一种恶意文件检测方法、系统、设备及计算机存储介质与流程

文档序号:18621236发布日期:2019-09-06 22:30阅读:148来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
一种恶意文件检测方法、系统、设备及计算机存储介质与流程

本申请涉及信息安全技术领域,更具体地说,涉及一种恶意文件检测方法、系统、设备及计算机存储介质。



背景技术:

在计算机、服务器等设备的运行过程中,可能遭受恶意文件的破坏,恶意文件指的是能够攻击设备对设备造成破坏的文件,为了保护设备的安全,需要对恶意文件进行检测。

现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测,本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力,而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本,所以为了提高恶意文件检测引擎的泛化能力,需要丰富恶意文件检测引擎的训练样本集合,比如直接对恶意文件样本应用传统的恶意文件免杀手段,如加壳混淆等,来模拟变种文件的生成,但是传统的恶意文件免杀手段的使用需要人工介入,使得变种文件的生成速率较慢,影响恶意文件检测方法的运行效率。

综上所述,如何提高恶意文件检测方法的运行效率是目前本领域技术人员亟待解决的问题。



技术实现要素:

本申请的目的是提供一种恶意文件检测方法,其能在一定程度上解决如何提高恶意文件检测方法的运行效率的技术问题。本申请还提供了一种恶意文件检测系统、设备及计算机可读存储介质。

为了实现上述目的,本申请提供如下技术方案:

一种恶意文件检测方法,包括:

获取目标恶意文件;

输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;

将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。

优选的,所述接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件,包括:

接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件;

其中,所述强化学习算法中的状态s表示所述变种文件的特征向量;奖赏函数r表示所述判别模型对所述特征向量的判别结果;代理g表示基于所述状态s及所述奖赏函数r选择的变种动作a;环境e表示所述判别模型。

优选的,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:

接收所述生成模型通过q-learning算法对所述目标恶意文件进行变种后生成的变种文件。

优选的,所述接收所述生成模型通过强化学习算法对所述目标恶意文件进行变种后生成的变种文件,包括:

接收所述生成模型通过policygradient算法对所述目标恶意文件进行变种后生成的变种文件。

优选的,所述目标恶意文件的类型包括可执行文件、文档型文件。

优选的,当所述目标恶意文件的类型为所述可执行文件时,所述变种动作a的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。

优选的,所述基于所述变种文件对所述判别模型进行训练,包括:

将所述变种文件输入至所述判别模型,接收所述判别模型对所述变种文件的检测结果;

判断所述变种文件的检测结果是否满足预设要求,若否,则执行基于所述变种文件对所述判别模型进行训练的步骤。

一种恶意文件检测系统,包括:

第一获取模块,用于获取目标恶意文件;

第一输入模块,用于输入所述目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收所述生成模型对所述目标恶意文件进行变种后生成的变种文件;

第一训练模块,用于将恶意文件检测引擎作为所述生成式对抗网络的判别模型,基于所述变种文件对所述判别模型进行训练,以基于训练好的所述判别模型检测目标文件是否为恶意文件。

一种恶意文件检测设备,包括:

存储器,用于存储计算机程序;

处理器,用于执行所述计算机程序时实现如上任一所述恶意文件检测方法的步骤。

一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器执行时实现如上任一所述恶意文件检测方法的步骤。

本申请提供的一种恶意文件检测方法,获取目标恶意文件;输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,将恶意文件检测引擎作为生产对抗网络的判别模型,并借助生成式对抗网络的生成模型来自动生成目标恶意文件的变种文件,再基于生成的变种文件对判别模型进行训练,最后基于训练好的判别模型来检测目标文件是否为恶意文件,也即本申请借助生成式对抗网络自动生成目标恶意文件的变种文件以及自动对判别模型进行训练,可以自动提高恶意文件检测引擎的泛化能力,提高恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测系统、设备及计算机可读存储介质也解决了相应技术问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种恶意文件检测方法的第一流程图;

图2为本申请中生成式对抗网络和强化学习算法的框架图;

图3为本申请实施例提供的一种恶意文件检测方法的第二流程图;

图4为本申请实施例提供的一种恶意文件检测系统的结构示意图;

图5为本申请实施例提供的一种恶意文件检测设备的结构示意图;

图6为本申请实施例提供的一种恶意文件检测设备的另一结构示意图。

具体实施方式

下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。

在计算机、服务器等设备的运行过程中,可能遭受恶意文件的破坏,恶意文件指的是能够攻击设备对设备造成破坏的文件,为了保护设备的安全,需要对恶意文件进行检测。现有的一种恶意文件检测方法是借助恶意文件检测引擎对恶意文件进行检测,本申请所涉及的恶意文件检测引擎指的是通过机器学习算法训练得到的能够识别恶意文件的检测引擎。由于恶意检测引擎本身具有泛化能力,而泛化能力指的是从已知文件样本中学习检测规则来识别未知的但一定程度相似的恶意文件样本,所以为了提高恶意文件检测引擎的泛化能力,需要丰富恶意文件检测引擎的训练样本集合,比如直接对恶意文件样本应用传统的恶意文件免杀手段,如加壳混淆等,来模拟变种文件的生成,但是传统的恶意文件免杀手段的使用需要人工介入,使得变种文件的生成速率较慢,影响恶意文件检测方法的运行效率。本申请提供的一种恶意文件检测方法可以提高恶意文件检测方法的运行效率。

