2024年4月20日发(作者：windows10升级专业版密钥)

(19)中华人民共和国国家知识产权局

(12)发明专利申请

(10)申请公布号

CN 112257757 A

(43)申请公布日

2021.01.22

(21)申请号 2.6

(22)申请日 2020.09.27

(71)申请人 北京锐服信科技有限公司

地址 100000 北京市西城区新兴东巷15号

10号楼5层501

(72)发明人 弓睿智　李林　

(74)专利代理机构 广东高端专利代理事务所

(特殊普通合伙) 44346

代理人 刘广新

(51).

G06K

9/62

(2006.01)

G06N

3/04

(2006.01)

G06N

3/08

(2006.01)

G06F

21/56

(2013.01)

权利要求书2页 说明书7页 附图2页

C

N

1

1

2

2

5

7

7

5

7

A

(54)发明名称

一种基于深度学习的恶意样本检测方法及

系统

(57)摘要

公开本发明实施例涉及网络安全技术领域，

了一种基于深度学习的恶意样本检测方法及系

统，该方法包括：将样本数据转换为二维矩阵数

据；采用CNN训练二维矩阵数据，得到全连接层；

对全连接层进行特征分类，得到特征分类模型；

基于特征分类模型进行恶意样本检测。本发明实

施例采用卷积神经网络对构造的正常样本及恶

意样本的样本数据进行训练，得到可明确鉴别正

常样本与恶意样本的特征分类模型，从而摒弃了

传统的鉴定正常样本并对正常样本放行的方式，

更为准确地检测出恶意样本，在确保了安全性的

前提下提高了检测准确性。

CN 112257757 A

权　利　要　求　书

1/2页

1.一种基于深度学习的恶意样本检测方法，其特征在于，所述方法包括：

将样本数据转换为二维矩阵数据；

采用CNN(Convolutional Neural Networks，卷积神经网络)训练所述二维矩阵数据，

得到全连接层；

对所述全连接层进行特征分类，得到特征分类模型；

基于所述特征分类模型进行恶意样本检测。

2.根据权利要求1所述的方法，其特征在于，在所述将样本数据转换为二维矩阵数据之

前，所述方法还包括：

在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

将所述动态行为报告转换为文本文档并提取有效字段，去重得到所述动态行为文本；

为所述动态行为文本中的每一动态行为构造名称及序号，得到所述样本数据。

3.根据权利要求2所述的方法，其特征在于，所述将样本数据转换为二维矩阵数据，包

括：

采用预设长度的向量表示所述动态行为词库中的每一动态行为的名称；

综合所述每一动态行为的序号与所述每一动态行为的向量构造二维矩阵，得到二维矩

阵数据。

4.根据权利要求1所述的方法，其特征在于，所述采用CNN训练所述二维矩阵数据，得到

全连接层，包括：

采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

取每一所述二维矩阵数据对应的列向量中的最大值作为每一所述二维矩阵数据的特

征值；

连接每一所述二维矩阵数据的特征值得到全连接层。

5.一种基于深度学习的恶意样本检测系统，其特征在于，所述系统包括：

矩阵转换单元，用于将样本数据转换为二维矩阵数据；

数据训练单元，用于采用CNN训练所述二维矩阵数据，得到全连接层；

特征分类单元，用于对所述全连接层进行特征分类，得到特征分类模型；

样本检测单元，用于基于所述特征分类模型进行恶意样本检测。

6.根据权利要求5所述的系统，其特征在于，所述系统还包括：

样本运行单元，用于在所述矩阵转换单元将样本数据转换为二维矩阵数据之前，在安

全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

文本生成单元，用于将所述动态行为报告转换为文本文档并提取有效字段，去重得到

所述动态行为文本；

数据构造单元，用于为所述动态行为文本中的每一动态行为构造名称及序号，得到所

述样本数据。

7.根据权利要求6所述的系统，其特征在于，所述矩阵转换单元，包括：

向量表征子单元，用于采用预设长度的向量表示所述动态行为词库中的每一动态行为

的名称；

矩阵构造子单元，用于综合所述每一动态行为的序号与所述每一动态行为的向量构造

