本申请涉及网络安全,特别是涉及一种恶意代码检测方法及装置。
背景技术:
1、随着网络技术的快速发展,恶意代码的种类和数量均呈现爆炸性增长,导致恶意代码造成的损失不断增大。为了减少恶意代码造成的损失,需要进行恶意代码检测,以及时发现恶意代码,并进行相应的处置。
2、然而,传统的恶意代码检测方法在对代码进行恶意代码检测后,仅能够给出代码是否为恶意代码的检测结果,而可解释性较差,导致无法验证代码的检测结果的可靠性,从而带来安全隐患。
技术实现思路
1、有鉴于此,本申请提出了一种恶意代码检测方法及装置,主要目的在于解释得到恶意代码检测结果的原因,提升恶意代码检测结果的可解释性。
2、为了达到上述目的,本申请主要提供了如下技术方案:
3、第一方面,本申请提供了一种恶意代码检测方法,该恶意代码检测方法应用于恶意代码检测系统,所述恶意代码检测系统存储有至少两个预设类别的代码相应的标签词,所述至少两个预设类别包含恶意类别和非恶意类别,所述标签词用于解释相应代码归属于相应预设类别的原因,该恶意代码检测方法包括:
4、在需要对目标代码进行恶意代码检测时,确定预设类别的每个标签词分别与所述目标代码的匹配概率;
5、基于所述匹配概率,确定所述目标代码归属的目标预设类别;
6、若所述目标预设类别为恶意类别,则基于所述恶意类别相应标签词,对所述目标代码归属于所述恶意类别的原因进行解释;
7、若所述目标预设类别为非恶意类别,则基于所述非恶意类别相应标签词,对所述目标代码归属于所述非恶意类别的原因进行解释。
8、第二方面,本申请提供了一种恶意代码检测装置,该恶意代码检测装置应用于恶意代码检测系统,所述恶意代码检测系统存储有至少两个预设类别的代码相应的标签词,所述至少两个预设类别包含恶意类别和非恶意类别,所述标签词用于解释相应代码归属于相应预设类别的原因,该恶意代码检测装置包括:
9、第一确定模块,用于在需要对目标代码进行恶意代码检测时,确定预设类别的每个标签词分别与所述目标代码的匹配概率;
10、第二确定模块,用于基于所述匹配概率,确定所述目标代码归属的目标预设类别;
11、第一解释模块,用于若所述目标预设类别为恶意类别,则基于所述恶意类别相应标签词,对所述目标代码归属于所述恶意类别的原因进行解释;
12、第二解释模块,用于若所述目标预设类别为非恶意类别,则基于所述非恶意类别相应标签词,对所述目标代码归属于所述非恶意类别的原因进行解释。
13、第三方面,本申请提供了一种计算机可读存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行第一方面所述的恶意代码检测方法。
14、第四方面,本申请提供了一种电子设备,所述电子设备包括:存储器,用于存储程序;处理器,耦合至所述存储器,用于运行所述程序以执行第一方面所述的恶意代码检测方法。
15、本申请提供的恶意代码检测方法及装置,在恶意代码检测系统中存储至少两个预设类别的代码相应的标签词,以通过标签词解释相应代码归属于相应预设类别的原因。在需要对目标代码进行恶意代码检测时,确定恶意代码检测系统中存储的每个预设类别的每个标签词分别与目标代码的匹配概率,并基于每个标签词与目标代码的匹配概率确定目标代码归属的目标预设类别。若目标预设类别为恶意代码检测系统存储的预设类别包含的恶意类别,则基于恶意类别相应标签词,对目标代码归属于恶意类别的原因进行解释。若目标预设类别为恶意代码检测系统存储的预设类别包含的非恶意类别,则基于非恶意类别相应标签词,对目标代码归属于非恶意类别的原因进行解释。可见,本申请提供的方案在恶意代码检测系统中提前存储两种或两种以上的预设类别,并设置出每种预设类别的代码相应的标签词,这样,在对代码进行恶意代码检测得到代码归属的目标预设类别的检测结果后,便可基于目标预设类别相应的标签词,对代码归属于目标预设类别的原因进行解释,从而提高对代码归属于目标预设类别这种检测结果的可解释性,进而便于后续基于解释出的原因来验证代码归属于目标预设类别这种检测结果的可靠性。
16、上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
