[发明专利]恶意代码的识别方法、装置、设备及存储介质

说明书

本发明提供一种恶意代码的识别方法、装置、设备及存储介质。该方法包括获取网站的待识别网络流量数据；按照预设规则从该待识别网络流量数据中获取可疑代码；将该可疑代码输入代码识别模型中获得该可疑代码的识别结果；该识别结果为恶意代码、正常代码或无法识别中的一种；若该识别结果为无法识别，则将该可疑代码与备份代码进行比对，该备份代码为该网站的源码；若该备份代码中不存在该可疑代码，则将该可疑代码确定为恶意代码。该方法提高了恶意代码识别的准确率。

技术领域

本发明涉及恶意代码检测技术，尤其涉及一种恶意代码的识别方法、装置、设备及存储介质。

背景技术

随着互联网的飞速发展，各种网站在人们的日常生活和工作中扮演重要的角色，人们在享受互联网带来的便利的同时，也经受了各种网络安全问题的困扰。例如，黑客在网页中插入恶意代码来获取用户的个人信息、劫持用户访问或者对用户进行监听等，给人们带来极大的损失。

目前，恶意代码的识别主要是依靠与已知的恶意代码库进行比对的方式，将待检测文件与恶意代码库中的恶意代码进行比对来判断此待检测文件是否被恶意代码感染。

这种方式中要求有足够强大的恶意代码库，若恶意代码库不完善，则容易导致恶意代码漏报。

发明内容

本发明提供一种恶意代码的识别方法、装置、设备及存储介质，以提高恶意代码识别的准确率。

第一方面，本发明提供一种恶意代码的识别方法，包括：

获取网站的待识别网络流量数据；

按照预设规则从所述待识别网络流量数据中获取可疑代码；

将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果；所述识别结果为恶意代码、正常代码或无法识别中的一种；

若所述识别结果为无法识别，则将所述可疑代码与备份代码进行比对，所述备份代码为所述网站的源码；

若所述备份代码中不存在所述可疑代码，则将所述可疑代码确定为恶意代码。

可选的，所述按照预设规则从所述待识别网络流量数据中获取可疑代码，包括：

将所述待识别网络流量数据与恶意代码库进行比对，所述恶意代码库中包括预设的恶意代码样本；

若所述待识别网络流量数据的部分或全部与所述恶意代码库中的任意恶意代码样本匹配，则将所述待识别网络流量数据的部分或全部确定为可疑代码。

可选的，所述按照预设规则从所述待识别网络流量数据中获取可疑代码，包括：

将所述待识别网络流量数据中的加密代码确定为可疑代码。

可选的，所述将所述可疑代码输入代码识别模型中获得所述可疑代码的识别结果，包括：

对所述可疑代码中的特征词汇进行标记得到标记值；

将所述标记值输入代码识别模型中获得所述可疑代码的识别结果。

可选的，所述将所述可疑代码与备份代码进行比对，包括：

确定所述可疑代码的文件名，按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。

可选的，当所述备份代码的索引中常用代码的排序在不常用代码之前时，所述按照所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对，包括：

将所述可疑代码的文件名输入代码分类模型，确定所述可疑代码的类型，所述类型包括常用代码或不常用代码；

根据所述可疑代码的类型以及所述备份代码的索引从所述备份代码中查找所述文件名对应的代码进行比对。