一种恶意软件检测方法、装置、设备及介质与流程

本发明涉及安全检测，尤其涉及一种恶意软件检测方法、装置、设备及介质。

背景技术：

1、恶意软件是指在计算机系统上执行恶意任务的病毒、特洛伊木马等程序，通过破坏软件进程等方式来实现控制，从而进行恶意扣费、发送欺诈信息或窃取用户个人信息等操作，严重影响安全性。因此，需要对恶意软件进行自动检测。

2、在现有技术中，恶意软件的检测，一般都是通过恶意软件的开发数据进行分析，通过神经网络分析恶意软件的开发数据，判断恶意软件的类别。由于有些恶意软件从代码上来看，与正常的非恶意软件并无差别，导致这部分恶意软件识别的错误率比较高。

技术实现思路

1、本发明提供一种恶意软件检测方法、装置、设备及介质，能够从软件的网络通信数据和开发数据中分别提取特征进行恶意软件分类，相比于仅仅从软件代码提取特征进行识别的技术方案，提高了准确率。

2、第一方面，本发明实施例提供一种恶意软件检测方法，包括：

3、获取待检测软件的网络通信数据，以及待检测软件的开发数据；

4、从所述待检测软件的网络通信数据中提取第一特征集合，以及从所述待检测软件的开发数据中提取第二特征集合；

5、根据所述第一特征集合和所述第二特征集合，确定所述待检测软件所属的恶意软件类型。

6、上述方法，能够通过待检测软件的网络通信数据提取特征，从待检测软件的开发数据中提取特征，利用通信的特征和开发的特征进行待检测软件的类型识别，这样相比于现有技术仅仅从软件代码提取特征进行识别的技术方案，从多方面进行特征识别从而进行检测待检测软件的类型，提高了检测的准确率。

7、在一种可能实施的方式中，从所述待检测软件的网络通信数据中提取第一特征集合，包括：

8、从所述待检测软件的网络通信数据中提取融合全文语义信息的文本特征；

9、将所述待检测软件的网络通信数据以字节流形式组成图像，并从组成的图像中提取纹理特征；

10、将所述文本特征和所述纹理特征融合，得到第一特征集合。

11、上述方法，通过文本分析网络通信数据以及图像分析网络通信数据，这样两个方面分析通信数据，提高了检测的准确率。

12、在一种可能实施的方式中，从所述待检测软件的网络通信数据中提取融合全文语义信息的文本特征，包括：

13、针对所述待检测软件的网络通信数据中的每条数据，若该数据的通信协议类型为http，则按照http的通信协议类型的报文格式提取关键词；

14、若该数据的通信协议类型为tcp，则按照tcp的通信协议类型的报文格式提取关键词；

15、将提取出的关键词的词向量进行向量融合，得到融合全文语义信息的向量表示，将融合全文语义信息的向量表示作为文本特征。

16、上述方法，通过分辨数据的http和tcp的类型，获取关键词，并通过关键词的词向量进行向量融合，得到融合全文语义信息的的文本特征，可以过滤有价值的信息，以提高文本特征的精度。

17、在一种可能实施的方式中，从组成的图像中提取纹理特征，包括：

18、从组成的图像中提取作为角点的像素点；

19、从每个作为角点的像素点的相邻像素点中，确定每个作为角点的像素点的描述子，并将所有的角点的像素点的描述子，作为纹理特征。

20、上述方法，能够通过提取图像角点，并从角点的相邻像素点中获取角点的描述子，作为纹理特征，这样以像素点进行特征提取的依据，提高了计算的效率。

21、在一种可能实施的方式中，将所述文本特征和所述纹理特征融合，得到第一特征集合之前，所述方法还包括：

22、若所述文本特征中的元素个数超过所述纹理特征中的元素个数，则增加所述纹理特征中的元素个数，以使所述文本特征中的元素个数与所述纹理特征中的元素个数相同；

23、若所述纹理特征中的元素个数超过所述文本特征中的元素个数，则增加所述文本特征中的元素个数，以使所述文本特征中的元素个数与所述纹理特征中的元素个数相同。

24、上述方法，能够在文本特征和纹理特征的元素个数不同时，补充个数小的特征，避免元素个数不同而导致融合过程中出现的异常问题。

25、在一种可能实施的方式中，将所述文本特征和所述纹理特征融合，得到第一特征集合，包括：

26、将所述文本特征和所述纹理特征进行组合，得到组合后的特征；

27、对组合后的特征进行多次特征提取处理，并将多次特征提取处理得到的特征进行全连接处理，得到第一特征集合；

28、每次特征提取处理的过程，包括：

29、对组合后的特征进行卷积、归一化、以及池化处理；和/或

30、对组合后的特征进行多次卷积、归一化、以及池化处理，得到多个子集合，并将多个子集合融合处理。

31、上述方法，能够对文本特征和纹理特征进行多次卷积、归一化以及池化处理，并进行全连接处理得到特征集合，这样多次进行处理提取更多信息，提高了融合的准确率。

32、在一种可能实施的方式中，从所述待检测软件的开发数据中提取第二特征集合，包括：

33、对所述待检测软件的开发数据进行逆向处理，得到所述待检测软件的开发数据对应的源代码；

34、从所述待检测软件的开发数据对应的源代码中，提取字符串，并将所述字符串作为第二特征集合。

35、上述方法，能够通过逆向处理得到开发数据对应的源代码，并对源代码提取关键词，得到软件开发过程的特征，这样直接从源代码提取关键词，提高了计算速度。

36、第二方面，本发明实施例提供一种恶意软件检测装置，包括：

37、获取模块，用于获取待检测软件的网络通信数据，以及待检测软件的开发数据；

38、特征提取模块，用于从所述待检测软件的网络通信数据中提取第一特征集合，以及从所述待检测软件的开发数据中提取第二特征集合；

39、检测模块，用于根据所述第一特征集合和所述第二特征集合，确定所述待检测软件所属的恶意软件类型。

40、第三方面，本发明实施例提供一种电子设备，包括：

41、处理器；

42、处理器，用于执行所述存储器中的计算机程序或指令，使得如第一方面中任一所述的恶意软件检测方法被执行。

43、第四方面，本发明实施例提供一种计算机可读存储介质，当所述存储介质中的指令由处理器执行时，使得所述处理器能够执行如第一方面中任一所述的恶意软件检测方法。

44、第五方面，本发明实施例提供一种计算机程序产品，所述计算机程序产品包括：计算机程序代码，当所述计算机程序代码在计算机上运行时，使得计算机执行上述如第一方面中任一所述的恶意软件检测方法。

45、另外，第二方面至第五方面中任一种实现方式所带来的技术效果可参见第一方面中不同实现方式所带来的技术效果，此处不再赘述。

46、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。