恶意代码分类方法、装置、电子设备及计算机存储介质与流程

本申请涉及信息安全领域，具体而言，涉及一种恶意代码分类方法、装置、电子设备及计算机存储介质。

背景技术：

1、目前，深度学习技术，如卷积神经网络和循环神经网络等，已经成为恶意代码识别领域广泛研究的热点。这些技术能够自动学习数据集中的特征，并实现高效的分类和检测。近年来，基于深度学习的恶意代码检测得到了较快的发展。但是，现有的深度学习技术在对恶意代码进行分类时，准确性较低。

技术实现思路

1、有鉴于此，本申请实施例的目的在于提供一种恶意代码分类方法、装置、电子设备及计算机存储介质，能够提高恶意代码分类准确性。

2、第一方面，本申请实施例提供了一种恶意代码分类方法，包括：将待分类恶意代码转化为灰度图像；将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取；通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，所述卷积层组中包括残差连接和密集连接；通过所述密集残差网络模型的分类计算层组对深度处理后的特征信息进行分类计算，得到所述待分类恶意代码的分类概率；根据所述分类概率确定所述待分类恶意代码的分类结果。

3、在上述实现过程中，该密集残差网络模型采用了密集连接和残差连接相结合的方式，可以充分利用每个层次的特征信息，可以提高特征信息提取能力，同时还可以提高模型的准确性和泛化能力。因而，通过该密集残差网络模型对待分类恶意代码进行特征提取，可以提高待分类恶意代码特征提取的准确性，进而提高分类准确性。

4、在一个实施例中，所述卷积层组包括多个卷积层子组；所述通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，包括：将提取的特征信息输入到首个卷积层子组；以及将前一卷积层子组的输出作为后一卷积层子组输入，直到输入到所述卷积层组中的尾部卷积层子组，以通过所述多个卷积层子组对提取的特征信息依次进行深度处理。

5、在上述实现过程中，通过将上一卷积层子组深度处理后的特征信息作为下一卷积子组的输入，进而通过多个卷积层子组对特征信息进行层层深度处理，进而可以有效的提取灰度图像中的特征信息，提高卷积层组的特征提取能力，进而提高分类的准确性。

6、在一个实施例中，每个所述卷积层子组包括多个基本块；所述通过所述多个卷积层子组对提取的特征信息依次进行深度处理，包括：通过各个所述卷积层子组中的各个所述基本块对提取的特征信息依次进行深度处理。

7、在上述实现过程中，由于各个卷积层子组均是由几个基本块组成，因而该密集残差网络模型结构比较简单，即使在小型数据集上也具有较强的适用性。另外，当提取的特征信息输入到相应的卷积层子组中时，通过该卷积层子组中的各个基本块分别对提取的特征信息进行深度处理，对大型数据集也能进行特征提取，增加了该密集残差网络模型的适用场景。

8、在一个实施例中，每个所述基本块包括两个卷积层和残差连接；所述通过各个所述卷积层子组中的各个所述基本块对提取的特征信息依次进行深度处理，包括：通过所述卷积层对所述提取的特征信息进行深度处理；通过所述残差连接将所述基本块中后一卷积层的输入与前一卷积层的输出相加，得到所述基本块的残差输出。

9、在上述实现过程中，由于残差连接可以帮助模型更好的学习特征，因而通过在每个基本块中均设置残差连接，可以增加密集残差网络模型的表达能力和容量，进而提高密集残差网络模型的表达能力和性能。此外，由于残差连接可以提供跨层直接连接的效果，通过在每个基本块中均设置残差连接还可以使密集残差网络模型更容易收敛，减少训练时间和计算资源的消耗。

10、在一个实施例中，除所述尾部卷积层子组之外的其他卷积层子组包括密集连接；所述将前一卷积层子组的输出作为后一卷积层子组输入，包括：通过所述密集连接将所述前一卷积层子组的输入与输出进行拼接，并将拼接后的信息作为下一卷积层子组的输入。

11、在上述实现过程中，通过设置密集连接，每一卷积层子组的输出特征都是之后的所有卷积层子组的输入，可以使得该密集残差网络模型能够更好的利用特征信息，从而提高密集残差网络模型的性能。另外，由于每一卷积层子组的输出特征都是之后的所有卷积层子组的输入，还可以加强不同卷积层子组之间的特征传递，减少信息的损失和混淆，进而提高特征提取的准确率和稳定性。