二维矩阵，得到二维矩阵数据。

2

CN 112257757 A

权　利　要　求　书

2/2页

8.根据权利要求5所述的系统，其特征在于，所述数据训练单元，包括：

卷积子单元，用于采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

特征取值子单元，用于取每一所述二维矩阵数据对应的列向量中的最大值作为每一所

述二维矩阵数据的特征值；

特征连接子单元，用于连接每一所述二维矩阵数据的特征值得到全连接层。

9.根据权利要求5～8所述的基于深度学习的恶意样本检测系统，其特征在于，所述系

统还包括：

存储有可执行程序代码的存储器；

与所述存储器耦合的处理器；

所述处理器调用所述存储器中存储的所述可执行程序代码，执行权利要求1～4任一项

所述的一种基于深度学习的恶意样本检测方法。

10.一种计算机可读存储介质，其存储计算机程序，其中，所述计算机程序使得计算机

执行权利要求1～4任一项所述的一种多基于深度学习的恶意样本检测方法。

3

CN 112257757 A

说　明　书

一种基于深度学习的恶意样本检测方法及系统

1/7页

技术领域

[0001]

本发明涉及网络安全技术领域，尤其涉及一种基于深度学习的恶意样本检测方法

及系统。

背景技术

[0002]

在网络访问中，相对于数据量巨大的正常访问流量，与网络入侵相关的恶意样本

数据量稀少，这使得网络安全工作难以从恶意样本本身入手，往往是通过分析大量正常样

本建立正常样本模型，将与正常样本模型不符的样本视为恶意样本来作为恶意样本检测手

段。这一方法对正常样本设定了较多的限制条件，可能将部分较为特殊的正常样本误检测

为恶意样本，安全性有余，但准确性不足。

发明内容

[0003]

本发明实施例公开一种基于深度学习的恶意样本检测方法及系统，能从恶意样本

本身入手，通过卷积神经网络对样本数据进行训练，得到可明确鉴别正常样本与恶意样本

的特征分类模型，从而摒弃了传统的鉴定正常样本并对正常样本放行的方式，更为准确地

检测出恶意样本，在确保了安全性的前提下提高了检测准确性。

[0004]

本发明实施例第一方面公开一种基于深度学习的恶意样本检测方法，所述方法包

括：

[0005]

将样本数据转换为二维矩阵数据；

[0006]

采用CNN(Convolutional Neural Networks，卷积神经网络)训练所述二维矩阵数

据，得到全连接层；

[0007]

对所述全连接层进行特征分类，得到特征分类模型；

[0008]

基于所述特征分类模型进行恶意样本检测。

[0009]

作为一种可选的实施方式，在本发明实施例第一方面中，在所述将样本数据转换

为二维矩阵数据之前，所述方法还包括：

[0010]

在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

[0011]

将所述动态行为报告转换为文本文档并提取有效字段，去重得到所述动态行为文

本；

[0012]

为所述动态行为文本中的每一动态行为构造名称及序号，得到所述样本数据。

[0013]

作为一种可选的实施方式，在本发明实施例第一方面中，所述将样本数据转换为

二维矩阵数据，包括：

[0014]

采用预设长度的向量表示所述动态行为词库中的每一动态行为的名称；

[0015]

综合所述每一动态行为的序号与所述每一动态行为的向量构造二维矩阵，得到二

维矩阵数据。

[0016]

作为一种可选的实施方式，在本发明实施例第一方面中，所述采用CNN训练所述二

维矩阵数据，得到全连接层，包括：

4

CN 112257757 A

[0017]

说　明　书

2/7页

采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

[0018]

取每一所述二维矩阵数据对应的列向量中的最大值作为每一所述二维矩阵数据

的特征值；

[0019]

连接每一所述二维矩阵数据的特征值得到全连接层。

[0020]

本发明实施例第二方面公开一种恶意样本检测系统，所述恶意样本检测系统包

括：

[0021]

矩阵转换单元，用于将样本数据转换为二维矩阵数据；

[0022]

数据训练单元，用于采用CNN训练所述二维矩阵数据，得到全连接层；

[0023]

特征分类单元，用于对所述全连接层进行特征分类，得到特征分类模型；

[0024]

