恶意代码识别方法、电子设备和存储介质与流程

本申请涉及计算机安全，具体而言，涉及恶意代码识别方法、电子设备和存储介质。

背景技术：

1、在当前的互联网环境中，恶意代码(malware)已成为信息安全的重大威胁之一，其中，恶意代码通常是指具有恶意意图，并且能够对计算机系统和用户数据造成危害的程序，其包括病毒、蠕虫、木马等。

2、目前的研究发现，同一类型或同一家族的恶意代码往往具有许多相似的编码特征，这些特征一般是由于恶意代码作者的编码习惯、攻击手段、使用的工具等因素所导致的。因此能够通过对这些相似特征进行分析，来识别恶意代码的类别，该类别可以反映恶意代码的类型、来源和传播途径等，进而能够通过对恶意代码类别的识别，来为安全专家采取相应的防范和应对措施提供帮助。

3、目前在识别恶意代码类别的过程中，通常先将恶意代码转化为代码图像，然后针对该代码图像进行图像识别，从而得到该恶意代码的类别，但目前对代码图像进行图像识别的准确性较低，进而导致对恶意代码类别识别的准确性较低。

技术实现思路

1、本申请实施例的目的在于提供恶意代码识别方法、电子设备和存储介质，用于解决现有技术中对恶意代码类别的识别准确性较低的问题。

2、本申请实施例第一方面提供了一种恶意代码识别方法，图像识别模型包括多个图像识别网络和识别结果融合网络，其中，所述的多个图像识别网络包括vgg16图像识别网络、resnet50图像识别网络、shufflenet图像识别网络、googlenet图像识别网络和densenet121图像识别网络中的至少两个，所述方法包括：

3、获取待识别恶意代码的代码图像；

4、利用所述图像识别模型中的各个图像识别网络，分别对所述代码图像进行识别；

5、利用所述图像识别模型中的识别结果融合网络，对各个图像识别网络的识别结果进行融合，以获取所述待识别恶意代码的类别。

6、优选的，所述方法还包括：

7、预先对待训练模型中的各个图像识别网络分别进行预训练；

8、在分别进行所述预训练之后，利用样本集中的样本对所述待训练模型进行模型训练，以生成所述图像识别模型。

9、优选的，在预先对待训练模型中的各个图像识别网络分别进行预训练之前，所述方法还包括：

10、确定恶意代码的总类别数；

11、在所述待训练模型的各个图像识别网络和所述待训练模型的识别结果融合网络之间，设置第一全连接层和第二全连接层，其中，所述第一全连接层与各个图像识别网络的输出层连接，所述第二全连接层与所述第一全连接层连接；所述第一全连接层的神经元数量为预设数量；所述第二全连接层的神经元数量为所述总类别数。

12、优选的，在利用样本集中的样本对所述待训练模型进行模型训练之前，所述方法还包括：

13、通过对所述样本集中的样本进行随机翻转、随机角度旋转和/或色彩抖动的方式，对所述样本集中的进行扩充。

14、优选的，利用所述图像识别模型中的识别结果融合网络，对各个图像识别网络的识别结果进行融合，具体包括：将各个图像识别网络的识别结果输入至所述识别结果融合网络，以使得所述识别结果融合网络根据预设融合规则，对各个图像识别网络的识别结果进行融合。

15、优选的，识别结果融合网络根据预设融合规则，对各个图像识别网络的识别结果进行融合，具体包括通过如下所示的预设融合公式，对各个图像识别网络的识别结果进行融合：

16、class(x)＝argmaxci((∑ki(yk(x),ci))

17、其中，class(x)为该待识别恶意代码的类别；argmax是最大值自变量点集的函数符号；ci为表示类别；x为待识别的恶意代码图片实例；yk(x)为第k个图像识别网络mk的识别结果中，条件概率最大的类别；i为指示函数的函数符号。

