恶意样本检测方法、设备、存储介质及装置与流程

本发明涉及网络安全，尤其涉及一种恶意样本检测方法、设备、存储介质及装置。

背景技术：

1、目前，在进行恶意样本检测时，通常通过人工方式提取样本的特征，费时费力，检测准确率低，难以应对新的恶意样本。

2、上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现思路

1、本发明的主要目的在于提供一种恶意样本检测方法、设备、存储介质及装置，旨在解决现有技术中在进行恶意样本检测时，通常通过人工方式提取样本的特征，费时费力，检测准确率低，难以应对新的恶意样本的技术问题。

2、为实现上述目的，本发明实施例提供一种恶意样本检测方法，所述恶意样本检测方法包括以下步骤：

3、获取待检测样本对应的安全数据，并将安全数据转化为向量化特征；

4、获取所述向量化特征对应的位置编码特征，并对所述向量化特征和所述位置编码特征进行合并，获得目标特征；

5、通过预设样本检测模型对所述目标特征进行安全检测，获得恶意样本检测结果，所述预设样本检测模型基于数据样本的向量化特征样本训练获得。

6、可选地，所述安全数据为二进制数据；所述获取待检测样本对应的安全数据，并将安全数据转化为向量化特征的步骤，包括：

7、获取待检测样本对应的二进制数据；

8、通过预设卷积神经网络对所述二进制数据进行特征提取，获得向量化特征。

9、可选地，所述通过预设卷积神经网络对所述二进制数据进行特征提取，获得向量化特征的步骤之前，还包括：

10、对所述二进制数据进行预处理，并截取处理后的二进制数据的代码块部分，获得目标二进制数据，所述目标二进制数据的长度等于预设阈值；

11、相应地，所述通过预设卷积神经网络对所述二进制数据进行特征提取，获得向量化特征的步骤，包括：

12、通过预设卷积神经网络对所述目标二进制数据进行特征提取，获得向量化特征。

13、可选地，所述目标二进制数据以二进制流形式存储，并构建以二进制流存储的arrow映射。

14、可选地，所述预设卷积神经网络包括：预设数量的conv层和relu激活函数。

15、可选地，所述获取待检测样本对应的安全数据，并将安全数据转化为向量化特征的步骤之前，还包括：

16、基于数据样本的向量化特征样本对初始样本检测模型进行预训练，获得训练后的样本检测模型；

17、对所述训练后的样本检测模型进行模型微调，获得预设样本检测模型。

18、可选地，所述初始样本检测模型包括：transformer网络模型和分类器；所述获取待检测样本对应的安全数据，并将安全数据转化为向量化特征的步骤之前，还包括：

19、基于数据样本的向量化特征样本对transformer网络模型进行预训练，获得训练后的transformer网络模型；

20、对分类器和所述训练后的transformer网络模型进行模型微调，获得预设样本检测模型。

21、可选地，所述数据样本为二进制数据样本；所述基于数据样本的向量化特征样本对transformer网络模型进行预训练，获得训练后的transformer网络模型的步骤，包括：