样本检测单元，用于基于所述特征分类模型进行恶意样本检测。

[0025]

作为一种可选的实施方式，在本发明实施例第二方面中，所述系统还包括：

[0026]

样本运行单元，用于在所述矩阵转换单元将样本数据转换为二维矩阵数据之前，

在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；

[0027]

文本生成单元，用于将所述动态行为报告转换为文本文档并提取有效字段，去重

得到所述动态行为文本；

[0028]

数据构造单元，用于为所述动态行为文本中的每一动态行为构造名称及序号，得

到所述样本数据。

[0029]

作为一种可选的实施方式，在本发明实施例第二方面中，所述矩阵转换单元，包

括：

[0030]

向量表征子单元，用于采用预设长度的向量表示所述动态行为词库中的每一动态

行为的名称；

[0031]

矩阵构造子单元，用于综合所述每一动态行为的序号与所述每一动态行为的向量

构造二维矩阵，得到二维矩阵数据。

[0032]

作为一种可选的实施方式，在本发明实施例第二方面中，所述数据训练单元，包

括：

[0033]

卷积子单元，用于采用多卷积核对所述二维矩阵数据进行卷积，得到列向量；

[0034]

特征取值子单元，用于取每一所述二维矩阵数据对应的列向量中的最大值作为每

一所述二维矩阵数据的特征值；

[0035]

特征连接子单元，用于连接每一所述二维矩阵数据的特征值得到全连接层。

[0036]

本发明实施例第三方面公开一种恶意样本检测系统，包括：

[0037]

存储有可执行程序代码的存储器；

[0038]

与所述存储器耦合的处理器；

[0039]

所述处理器调用所述存储器中存储的所述可执行程序代码，执行本发明实施例第

一方面公开的一种基于深度学习的恶意样本检测方法。

[0040]

本发明实施例第四方面公开一种计算机可读存储介质，其存储计算机程序，其中，

所述计算机程序使得计算机执行本发明实施例第一方面公开的一种基于深度学习的恶意

样本检测方法。

[0041]

本发明实施例第五方面公开一种计算机程序产品，当所述计算机程序产品在计算

机上运行时，使得所述计算机执行第一方面的任意一种方法的部分或全部步骤。

5

CN 112257757 A

[0042]

说　明　书

3/7页

本发明实施例第六方面公开一种应用发布平台，所述应用发布平台用于发布计算

机程序产品，其中，当所述计算机程序产品在计算机上运行时，使得所述计算机执行第一方

面的任意一种方法的部分或全部步骤。

[0043]

与现有技术相比，本发明实施例具有以下有益效果：

[0044]

本发明实施例中，将样本数据转换为二维矩阵数据；采用CNN训练二维矩阵数据，

得到全连接层；对全连接层进行特征分类，得到特征分类模型；基于特征分类模型进行恶意

样本检测。本发明实施例采用卷积神经网络对构造的正常样本及恶意样本的样本数据进行

训练，得到可明确鉴别正常样本与恶意样本的特征分类模型，从而摒弃了传统的鉴定正常

样本并对正常样本放行的方式，更为准确地检测出恶意样本，在确保了安全性的前提下提

高了检测准确性。

附图说明

[0045]

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的

附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领

域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附

图。

[0046]

图1是本发明实施例公开的一种基于深度学习的恶意样本检测方法的流程示意

图；

[0047]

图2是本发明实施例公开的一种恶意样本检测系统的结构示意图；

[0048]

图3是本发明实施例公开的另一种恶意样本检测系统的结构示意图。

具体实施方式

[0049]

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完

整地描述，显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本

发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实

施例，都属于本发明保护的范围。

[0050]

需要说明的是，本发明的说明书和权利要求书中的术语“第一”、“第二”、“第三”

“第四”等是用于区别不同的对象，而不是用于描述特定顺序。本发明实施例的术语“包括”

和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单

元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没

有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

[0051]

本发明实施例公开了一种基于深度学习的恶意样本检测方法及系统，在确保了安

全性的前提下提高了对恶意样本的检测准确性。以下结合附图进行详细描述。

[0052]

实施例一

[0053]