请参阅图1,图1为本申请实施例提供的一种恶意文件检测方法的第一流程图。

本申请实施例提供的一种恶意文件检测方法,可以包括以下步骤:

步骤s101:获取目标恶意文件。

实际应用中,可以先获取目标恶意文件,目标恶意文件的类型可以根据具体应用场景确定,比如其可以为可执行文件、文档型文件等;目标恶意文件可以为恶意文件检测引擎实时判定出来的恶意文件,也可以为已知的恶意文件等。

步骤s102:输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件。

实际应用中,在获取目标恶意文件之后,便可以输入目标恶意文件至预先构建的生成式对抗网络(generativeadversarialnetwork,gan)的生成模型中,借助生成模型来对目标恶意文件自动进行变种,生成变种文件,变种文件指的是在目标恶意文件的基础上生成的与目标恶意文件不同的恶意文件。生成式对抗网络的参数及结构可以根据恶意文件检测引擎的类型及实际需要确定;生成模型对目标恶意文件进行变种的方式也可以根据实际需要确定。

具体应用场景中,可以采用强化学习(reinforcementlearning,rl)算法来对目标恶意文件进行变种(依据检测引擎的输出、生成模型对不同恶意文件样本分别生成其能够逃逸当前检测的变种样本),则接收生成模型对目标恶意文件进行变种后生成的变种文件时,可以接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态s表示变种文件的特征向量;奖赏函数r表示判别模型对特征向量的判别结果;代理g表示基于状态s及奖赏函数r选择的变种动作a;环境e表示判别模型。

具体的,接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件时,可以接收生成模型通过q-learning算法对目标恶意文件进行变种后生成的变种文件;也可以接收生成模型通过policygradient算法对目标恶意文件进行变种后生成的变种文件。当然还可以接收生成模型通过其他强化学习算法对目标恶意文件进行变种后生成的变种文件,本申请在此不做具体限定。应当指出,在应用生成式对抗网络和rl算法的过程中,在应用生成模型生成变种文件时,可以保持判别模型不变;而在应用变种文件对判别模型进行训练时,可以保持生成模型不变。

请参阅图2,图2为本申请中生成式对抗网络和强化学习算法的框架图。

由图2可知,s同时也是判别模型,也即恶意文件检测引擎的输入向量,所以s的格式取决于恶意文件检测引擎的输入格式,比如pe格式等;具体的,r的值可以为1或者0,也可以为具体的分数值等;在基于状态s及奖赏函数r选择变种动作a的过程中,以q-learning算法为例,可以预测每个a的可能r值,并选取数值最大的可能r值所对应的a为所选择的变种动作a,每个a的预测r值可以通过公式q(s,a)=r+γ(max(q(s',a'))来确定,其中,r表示该动作当前的预测r值,γ(max(q(s',a'))表示采取当前动作后,下一可能动作的最大r值,q(s,a)表示a的预测r值。

具体应用场景中,当目标恶意文件的类型为可执行文件时,变种动作a的类型可以包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。

步骤s103:将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。

实际应用中,在得到变种文件后,便可以将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,得到训练好的判别模型,最后再基于训练好的判别模型,也即训练好的恶意文件检测引擎来检测目标文件是否为恶意文件。

本申请提供的一种恶意文件检测方法,获取目标恶意文件;输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。本申请提供的一种恶意文件检测方法,将恶意文件检测引擎作为生产对抗网络的判别模型,并借助生成式对抗网络的生成模型来自动生成目标恶意文件的变种文件,再基于生成的变种文件对判别模型进行训练,最后基于训练好的判别模型来检测目标文件是否为恶意文件,也即本申请借助生成式对抗网络自动生成目标恶意文件的变种文件以及自动对判别模型进行训练,可以自动提高恶意文件检测引擎的泛化能力,提高恶意文件检测方法的运行效率。

请参阅图3,图3为本申请实施例提供的一种恶意文件检测方法的第二流程图。

本申请实施例提供的一种恶意文件检测方法可以包括以下步骤:

步骤s201:获取目标恶意文件。

步骤s202:输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件。

步骤s203:将恶意文件检测引擎作为生成式对抗网络的判别模型。

步骤s204:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果。

步骤s205:判断变种文件的检测结果是否满足预设要求,若否,则执行步骤s206。

步骤s206:基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。

也即实际应用中,可以为判别模型设定训练完成的结束标准,也即本实施例中的预设要求,比如当判别模型可以识别生成模型生成的第50个变种文件时,便认为判别模型训练完成,当然,预设要求可以根据实际需要确定。

本实施例中的相关描述请参阅上述实施例,本申请在此不再赘述。

本申请还提供了一种恶意文件检测系统,其具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图4,图4为本申请实施例提供的一种恶意文件检测系统的结构示意图。