12、在一个实施例中，若所述卷积层子组的输入与输出维度不一致，所述方法还包括：通过1×1的卷积层对所述卷积层子组进行下采样，以使所述卷积层子组的输入与输出维度一致。

13、在上述实现过程中，对于输入与输出维度不一致的卷积层子组，通过设置1×1的卷积层对该卷积层子组进行下采样处理，进而使得卷积层子组的输入与输出维度一致，从而方便后续的相加、拼接等操作，降低了该密集残差网络模型的计算复杂度，减少了计算量，进而提高了密集残差网络模型的计算效率。

14、在一个实施例中，所述将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取之前，所述方法还包括：通过malimg数据集和/或pe数据集训练所述密集残差网络模型，以通过所述密集残差网络模型对所述待分类恶意代码进行家族分类和/或类型分类。

15、在上述实现过程中，通过malimg数据集和/或pe数据集对该密集残差网络模型进行训练，使得该密集残差网络模型可以根据实际需要进行待分类恶意代码进行家族分类和/或类型分类，增加该密集残差网络模型的适用场景。

16、第二方面，本申请实施例还提供一种恶意代码分类装置，包括：预处理模块，用于将待分类恶意代码转化为灰度图像；特征提取模块，用于将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取；深度处理模块，用于通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，所述卷积层组中设置有残差连接和密集连接；计算模块，用于通过所述密集残差网络模型的分类计算层组对深度处理后的特征信息进行分类计算，得到所述待分类恶意代码的分类概率；确定模块，用于根据所述分类概率确定所述待分类恶意代码的分类结果。

17、第三方面，本申请实施例还提供一种电子设备，包括：处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面的任一种可能的实施方式中的方法的步骤。

18、第四方面，本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述第一方面，或第一方面的任一种可能的实施方式中恶意代码分类方法的步骤。

19、为使本申请的上述目的、特征和优点能更明显易懂，下文特举实施例，并配合所附附图，作详细说明如下。

技术特征：

1.一种恶意代码分类方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述卷积层组包括多个卷积层子组；所述通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，包括：

3.根据权利要求2所述的方法，其特征在于，每个所述卷积层子组包括多个基本块；所述通过所述多个卷积层子组对提取的特征信息依次进行深度处理，包括：

4.根据权利要求3所述的方法，其特征在于，每个所述基本块包括两个卷积层和残差连接；所述通过各个所述卷积层子组中的各个所述基本块对提取的特征信息依次进行深度处理，包括：

5.根据权利要求2所述的方法，其特征在于，除所述尾部卷积层子组之外的其他卷积层子组包括密集连接；所述将前一卷积层子组的输出作为后一卷积层子组输入，包括：

6.根据权利要求5所述的方法，其特征在于，若所述卷积层子组的输入与输出维度不一致，所述方法还包括：

7.根据权利要求1-6任意一项所述的方法，其特征在于，所述将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取之前，所述方法还包括：

8.一种恶意代码分类装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：处理器、存储器，所述存储器存储有所述处理器可执行的机器可读指令，当电子设备运行时，所述机器可读指令被所述处理器执行时执行如权利要求1至7任一所述的方法的步骤。

10.一种计算机可读存储介质，其特征在于，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行如权利要求1至7任一所述的方法的步骤。

技术总结
本申请提供了一种恶意代码分类方法、装置、电子设备及计算机存储介质，其中，该方法包括：将待分类恶意代码转化为灰度图像；将所述灰度图像输入密集残差网络模型，通过所述密集残差网络模型的数据预处理层组对所述灰度图像进行特征信息提取；通过所述密集残差网络模型的卷积层组对提取的特征信息进行深度处理，所述卷积层组中包括残差连接和密集连接；通过所述密集残差网络模型的分类计算层组对深度处理后的特征信息进行分类计算，得到所述待分类恶意代码的分类概率；根据所述分类概率确定所述待分类恶意代码的分类结果。

技术研发人员：谢雪,安晓宁
受保护的技术使用者：谢雪
技术研发日：
技术公布日：2024/1/15