请参阅图1，图1是本发明实施例公开的一种基于深度学习的恶意样本检测方法的

流程示意图。如图1所示，该基于深度学习的恶意样本检测方法可以包括以下步骤。

[0054]

101、将样本数据转换为二维矩阵数据。

[0055]

本发明实施例中，动态行为样本在安全分析沙箱中运行得到json(JavaScript

Object Notation，JS对象简谱)格式的样本数据。

6

CN 112257757 A

[0056]

说　明　书

4/7页

作为一种可选的实施方式，在将样本数据转换为二维矩阵数据之前，在安全分析

沙箱中构造并运行若干动态行为样本，获得动态行为报告；将动态行为报告转换为文本文

档并提取有效字段，去重得到动态行为文本；为动态行为文本中的每一动态行为构造名称

及序号，得到样本数据。具体地，构造若干动态行为样本，并根据(白样本、特洛伊、蠕虫、后

门、病毒、广告、未知类型)的类型将上述动态行为样本分类放置于对应类型的文件夹中运

行，在此采用Cuckoo沙箱轮流将各类型的动态行为样本读取至任务列表中运行，并调用API

(Application Programming Interface，应用程序编程接口)获取当前沙箱的运行状态，如

果运行状态为“reported”，则表明当前类型的动态行为样本运行完成且Cuckoo沙箱生成了

动态行为报告，调用API获取动态行为报告，以动态行为报告的MD5数值作为其名称，将动态

行为报告以json格式进行保存，得到各类型动态行为样本的动态行为报告。进而，将每一动

态行为报告转换为文本文档格式，对其中的有效字段即动态行为样本所调用的API信息进

行提取，并对重复调用的API信息进行去重处理，可得到简略的动态行为文本；再对各类型

动态行为样本对应的动态行为文本中的每一动态行为(即API调用信息)构造对应的名称及

序号，则得到样本数据。可见，通过对动态行为报告进行格式转换并提取有效信息及去重，

可得到简略的样本数据，从而将针对动态行为样本的行为检测问题简化为简单的文本分类

问题，从数据源头上简化了样本行为检测的工作，提高了检测效率。

[0057]

本发明实施例中，在提取得到数据样本的基础上，可对数据样本进行训练前处理。

[0058]

作为一种可选的实施方式，采用预设长度的向量表示动态行为词库中的每一动态

行为的名称；综合每一动态行为的序号与每一动态行为的向量构造二维矩阵，得到二维矩

阵数据。具体地，将数据样本转换为可供CNN直接进行训练的矩阵数据，在此根据动态行为

的序号与名称构建二维矩阵，将每一动态行为(即API调用信息)的名称用预设长度的向量

进行表示，并依据动态行为的向量及对应的序号构建得到二维矩阵，通过综合每一动态行

为对应的二维矩阵，得到二维矩阵数据。

[0059]

102、采用CNN训练二维矩阵数据，得到全连接层。

[0060]

本发明实施例中，卷积神经网络对二维矩阵数据进行训练，将二维矩阵数据转换

为以特征进行表征的全连接层形式。

[0061]

作为一种可选的实施方式，采用多卷积核对二维矩阵数据进行卷积，得到列向量；

取每一所二维矩阵数据对应的列向量中的最大值作为每一二维矩阵数据的特征值；连接每

一二维矩阵数据的特征值得到全连接层。具体地，选取多个3*3的卷积核对二维矩阵数据进

行卷积，将二维矩阵数据卷积成为一维的列向量，并取每一二维矩阵数据中列向量的最大

值(即该二维矩阵数据最明显的特征点)作为其特征值，依序将每一特征值进行连接，则得

到对应于样本数据的全连接层，全连接层数据以csv格式进行储存，对样本数据的隐性特征

进行映射，便于对样本数据进行分类。

[0062]

103、对全连接层进行特征分类，得到特征分类模型。

[0063]

本发明实施例中，采用Softmax逻辑回归对全连接层中各类特征的权重进行统计，

并根据各类特征的权重比值计算出各类特征对应的概率值，即各类样本数据所对应的特征

及其概率分布，从而构建得到对应于样本数据的特征分类模型。

[0064]