18、优选的，获取待识别恶意代码的代码图像，具体包括：

19、从恶意代码图像库中获取所述代码图像；或，

20、通过所述待识别恶意代码生成所述代码图像。

21、优选的，通过所述待识别恶意代码生成所述代码图像，具体包括：

22、将所述待识别恶意代码读取为二进制流，所述二进制流由按顺序排列的多个二进制数值构成；

23、将所述二进制流切分为多个字节，以生成所述待识别恶意代码的字节流；

24、将所述字节流中各个字节的二进制数值转化为十进制的灰度值；

25、按照预先设定的矩阵宽度和矩阵长度，将各个灰度值作为矩阵中的元素，重排生成矩阵；

26、将所述矩阵中的各个元素分别作为对应位置上的像素点的灰度值，生成所述代码图像。

27、本申请实施例第二方面提供了一种电子设备，包括：

28、处理器；

29、用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行本申请实施例第一方面任意一项所述的方法。

30、本申请实施例第三方面提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行，以完成本申请实施例第一方面任意一项所述的方法。

31、采用本申请所提供的恶意代码识别方法，包括先获取待识别恶意代码的代码图像，然后利用图像识别模型中的各个图像识别网络，分别对该代码图像进行识别，然后利用图像识别模型中的识别结果融合网络，对各个图像识别网络的识别结果进行融合，以获取该待识别恶意代码的类别。由于该图像识别模型中的多个图像识别网络包括vgg16图像识别网络、resnet50图像识别网络、shufflenet图像识别网络、googlenet图像识别网络和densenet121图像识别网络中的至少两个，因此利用这些图像识别网络的识别结果的融合，所获取到的待识别恶意代码的类别具有较高的准确性，从而解决了现有技术中的问题。

技术特征：

1.一种恶意代码识别方法，其特征在于，图像识别模型包括多个图像识别网络和识别结果融合网络，其中，所述的多个图像识别网络包括vgg16图像识别网络、resnet50图像识别网络、shufflenet图像识别网络、googlenet图像识别网络和densenet121图像识别网络中的至少两个，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，在预先对待训练模型中的各个图像识别网络分别进行预训练之前，所述方法还包括：

4.根据权利要求2所述的方法，其特征在于，在利用样本集中的样本对所述待训练模型进行模型训练之前，所述方法还包括：

5.根据权利要求1所述的方法，其特征在于，利用所述图像识别模型中的识别结果融合网络，对各个图像识别网络的识别结果进行融合，具体包括：将各个图像识别网络的识别结果输入至所述识别结果融合网络，以使得所述识别结果融合网络根据预设融合规则，对各个图像识别网络的识别结果进行融合。

6.根据权利要求5所述的方法，其特征在于，识别结果融合网络根据预设融合规则，对各个图像识别网络的识别结果进行融合，具体包括通过如下所示的预设融合公式，对各个图像识别网络的识别结果进行融合：

7.根据权利要求1所述的方法，其特征在于，获取待识别恶意代码的代码图像，具体包括：

8.根据权利要求7所述的方法，其特征在于，通过所述待识别恶意代码生成所述代码图像，具体包括：

9.一种电子设备，其特征在于，包括：

10.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序可由处理器执行以完成权利要求1-8任意一项所述的方法。

技术总结
本申请提供恶意代码识别方法、电子设备和存储介质。该方法包括：获取待识别恶意代码的代码图像；利用所述图像识别模型中的各个图像识别网络，分别对所述代码图像进行识别；利用所述图像识别模型中的识别结果融合网络，对各个图像识别网络的识别结果进行融合，以获取所述待识别恶意代码的类别。由于该图像识别模型中的多个图像识别网络包括VGG16图像识别网络、ResNet50图像识别网络、ShuffleNet图像识别网络、GoogLeNet图像识别网络和DenseNet121图像识别网络中的至少两个，因此利用这些图像识别网络的识别结果的融合，所获取到的待识别恶意代码的类别具有较高的准确性，从而解决了现有技术中的问题。

技术研发人员：郑宇森,安晓宁
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/3/12