[发明专利]恶意软件检测方法、装置、设备及存储介质

说明书

本申请实施例提供一种恶意软件检测方法、装置、设备及存储介质，涉及网络信息安全技术领域，所述方法包括：静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；结合所述语义特征向量与所述函数调用图，生成属性函数调用图；将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息。本申请的恶意软件检测方法能够自动化的提取二进制程序的语义特征和结构特征，将语义特征和结构特征结合通过图神经网络进行判断，改善了现有检测方法中存在的特征表示不完备、漏报率和误报率较高的问题，能够快速准确检测恶意软件。

技术领域

本申请实施例涉及网络信息安全技术领域，具体而言，涉及一种恶意软件检测方法、装置、设备及存储介质。

背景技术

计算机技术的高速发展使人们日常生活更加便捷的同时，也促使黑客的攻击手段和技术不断提高，导致网络攻击问题日益严重，网络空间的安全威胁数量逐年递增，而恶意软件是所有安全威胁中的占比最大一类。恶意软件是指对计算机系统造成破坏或执行不良操作的程序。攻击者可以通过恶意软件攻击计算机系统，实现特权提升、远程控制、隐私窃取等目的，并进一步攻击计算机网络中的其他终端。

早期的恶意软件结构简单，并且不采用复杂的保护技术，安全厂商能够使用签名等技术对其进行检测。但是，计算机技术日新月异，恶意软件也不断采用新的攻击方法来实施恶意攻击。首先，新一代的恶意软件可以同时使用多个不同的进程，并使用一些混淆技术来隐藏自身，从而使其可以持久存在于系统中。其次，为了绕过或禁用各种安全机制来实现恶意行为，新恶意软件使用了更复杂的代码、结构和技术，使其更具破坏性且更难被检测。

而现有的恶意软件检测方法在新一代的恶意软件的检测上存在无法应对未知恶意软件、误报和漏报情况高的缺点。因此，为了解决日趋严重的网络空间安全问题，新的有效的恶意软件检测方法的提出变得刻不容缓。

发明内容

本申请实施例提供一种恶意软件检测方法、装置、设备及存储介质，旨在解决以上至少一项技术问题。

本申请实施例第一方面提供一种恶意软件检测方法，所述方法包括：

静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图；

对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量；

结合所述语义特征向量与所述函数调用图，生成属性函数调用图；

将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息。

可选地，所述静态分析待检测软件的二进制文件，得到所述待检测软件的汇编代码和函数调用图，包括：

判断所述二进制文件是否采用加壳技术；

当所述二进制文件采用加壳技术时，利用自动脱壳技术对所述二进制文件进行处理；

对脱壳后的二进制文件进行反汇编，获得所述待检测软件的汇编代码；

根据所述汇编代码构建所述待检测软件的函数调用图。

可选地，所述对所述汇编代码进行转换，得到所述待检测软件中每个函数的语义特征向量，包括：

规范化处理所述汇编代码，得到规范化汇编代码；

将每个函数的规范化汇编代码转为多个格式规范的词法单元token；

将每个token映射为向量表示；

聚合函数内所有token的向量表示，得到函数的语义特征向量。

可选地，所述图神经网络分类模型包括：图神经网络层、全连接层和激活层，所述图神经网络层后接所述全连接层，所述全连接层后接所述激活层；

所述将所述属性函数调用图输入图神经网络分类模型得到所述待检测软件的恶意属性信息，包括：

将所述属性函数调用图输入图神经网络层，获取程序嵌入向量表示；