本申请实施例提供的一种恶意文件检测系统,可以包括:

第一获取模块101,用于获取目标恶意文件;

第一输入模块102,用于输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;

第一训练模块103,用于将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。

本申请实施例提供的一种恶意文件检测系统中,第一输入模块可以包括:

第一接收子模块,用于接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;

其中,强化学习算法中的状态s表示变种文件的特征向量;奖赏函数r表示判别模型对特征向量的判别结果;代理g表示基于状态s及奖赏函数r选择的变种动作a;环境e表示判别模型。

本申请实施例提供的一种恶意文件检测系统中,第一接收子模块可以包括:

第一接收单元,用于接收生成模型通过q-learning算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种恶意文件检测系统中,第一接收子模块可以包括:

第二接收单元,用于接收生成模型通过policygradient算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种恶意文件检测系统中,目标恶意文件的类型可以包括可执行文件、文档型文件。

本申请实施例提供的一种恶意文件检测系统中,当目标恶意文件的类型为可执行文件时,变种动作a的类型可以包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。

本申请实施例提供的一种恶意文件检测系统中,第一训练模块可以包括:

第一输入单元,用于将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;

第一判断单元,用于判断变种文件的检测结果是否满足预设要求,若否,则提示第一训练模块执行基于变种文件对判别模型进行训练的步骤。

本申请还提供了一种恶意文件检测设备及计算机可读存储介质,其均具有本申请实施例提供的一种恶意文件检测方法具有的对应效果。请参阅图5,图5为本申请实施例提供的一种恶意文件检测设备的结构示意图。

本申请实施例提供的一种恶意文件检测设备,包括存储器201和处理器202,存储器201中存储有计算机程序,处理器202执行存储器201中存储的计算机程序时实现如下步骤:

获取目标恶意文件;

输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;

将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。

本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态s表示变种文件的特征向量;奖赏函数r表示判别模型对特征向量的判别结果;代理g表示基于状态s及奖赏函数r选择的变种动作a;环境e表示判别模型。

本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过q-learning算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:接收生成模型通过policygradient算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种恶意文件检测设备中,目标恶意文件的类型包括可执行文件、文档型文件。

本申请实施例提供的一种恶意文件检测设备中,当目标恶意文件的类型为可执行文件时,变种动作a的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。

本申请实施例提供的一种恶意文件检测设备,包括存储器和处理器,存储器中存储有计算机程序,处理器执行存储器中存储的计算机程序时具体实现如下步骤:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;判断变种文件的检测结果是否满足预设要求,若否,则执行基于变种文件对判别模型进行训练的步骤。

请参阅图6,本申请实施例提供的另一种恶意文件检测设备中还可以包括:与处理器202连接的输入端口203,用于传输外界输入的命令至处理器202;与处理器202连接的显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用于实现恶意文件检测设备与外界的通信。显示单元204可以为显示面板、激光扫描使显示器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(hml)、通用串行总线(usb)、高清多媒体接口(hdmi)、无线连接:无线保真技术(wifi)、蓝牙通信技术、低功耗蓝牙通信技术、基于ieee802.11s的通信技术。

本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时实现如下步骤:

获取目标恶意文件;

输入目标恶意文件至预先构建的生成式对抗网络的生成模型中,接收生成模型对目标恶意文件进行变种后生成的变种文件;

将恶意文件检测引擎作为生成式对抗网络的判别模型,基于变种文件对判别模型进行训练,以基于训练好的判别模型检测目标文件是否为恶意文件。

本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过强化学习算法对目标恶意文件进行变种后生成的变种文件;其中,强化学习算法中的状态s表示变种文件的特征向量;奖赏函数r表示判别模型对特征向量的判别结果;代理g表示基于状态s及奖赏函数r选择的变种动作a;环境e表示判别模型。

本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过q-learning算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:接收生成模型通过policygradient算法对目标恶意文件进行变种后生成的变种文件。

本申请实施例提供的一种计算机可读存储介质中,目标恶意文件的类型包括可执行文件、文档型文件。

本申请实施例提供的一种计算机可读存储介质中,当目标恶意文件的类型为可执行文件时,变种动作a的类型包括向导入导出表中添加函数、创建节、修改节、删除节、在程序入口点前添加预设次数跳转、修改破坏签名证书信息、修改debug信息、打包文件、解包文件、修改文件头校验码、文件加壳。

本申请实施例提供的一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序被处理器执行时具体实现如下步骤:将变种文件输入至判别模型,接收判别模型对变种文件的检测结果;判断变种文件的检测结果是否满足预设要求,若否,则执行基于变种文件对判别模型进行训练的步骤。

本申请所涉及的计算机可读存储介质包括随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质。

本申请实施例提供的一种恶意文件检测系统、设备及计算机可读存储介质中相关部分的说明请参见本申请实施例提供的一种恶意文件检测方法中对应部分的详细说明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。

还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

完整全部详细技术资料下载
当前第1页1 2 
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘彦南;王大伟
  • 技术所有人:深信服科技股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2