征;
检测模块,用于利用训练好的判别模型对所述待检测特征进行检测,以得到用于确定所述软件是否为恶意软件的检测结果,所述训练好的判别模型是利用正常特征样本、恶意特征样本和对抗样本训练得到的,所述正常特征样本是从正常软件样本中提取的样本,所述恶意特征样本是从恶意软件样本中提取的样本,所述对抗样本是由包含所述判别模型的生成式对抗网络中的生成模型对所述恶意特征样本进行变换处理后获得的。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司,未经北京天融信网络安全技术有限公司;北京天融信科技有限公司;北京天融信软件有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011384531.7/1.html,转载请声明来源钻瓜专利网。