104、基于特征分类模型进行恶意样本检测。

[0065]

本发明实施例中，对于接收到的未知动态行为样本，在特征分类模型中对其特征

7

CN 112257757 A

说　明　书

5/7页

进行检索分析，即可便捷地对未知动态行为样本进行分类，进而根据其分类类别检测其是

否为恶意样本。从而摒弃了通过正常样本模型对正常样本放行的做法，直接对进行恶意样

本进行检测，避免了对部分正常样本的误拦截，在确保安全性的前提下，检测更为准确。

[0066]

本发明实施例中，独立于卷积神经网络所构造的特征分类模型之外，对同一批样

本数据采用XGBoost算法构造另一分类模型，采用双重分类模型对未知动态行为样本进行

检测与复检。

[0067]

作为一种可选的实施方式，在采用安全分析沙箱运行动态行为样本，处理得到样

本数据之前，采用VirtualTotal分析出动态行为样本的md5值并生成带有md5标签的解析报

告，通过读取解析报告，将动态行为样本按照md5标签进行分类存储，从而得到带有标签的

样本数据；设定多层次分支节点，将样本数据按照标签特征进行迭代分类，得到若干特征聚

类，计算每一样本数据的拟合预测分数，取每一特征聚类中拟合预测分数最高的样本数据

的类型进行分类训练，得到预测分类模型；进而在特征分类模型对未知动态行为样本进行

检测的同时，采用预测分类模型对未知动态行为样本进行检测，在特征分类模型及预测分

类模型的检测结果一致时，再对检测得到的正常样本放行，或者对检测得到的恶意样本进

行拦截，从而进一步提高了检测准确率。

[0068]

可见，实施图1所描述的基于深度学习的恶意样本检测方法，能从恶意样本本身入

手，通过卷积神经网络对样本数据进行训练，得到可明确鉴别正常样本与恶意样本的特征

分类模型，从而摒弃了传统的鉴定正常样本并对正常样本放行的方式，更为准确地检测出

恶意样本，在确保了安全性的前提下提高了检测准确性。

[0069]

实施例二

[0070]

请参阅图2，图2本发明实施例公开的一种恶意样本检测系统的结构示意图。如图2

所示，该恶意样本检测系统可以包括：

[0071]

样本运行单元201，用于在安全分析沙箱中构造并运行若干动态行为样本，获得动

态行为报告；

[0072]

文本生成单元202，用于将动态行为报告转换为文本文档并提取有效字段，去重得

到动态行为文本；

[0073]

数据构造单元203，用于为动态行为文本中的每一动态行为构造名称及序号，得到

样本数据；

[0074]

矩阵转换单元204，用于将样本数据转换为二维矩阵数据；

[0075]

数据训练单元205，用于采用CNN训练二维矩阵数据，得到全连接层；

[0076]

特征分类单元206，用于对全连接层进行特征分类，得到特征分类模型；

[0077]

样本检测单元207，用于基于特征分类模型进行恶意样本检测。

[0078]

其中，矩阵转换单元204包括：

[0079]

向量表征子单元2041，用于采用预设长度的向量表示动态行为词库中的每一动态

行为的名称；

[0080]

矩阵构造子单元2042，用于综合每一动态行为的序号与每一动态行为的向量构造

二维矩阵，得到二维矩阵数据。

[0081]

以及，数据训练单元205包括：

[0082]

卷积子单元2051，用于采用多卷积核对二维矩阵数据进行卷积，得到列向量；

8

CN 112257757 A

[0083]

说　明　书

6/7页

特征取值子单元2052，用于取每一二维矩阵数据对应的列向量中的最大值作为每

一二维矩阵数据的特征值；

[0084]

特征连接子单元2053，用于连接每一二维矩阵数据的特征值得到全连接层。

[0085]

