技术摘要：
一种恶意软件检测方法、装置及设备、存储介质，该恶意软件检测方法包括：将待测软件转换为图像；提取所述图像的特征信息；将所述特征信息通过预先训练的分类器模型进行处理，得到所述待测软件的检测结果。本实施例中，本实施例提供的方案，特征的提取效率要高于人工提  全部
背景技术：
随着互联网的发展，恶意软件已成为网络安全的主要威胁之一。恶意软件，也称为 恶意代码，恶意可执行文件，是指未经授权的情况下，在系统中进行安装、执行，以达到不正 当目的一类软件。目前逐渐产生出后门、特洛伊木马、蠕虫、僵尸程序等多种新型恶意代码 形态，给计算机与网络的安全带来了极大的挑战，使企业和用户蒙受了巨大的经济损失，严 重威胁国家的信息安全。 快速、准确地对恶意代码分类是防范恶意代码的关键之一；目前，恶意代码分类主 要由本领域技术人员根据经验对恶意软件的特征码进行提取分析，当恶意软件的样本数多 时，分析过程繁琐，效率低，且存在评判标准不统一的问题。
技术实现要素：
本申请实施例提供了一种恶意软件检测方法、装置及设备、存储介质，实现恶意软 件的检测。 本申请提供了一种恶意软件检测方法，包括： 将待测软件转换为图像； 提取所述图像的特征信息； 将所述特征信息通过预先训练的分类器模型进行处理，得到所述待测软件的检测 结果。 在一示例性实施例中，所述将待测软件转换为图像包括：将所述待测软件使用二 进制转灰度图像算法转换为二维图像。 在一示例性实施例中，所述特征信息包括以下至少之一：所述图像的大小、所述图 像的全局灰度均值、所述图像的全局灰度标准差、所述图像的局部特征信息；其中，所述局 部特征信息包括所述图像的部分区域的特征信息。 在一示例性实施例中，所述局部特征信息包括以下至少之一：分区k的灰度均值 pmuk，分区k的灰度标准差psik，k＝1～K，所有pmuk的均值mean(pmu)，所有pmuk的标准差std (pmu)，所有pmuk的极大值，所有pmuk的极大值所在分区，所有pmuk的极小值，所有pmuk的极 小值所在分区，所有psik的均值mean(psi)，所有psik的标准差std(psi)，所有psik的极大 值，所有psik的极大值所在分区，所有psik的极小值，所有psik的极小值所在分区、pmuk中小 于mean(pmu)-3*std(pmu)的所有值的均值，pmuk中小于mean(pmu)-3*std(pmu)的所有值的 标准差，pmuk中大于mean(pmu) 3*std(pmu)的所有值的均值、pmuk中大于mean(pmu) 3*std (pmu)的所有值的标准差，psik中小于mean(psi)-3*std(psi)的所有值的均值、psik中小于 mean(psi)-3*std(psi)的所有值的标准差，psik中大于mean(psi) 3*std(psi)的所有值的 均值、psik中大于mean(psi) 3*std(psi)的所有值的标准差，其中，所述图像以预设滑动步 4 CN 111581640 A 说　明　书 2/7 页 长从上至下划分为K个分区，每个分区包括n行，所述K>1，n小于所述图像的总行数。 在一示例性实施例中，所述n为3，所述预设滑动步长为一行。 在一示例性实施例中，所述分类器模型基于随机森林算法生成。 本申请实施例提供一种恶意软件检测装置，包括： 训练模块，配置为训练得到分类器模型； 转换模块，配置为将待测软件转换为图像； 特征提取模块，配置为提取所述图像的特征信息； 检测模块，配置为将所述特征信息通过所述分类器模型进行处理，得到所述待测 软件的检测结果。 在一示例性实施例中，所述特征信息包括以下至少之一：所述图像的大小，所述图 像的全局灰度均值，所述图像的全局灰度标准差，分区k的灰度均值pmuk，分区k的灰度标准 差psik，k＝1～K，所有pmuk的均值mean(pmu)，所有pmuk的标准差std(pmu)，所有pmuk的极大 值，所有pmuk的极大值所在分区，所有pmuk的极小值，所有pmuk的极小值所在分区，所有psik 的均值mean(psi)，所有psik的标准差std(psi)，所有psik的极大值，所有psik的极大值所在 分区，所有psik的极小值，所有psik的极小值所在分区、pmuk中小于mean(pmu)-3*std(pmu) 的所有值的均值，pmuk中小于mean(pmu)-3*std(pmu)的所有值的标准差，pmuk中大于mean (pmu) 3*std(pmu)的所有值的均值、pmuk中大于mean(pmu) 3*std(pmu)的所有值的标准 差，psik中小于mean(psi)-3*std(psi)的所有值的均值、psik中小于mean(psi)-3*std(psi) 的所有值的标准差，psik中大于mean(psi) 3*std(psi)的所有值的均值、psik中大于mean (psi) 3*std(psi)的所有值的标准差，其中，所述图像以预设滑动步长从上至下划分为K个 分区，每个分区包括n行，所述K>1，n小于所述图像的总行数。 本申请实施例提供一种恶意软件检测设备，包括存储器和处理器，所述存储器存 储有程序，所述程序在被所述处理器读取执行时，实现上述恶意软件检测方法。 本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一 个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现上述恶意 软件检测方法。 与相关技术相比，本申请实施例提供一种恶意软件检测方法，包括：将待测软件转 换为图像；提取所述图像的特征信息；将所述特征信息通过预先训练的分类器模型进行处 理，得到所述待测软件的检测结果。本实施例中，将待测软件转化为图像数据，自动提取图 像的特征，使用训练好的模型进行待测软件的检测，本实施例提供的方案，其特征的提取效 率要高于人工提取，并使用训练得到的分类器模型，训练出的模型能够识别未知和变种的 恶意软件，执行效率要高于基于行为的恶意软件检测方法。 本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变 得显而易见，或者通过实施本申请而了解。本申请的其他优点可通过在说明书以及附图中 所描述的方案来实现和获得。 附图说明 附图用来提供对本申请技术方案的理解，并且构成说明书的一部分，与本申请的 实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。 5 CN 111581640 A 说　明　书 3/7 页 图1为本申请一实施例提供的恶意软件检测方法流程图； 图2为本申请一实施例提供的待测软件转换为图像的示意图； 图3为本申请一实施例提供的分类器模型训练方法流程图； 图4为本申请一实施例提供的恶意软件检测装置框图； 图5为本申请一实施例提供的恶意软件检测设备框图； 图6为本申请一实施例提供的计算机可读存储介质框图。