CN111680297B 基于人工智能的脚本文件的检测方法、装置及电子设备 （腾讯科技（深圳）有限公司）

本发明实施例提出了基于人工智能的脚本有效地检测出待测脚本文件的类型是否为预设2对所述原始样本数据进行处理，得到所述待测脚本文件的特征信括所述待测脚本文件的动态特征序列和静态特征序列；通过神经网络模型对所述动态特征序列进行训练，得到动态特征输若所述融合输出值大于或者等于所述第一预设阈值，则判断所若所述融合输出值小于所述第一预设阈值，则判断所述待测脚获取目标操作码序列以及目标操作码序列对应的参数信息，所述将所述目标操作码序列以及所述参数特征组合，得到所述待测脚本文获取所述待测脚本文件的静态统计信息，所述静态统计信息对所述静态统计信息进行归一化处理以及标准化处理，得到所述待3获取所述待测脚本文件的样本操作码序列，所述样本操作码序列包含多个样本操作统计各个所述样本操作码在所述样本操作码序列中出现的次通过词嵌入模型对所述动态特征序列进行训练，得到所述动态特征通过循环神经网络模型对所述动态特征输入向量进行训练，得到所述所述通过神经网络模型对所述动态特征序列进行训练，得到动态特征通过所述循环神经网络模型对所述动态特征序列进行训练，得到所述通过所述前向反馈神经网络模型对所述静态特征序列进行训练，得解析模块，用于获取待测脚本文件，对所述待测脚本文件进行解析述特征信息包括所述待测脚本文件的动态特征序列和静态特征序列；训练模块，用于通过神经网络模型对所述动态特征和所述静态特征输出向量进行全连接权重矩阵融合，得到所述待测脚本文件的检测结果，所述检测结果用于指示所述待测脚本文件的类型是否为4符特征库或者哈希值库用来对于已知恶意样本的特征和哈希进行检测。现有技术的方式，可以有效地检测出待测脚本文件的类型是否为预设类型，例如预设类型为恶意工具类型，提高了识别恶意工具的脚本文件的效率与精括所述待测脚本文件的动态特征序列和静态特征序列；结果用于指示所述待测脚本文件的类型是否为述特征信息包括所述待测脚本文件的动态特征序列和静态特征序列；5行上述基于人工智能的脚本文件的检测方法所涉[0018]图2是本发明实施例提供的一种基于人工智能的脚本文件的检测方法的流程示意[0026]图10是本发明实施例所提供的一种基于人工智能的脚本文件的检测装置的结构[0029]人工智能(ArtificialIntelligence,AI)是利用数字计算机或者数字计算机控6[0031]自然语言处理(NatureLanguageprocessing,NLP)是计算机科学领域与人工智[0034]因此本发明实施例提出一种基于人工智能的脚本文件的检测方法，该方法具体7式实现的用于输出PHP脚本生成的中间代码(即目标操作码序列)的扩展，它可以在一定程[0038]在一种实现方式中，预处理模块120可以包括动态特征预处理模块以及静态特征NeuralNetwork，RNN)训练模块130是基于词嵌入模型以及长短期记忆模型(Longshort[0040]在一种实现方式中，FNN(前向反馈神经网络)训练模块140，前向反馈神经网络[0041]在一种实现方式中，模型融合模块150接收RNN训练模块130输出的动态输出向量以及FNN训练模块140输出的静态特征输出向量，模型融合模块150通过全连接权重矩阵对8征信息包括待测脚本文件的动态特征序列和静态特征序列。个目标操作码的排列顺序可以是：按照目标操作码在样本操作码序列中出现的顺序依次排列；也可以是根据目标操作码在样本操作码序列中出现的次数的大小依次排列，具体可以为根据出现的次数由大到小依次排列，或者根据出现的次数由小到大依次排列；还可以是9获取目标操作码序列对应的参数信息是由于电子设备通过使用VLD引擎对待测脚本文件进电子设备基于关键字识别算法对“$0type”进行关键字提取，假设获取到的关键字为实施例提供的一种动态特征序列的示意图。操作码序列中出现的次数的大小依次排列，具体可以为根据出现的次数由大到小依次排选了例如样本操作码数量、样本代码分支数、样本文件长度、统一资源定位符(Uniform用于在待测脚本文件基本信息属性上区别恶意样本与可以根据给定的语料库，通过优化后的训练模型快速有效地将一个词语表达成向量形式，为自然语言处理领域的应用研究提供了新的工具，Word2vec依赖skip-grams或连续词袋变为其上下文环境所决定的词向量。因此每个关键词与不同的词的组合在动态特征序列中出现的概率分布是可以通过神经网络学习得到的，如图5所示，图5为本发明实施例所提供特征序列中各个词对应的词向量在动态特征序列中出现的概率分布，例如模型的输入为上下文环境所决定的词向量的概率分布，具体为P(SEND_VAR，RECV)、P(SEND_VAR，DO_[0075]具体来说，如图8所示，图8为本发明实施例提供的一种FNN训练模型的结构示意由若干神经单元组成，隐藏层中每一层通过矩阵计算并求和完成神经网络的线性计算部案的激活函数；为了防止过拟合情况的出现(即太贴近训练集的真实分布导致的测试集误[0080]在一种实现方式中，电子设备通过全连接权重矩阵对动态特征输出向量进行训[0081]具体来说，电子设备将不同数据通过不同模型提取出高维特征后进行特征拼最后对于它们训练出来的动态特征输出向量与静态特征输出向量通过同一个全连接的权据通过不同模型提取出高维特征后进行特征拼接之外，模型融合方式还可以包括但不限[0085]在一种实现方式中，电子设备还可以将不同数据特征放权重大于静态输出值所占的权重，例如动态输出值所占的权重为80静态输出值所占的设备每隔一个月对预设数据库中的数据，即恶意样本与非恶意样本的集合进行更新处理，更新处理的具体操作可以为在恶意样本与非恶意样本的集合中增加或者删除相应的恶意装置的结构示意图。该基于人工智能的脚本文件的检测装置用于执行图2对应的方法实施征信息包括所述待测脚本文件的动态特征序列和静态特征序列；[0102]将所述融合输出值与第一预设阈值进行比较，得到所述待测脚本文件的检测结[0103]在一种实现方式中，训练模块1002将所述融合输出值与征序列；提高了识别恶意工具的脚本文件的效率与精本文件的动态特征序列和静态特征序列；[0139]若融合输出值小于第一预设阈值，则判断待测脚本文件的类型为非恶意脚本类[0155]处理器1110通过神经网络模型对动态特征序列进行训练，得到动态特征输出向