[发明专利]恶意文件检测方法、装置、终端设备以及存储介质

权利要求书

1.一种恶意文件检测方法，其特征在于，所述方法包括以下步骤：

在获取到待检测恶意文件时，将所述待检测恶意文件转换为待检测灰度图；

将所述待检测灰度图输入训练获得的恶意文件分类模型，以获得所述待检测恶意文件的家族分类结果和所述待检测恶意文件的特征区域；所述特征区域为恶意代码所在的区域；

基于所述家族分类结果和所述特征区域，获得检测结果；

所述将所述待检测灰度图输入训练获得的恶意文件分类模型的步骤之前，所述方法还包括：

获取训练样本，所述训练样本包括训练恶意样本文件和与所述训练恶意样本文件对应的训练分类结果；

将所述训练恶意样本文件转换为训练灰度图；

利用所述训练灰度图和所述训练分类结果，对预设分类模型进行训练，以获得所述恶意文件分类模型；所述预设分类模型包括第一残差网络、第二残差网络、特征置信度计算网络、局部特征评分网络、家族分类网络以及多个数据处理过程；

所述利用所述训练灰度图和所述训练分类结果，对预设分类模型进行训练，以获得所述恶意文件分类模型的步骤，包括：

在所述训练灰度图中确定出选定训练灰度图；

在所述训练分类结果中确定出与所述选定训练灰度图对应的选定训练分类结果；

利用所述预设分类模型中的第一残差网络对所述选定训练灰度图进行全局特征提取，以获得全局特征向量；

对所述选定训练灰度图进行分割，以获得多个分割区域；

利用所述预设分类模型中的第二残差网络对所述多个分割区域进行局部特征提取，以获得所述多个分割区域分别对应的多个局部特征向量；

利用所述多个局部特征向量，在所述多个分割区域中筛选出候选目标区域；

计算所述候选目标区域的候选目标特征分值；

将所述候选目标特征分值、所述多个局部特征向量和所述全局特征向量输入所述预设分类模型中的家族分类网络，以获得实际分类结果；

基于所述选定训练分类结果，利用目标损失函数，确定所述实际分类结果的损失；

利用所述损失对所述预设分类模型进行参数调整，以获得调整后的预设分类模型；

将所述调整后的预设分类模型作为所述预设分类模型，并返回执行所述在所述训练灰度图中确定出选定训练灰度图的步骤，直到实际分类结果的损失满足预设条件，获得所述恶意文件分类模型；

所述利用所述多个局部特征向量，在所述多个分割区域中筛选出候选目标区域的步骤，包括：

将所述多个局部特征向量输入所述预设分类模型中的特征置信度计算网络，以获得所述多个局部特征向量分别对应的多个置信度；

利用非极大抑制法，在所述多个分割区域中筛选出置信度最大的预设数量个候选目标区域；

所述计算所述候选目标区域的候选目标特征分值的步骤，包括：

利用所述预设分类模型中的局部特征评分网络计算所述候选目标区域的候选目标特征分值。

2.如权利要求1所述的方法，其特征在于，所述利用所述损失对所述预设分类模型进行参数调整，以获得调整后的预设分类模型的步骤，包括：

利用所述损失对所述第一残差网络进行参数调整，以获得调整后的第一残差网络；

利用所述损失对所述第二残差网络进行参数调整，以获得调整后的第二残差网络；

利用所述损失对所述特征置信度计算网络进行参数调整，以获得调整后的特征置信度计算网络；

利用所述损失对所述局部特征评分网络进行参数调整，以获得调整后的局部特征评分网络；

基于所述调整后的第一残差网络、所述调整后的第二残差网络、所述调整后的特征置信度计算网络和所述调整后的局部特征评分网络，获得所述调整后的预设分类模型。

3.如权利要求1-2任一项所述的方法，其特征在于，所述在获取到待检测恶意文件时，将所述待检测恶意文件转换为待检测灰度图的步骤，包括：

在获取到待检测恶意文件时，获取所述待检测恶意文件的待检测二进制信息；

将所述待检测二进制信息转换为所述待检测灰度图。