1.一种恶意代码检测方法,其特征在于,应用于恶意代码检测系统,所述恶意代码检测系统存储有至少两个预设类别的代码相应的标签词,所述至少两个预设类别包含恶意类别和非恶意类别,所述标签词用于解释相应代码归属于相应预设类别的原因,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,每个预设类别相应的标签词为多个,所述方法还包括:从所述目标预设类别相应的多个标签词中,选取目标标签词;
4.根据权利要求3所述的方法,其特征在于,所述标签词通过抽象归属于相应预设类别的代码的代码特征得到,则,基于所述恶意类别的目标标签词,生成用于解释所述目标代码归属于所述恶意类别的解释数据,包括:
5.根据权利要求1所述的方法,其特征在于,每个预设类别相应的标签词为多个,所述方法还包括:从所述目标预设类别相应的多个标签词中,选取目标标签词;
6.根据权利要求5所述的方法,其特征在于,所述标签词通过抽象归属于相应预设类别的代码的代码特征得到,则,基于所述非恶意类别的目标标签词,生成用于解释所述目标代码归属于所述非恶意类别的解释数据,包括:
7.根据权利要求3或5所述的方法,其特征在于,从所述目标预设类别相应的标签词中,选取目标标签词,包括:
8.根据权利要求1所述的方法,其特征在于,所述标签词通过抽象归属于相应预设类别的代码的代码特征得到,则,确定预设类别的每个标签词分别与所述目标代码的匹配概率,包括:
9.根据权利要求8所述的方法,其特征在于,所述标签词通过抽象归属于相应预设类别的代码的代码特征得到,则,所述方法还包括:
10.根据权利要求9所述的方法,其特征在于,在未匹配到词元之后,在确定所述标签词不存在相关的第一词元之前,所述方法还包括:
11.根据权利要求9所述的方法,其特征在于,所述方法还包括:
12.根据权利要求8所述的方法,其特征在于,所述恶意代码检测系统预设有目标模型,所述目标模型用于识别所述目标词元集合中的每个与预设类别的代码相关的词元在代码中的出现概率,
13.根据权利要求12所述的方法,其特征在于,所述至少两个预设类别的代码相应的标签词预设于映射器,所述映射器与所述目标模型绑定,则,在通过所述目标模型从所述词元的出现概率中确定每个所述标签词对应的第一词元的出现概率之前,所述方法还包括:
14.根据权利要求8所述的方法,其特征在于,若标签词对应的第一词元为多个,则,基于所述第一词元的出现概率,确定每个所述标签词与所述目标代码的匹配概率,包括:
15.根据权利要求1所述的方法,其特征在于,每个预设类别相应的标签词为多个,基于所述匹配概率,确定所述目标代码归属的目标预设类别,包括:
16.根据权利要求15所述的方法,其特征在于,分别对每个预设类别相应的每个标签词的匹配概率进行汇总处理,获得每个预设类别相应的匹配概率总和,包括:
17.根据权利要求15所述的方法,其特征在于,所述恶意代码检测系统还存储有所述至少两个预设类别相应的最低比例,所述最低比例为预设类别相应标签词中匹配概率不小于第二概率阈值的标签词所占的比例,则,在检测出排序位于前第二数量位的标签词不对应同一预设类别之后,所述方法还包括:
18.根据权利要求1-6、8-17中任一项所述的方法,其特征在于,所述方法还包括:
19.根据权利要求18所述的方法,其特征在于,基于所述候选词设定所述预设类别的标签词,包括:
20.根据权利要求19所述的方法,其特征在于,对所述预设类别相应的候选词进行筛选,包括:
21.根据权利要求19或20所述的方法,其特征在于,对所述预设类别相应的候选词进行筛选,包括:
22.根据权利要求1-6、8-17中任一项所述的方法,其特征在于,所述方法包括:
23.一种恶意代码检测装置,其特征在于,应用于恶意代码检测系统,所述恶意代码检测系统存储有至少两个预设类别的代码相应的标签词,所述至少两个预设类别包含恶意类别和非恶意类别,所述标签词用于解释相应代码归属于相应预设类别的原因,所述装置包括:
24.一种计算机可读存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至权利要求22中任意一项所述的恶意代码检测方法。
25.一种电子设备,其特征在于,所述电子设备包括:
