本發明實施例提供一種惡意軟件檢測方法及裝置，涉及網絡安全技術領域。該方法包括：將待檢測軟件轉換為第一圖像和第二圖像，第一圖像為行寬度和列寬度均為N，第二圖像為行寬度和列寬度均M；將第一圖像分割平均為L個第三圖像；基于深度學習預測模型各圖像為各個軟件類別的概率；判斷命中數量是否大于X，命中數量為待預測圖像集中命中目標軟件類別的圖像的數量，待預測圖像集中任一圖像命中的軟件類別為該圖像的概率中的最大值對應的軟件類別，目標軟件類別為被待預測圖像集中的圖像命中次數最多的軟件類別；若否，則輸出用于為非惡意軟件的指示信息。本發明實施例用于在進行惡意軟件檢測時減小誤報率。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種惡意軟件檢測方法及裝置。

背景技術

惡意軟件是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其它終端上安裝運行，侵犯用戶合法權益的軟件。由于惡意軟件數量及其變體的不斷增長，惡意軟件檢測技術越來越受到關注。

傳統惡意軟件檢測方式為靜態檢測方式，主要包括通常特征匹配式檢測和啟發式檢測。隨著惡意軟件數量及其變體的不斷增長，傳統的靜態檢測方式以無法滿足惡意軟件檢測的檢出率及分類需求，為了進一步提升惡意軟件檢測的檢出率，現有技術中提了出了基于圖像檢測的深度學習軟件分類技術。具體為，將惡意軟件的二進制數據映射為圖像(例如：灰度圖像)，并提取映射得到的圖像的特征，再利用圖像特征進行聚類，并對聚類后的惡意軟件進行家族標注，之后建立深度卷積神經網絡模型(例如：深度卷積神經網絡(Convolutional Neural Networks,CNN)或深度循環神經網絡(Recurrent NeuralNetwork，RNN))進行模型訓練，獲取能夠對軟件家族進行分類的判別模型。當對未知軟件進行檢測時，將未知軟件映射為某一固定尺寸的圖像，并將未知軟件映射得到的圖像數據輸入判別模型，以確定未知軟件所屬軟件家族，并根據未知軟件所屬軟件家族確定未知軟件是否屬于惡意軟件，以及在確定未知軟件為惡意軟件時確定未知軟件的家族分類。然而，由于待檢測軟件的大小未知且不固定，映射為統一尺寸圖像過程中會帶入干擾和噪聲值，因此基于圖像檢測的深度學習軟件分類技術存在誤報率較高的問題。

發明內容

有鑒于此，本發明提供了一種惡意軟件檢測方法及裝置，用于在通過基于圖像檢測的深度學習軟件分類技術進行惡意軟件檢測時減小誤報率。

為了實現上述目的，本發明實施例提供技術方案如下：

第一方面，本發明的實施例提供了一種惡意軟件檢測方法，包括：

將待檢測軟件轉換為第一圖像和第二圖像，所述第一圖像為行寬度和列寬度均為N的灰度圖像，所述第二圖像為行寬度和列寬度均M的灰度圖像，N＝a*M，N、M、a均為正整數；

將所述第一圖像分割平均為L個第三圖像，L＝a²；

基于深度學習預測模型分別預測待預測圖像集中各圖像為各個軟件類別的概率，所述待預測圖像集為所述第二圖像和所述L個第三圖像組成的集合；

判斷命中數量是否大于X，所述命中數量為所述待預測圖像集中命中目標軟件類別的圖像的數量，所述待預測圖像集中任一圖像命中的軟件類別為該圖像的概率中的最大值對應的軟件類別，所述目標軟件類別為被所述待預測圖像集中的圖像命中次數最多的軟件類別，X＝ceil{(L+1)/2},ceil{}為非整數時向上取整函數；

若否，則輸出第一指示信息，所述第一指示信息用于指示所述待檢測軟件為非惡意軟件。

作為本發明實施例一種可選的實施方式，在所述命中數量大于X的情況下，所述方法還包括：

獲取所述命中數量對應的第一閾值和第二閾值；