本發(fā)明提供了一種惡意代碼的特征碼提取方法、裝置和計算機設備。該方法包括：通過惡意代碼樣本集訓練學習模型，得到目標學習模型；將待處理惡意代碼劃分為多個代碼段，得到多個待處理代碼段；提取待處理代碼段的特征數(shù)據(jù)；將待處理代碼段的特征數(shù)據(jù)輸入目標學習模型；獲取目標學習模型的卷積層的輸出特征圖；計算目標學習模型的卷積層中每個通道上的梯度值；根據(jù)輸出特征圖和梯度值計算熱力圖數(shù)據(jù)，其中，熱力圖數(shù)據(jù)用于表征待處理代碼段對惡意類別的貢獻分值；根據(jù)貢獻分值選定若干待處理代碼段作為待處理惡意代碼的特征碼。通過本發(fā)明，能夠提升惡意代碼的特征碼提取的效率和準確性。

技術領域

本發(fā)明涉及安全威脅處理技術領域，尤其涉及一種惡意代碼的特征碼提取方法、裝置和計算機設備。

背景技術

隨著計算機網絡技術的飛速發(fā)展，尤其是互聯(lián)網的應用變得越來越廣泛，在給人們生活帶來便利的同時，計算機惡意程序對網絡信息安全性的威脅也愈加巨大。這些惡意程序一旦發(fā)作就會對計算機系統(tǒng)造成破壞，輕則篡改文件、影響系統(tǒng)穩(wěn)定、竊取信息，重則導致系統(tǒng)癱瘓，甚至破壞系統(tǒng)整體硬件部分，嚴重地會威脅到信息的安全，造成不可估計的損失。

在現(xiàn)有技術中，對未知的惡意程序的檢測時，通常需要人工經驗進行分析，但是，人工經驗有一定的滯后性，往往覆蓋不全，在進行惡意程序的檢測時，應對未知威脅能力較差，使得對未知惡意程序的檢出準確度并不高。

此外，對于已知類型的惡意程序，目前殺毒軟件技術大多通過檢測和查殺已知類型的惡意程序，其中使用最廣泛的檢測方法是特征碼技術。現(xiàn)有的特征碼提取方法主要包括：

1)反病毒工程師使用反匯編工具將惡意文件反匯編，通過對反匯編后的文件進行詳細分析，手動或半自動地提取特征碼；

2)從反匯編后的惡意文件中提取多個代碼或指令序列形成樣本序列集，通過對集合中的序列進行對比或匹配，篩選出符合條件的序列形成特征片段，作為特征碼。

但是在企業(yè)的實際使用中，上述方法1)基于人工或半自動的方式對反匯編代碼進行分析，需要人工參與進行分析，耗費企業(yè)大量人力，提取特征碼的效率也極其低下，缺少自動化，無法廣泛運用于企業(yè)內部，特別是小型企業(yè)；上述方法2)基于序列片段之間對比或匹配的方式來提取特征碼，雖然相對更加自動化，但是序列之間的對比或匹配往往時間復雜度較高，降低提取特征碼的速度，無法有效滿足海量惡意代碼下，實時更新特征碼的需求，且易造成誤報。這種現(xiàn)狀大大限制了特征碼技術在企業(yè)內部的使用，降低了查殺惡意代碼的有效性和實時性。

因此，提供一種惡意代碼的特征碼提取方法、裝置和計算機設備，以提升惡意代碼的特征碼提取的效率和準確性，成為本領域亟需解決的技術問題。

發(fā)明內容

本發(fā)明的目的是提供一種惡意代碼的特征碼提取方法、裝置和計算機設備，用于解決現(xiàn)有技術中的上述技術問題。

一方面，為實現(xiàn)上述目的，本發(fā)明提供了一種惡意代碼的特征碼提取方法。

該惡意代碼的特征碼提取方法包括：通過惡意代碼樣本集訓練學習模型，得到目標學習模型，其中，惡意代碼樣本集包括多個樣本，樣本包括惡意代碼的多個代碼段的特征數(shù)據(jù)，學習模型包括卷積層，其中，卷積層包括多個通道；將待處理惡意代碼劃分為多個代碼段，得到多個待處理代碼段；提取待處理代碼段的特征數(shù)據(jù)；將待處理代碼段的特征數(shù)據(jù)輸入目標學習模型；獲取目標學習模型的卷積層的輸出特征圖；計算目標學習模型的卷積層中每個通道上的梯度值；根據(jù)輸出特征圖和梯度值計算熱力圖數(shù)據(jù)，其中，熱力圖數(shù)據(jù)用于表征待處理代碼段對惡意類別的貢獻分值；根據(jù)貢獻分值選定若干待處理代碼段作為待處理惡意代碼的特征碼。