22、获取二进制数据样本，并将二进制数据样本转化为向量化特征样本；

23、获取所述向量化特征样本对应的位置编码特征样本，并对所述向量化特征样本和所述位置编码特征样本进行合并，获得目标特征样本；

24、基于所述目标特征样本对所述transformer网络模型进行预训练，获得训练后的transformer网络模型。

25、可选地，所述获取二进制数据样本，并将二进制数据样本转化为向量化特征样本的步骤，包括：

26、获取二进制数据样本，并对所述二进制数据样本进行预处理；

27、截取处理后的二进制数据样本的代码块部分，获得目标二进制数据样本，所述目标二进制数据样本的长度等于预设阈值；

28、通过预设卷积神经网络对所述目标二进制数据样本进行特征提取，获得向量化特征样本。

29、可选地，所述目标二进制数据样本以二进制流形式存储，并构建以二进制流存储的arrow映射。

30、可选地，所述对分类器和所述训练后的transformer网络模型进行模型微调，获得预设样本检测模型的步骤，包括：

31、对所述二进制数据样本进行标记，获得所述二进制数据样本对应的真实标签；

32、基于所述二进制数据样本和所述二进制数据样本对应的真实标签对分类器和所述训练后的transformer网络模型进行模型微调，获得预设样本检测模型。

33、可选地，所述获取所述向量化特征样本对应的位置编码特征样本，并对所述向量化特征样本和所述位置编码特征样本进行合并，获得目标特征样本的步骤，包括：

34、获取所述向量化特征样本对应的位置信息，并对所述位置信息进行特征化处理，获得位置编码特征样本；

35、对所述向量化特征样本和所述位置编码特征样本进行合并，获得目标特征样本。

36、此外，为实现上述目的，本发明实施例还提出一种恶意样本检测设备，所述恶意样本检测设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意样本检测程序，所述恶意样本检测程序配置为实现如上文所述的恶意样本检测方法。

37、此外，为实现上述目的，本发明实施例还提出一种存储介质，所述存储介质上存储有恶意样本检测程序，所述恶意样本检测程序被处理器执行时实现如上文所述的恶意样本检测方法。

38、此外，为实现上述目的，本发明实施例还提出一种恶意样本检测装置，所述恶意样本检测装置包括：数据转化模块、特征合并模块以及样本检测模块；

39、所述数据转化模块，用于获取待检测样本对应的安全数据，并将安全数据转化为向量化特征；

40、所述特征合并模块，用于获取所述向量化特征对应的位置编码特征，并对所述向量化特征和所述位置编码特征进行合并，获得目标特征；

41、所述样本检测模块，用于通过预设样本检测模型对所述目标特征进行安全检测，获得恶意样本检测结果，所述预设样本检测模型基于数据样本的向量化特征样本训练获得。

42、可选地，所述数据转化模块，还用于获取待检测样本对应的二进制数据；

43、所述数据转化模块，还用于通过预设卷积神经网络对所述二进制数据进行特征提取，获得向量化特征。

44、可选地，所述恶意样本检测装置还包括：数据处理模块；

45、所述数据处理模块，用于对所述二进制数据进行预处理，并截取处理后的二进制数据的代码块部分，获得目标二进制数据，所述目标二进制数据的长度等于预设阈值；

46、相应地，所述数据转化模块，还用于通过预设卷积神经网络对所述目标二进制数据进行特征提取，获得向量化特征。

47、可选地，所述目标二进制数据以二进制流形式存储，并构建以二进制流存储的arrow映射。

48、可选地，所述预设卷积神经网络包括：预设数量的conv层和relu激活函数。

49、可选地，所述恶意样本检测装置还包括：模型训练模块；

50、所述模型训练模块，用于基于数据样本的向量化特征样本对初始样本检测模型进行预训练，获得训练后的样本检测模型；

51、所述模型训练模块，还用于对所述训练后的样本检测模型进行模型微调，获得预设样本检测模型。

52、在本发明实施例中，公开了获取待检测样本对应的安全数据，并将安全数据转化为向量化特征，获取向量化特征对应的位置编码特征，并对向量化特征和位置编码特征进行合并，获得目标特征，通过预设样本检测模型对目标特征进行安全检测，获得恶意样本检测结果，预设样本检测模型基于数据样本的向量化特征样本训练获得；由于本发明实施例中无需人工提取样本特征，而是通过先将安全数据转化为向量化特征，再将向量化特征和向量化特征对应的位置编码特征进行合并的方式提取样本特征，从而提高了恶意样本检测的效率和准确率，并且由于预设样本检测模型基于数据样本的向量化特征样本训练获得，从而使得预设样本检测模型能够学习安全数据的共性特征，进而实现了在准确判定恶意样本的同时，也能检测新出的恶意样本。