作为一种可选的实施方式，在将样本数据转换为二维矩阵数据之前，样本运行单

元201在安全分析沙箱中构造并运行若干动态行为样本，获得动态行为报告；文本生成单元

202将动态行为报告转换为文本文档并提取有效字段，去重得到动态行为文本；数据构造单

元203为动态行为文本中的每一动态行为构造名称及序号，得到样本数据。具体地，样本运

行单元201构造若干动态行为样本，并根据(白样本、特洛伊、蠕虫、后门、病毒、广告、未知类

型)的类型将上述动态行为样本分类放置于对应类型的文件夹中运行，在此采用Cuckoo沙

箱轮流将各类型的动态行为样本读取至任务列表中运行，并调用API(Application

Programming Interface，应用程序编程接口)获取当前沙箱的运行状态，如果运行状态为

“reported”，则表明当前类型的动态行为样本运行完成且Cuckoo沙箱生成了动态行为报

告，调用API获取动态行为报告，以动态行为报告的MD5数值作为其名称，将动态行为报告以

json格式进行保存，得到各类型动态行为样本的动态行为报告。进而，文本生成单元202将

每一动态行为报告转换为文本文档格式，对其中的有效字段即动态行为样本所调用的API

信息进行提取，并对重复调用的API信息进行去重处理，可得到简略的动态行为文本；数据

构造单元203再对各类型动态行为样本对应的动态行为文本中的每一动态行为(即API调用

信息)构造对应的名称及序号，则得到样本数据。可见，通过对动态行为报告进行格式转换

并提取有效信息及去重，可得到简略的样本数据，从而将针对动态行为样本的行为检测问

题简化为简单的文本分类问题，从数据源头上简化了样本行为检测的工作，提高了检测效

率。

[0086]

作为一种可选的实施方式，向量表征子单元2041采用预设长度的向量表示动态行

为词库中的每一动态行为的名称；矩阵构造子单元2042综合每一动态行为的序号与每一动

态行为的向量构造二维矩阵，得到二维矩阵数据。具体地，将数据样本转换为可供CNN直接

进行训练的矩阵数据，在此根据动态行为的序号与名称构建二维矩阵，向量表征子单元

2041将每一动态行为(即API调用信息)的名称用预设长度的向量进行表示，并依据动态行

为的向量及对应的序号构建得到二维矩阵，矩阵构造子单元2042通过综合每一动态行为对

应的二维矩阵，得到二维矩阵数据。

[0087]

作为一种可选的实施方式，卷积子单元2051采用多卷积核对二维矩阵数据进行卷

积，得到列向量；特征提取子单元2052取每一所二维矩阵数据对应的列向量中的最大值作

为每一二维矩阵数据的特征值；特征连接子单元2053连接每一二维矩阵数据的特征值得到

全连接层。具体地，卷积子单元2051选取多个3*3的卷积核对二维矩阵数据进行卷积，将二

维矩阵数据卷积成为一维的列向量，特征提取子单元2052取每一二维矩阵数据中列向量的

最大值(即该二维矩阵数据最明显的特征点)作为其特征值，特征连接子单元2053依序将每

一特征值进行连接，则得到对应于样本数据的全连接层，全连接层数据以csv格式进行储

存，对样本数据的隐性特征进行映射，便于对样本数据进行分类。

[0088]

作为一种可选的实施方式，特征分类单元206采用Softmax逻辑回归对全连接层中

各类特征的权重进行统计，并根据各类特征的权重比值计算出各类特征对应的概率值，即

各类样本数据所对应的特征及其概率分布，从而构建得到对应于样本数据的特征分类模

9

CN 112257757 A

说　明　书

7/7页

型。

作为一种可选的实施方式，对于接收到的未知动态行为样本，样本检测单元207在

特征分类模型中对其特征进行检索分析，即可便捷地对未知动态行为样本进行分类，进而

根据其分类类别检测其是否为恶意样本。从而摒弃了通过正常样本模型对正常样本放行的

做法，直接对进行恶意样本进行检测，避免了对部分正常样本的误拦截，在确保安全性的前

提下，检测更为准确。

[0090]

实施例三

[0091]

请参阅图3，图3是本发明实施例公开的另一种恶意样本检测系统的结构示意图。

如图3所示，该恶意样本检测系统可以包括：

[0092]

存储有可执行程序代码的存储器301；

[0093]

与存储器301耦合的处理器302；

[0094]

其中，处理器302调用存储器301中存储的可执行程序代码，执行图1的一种基于深

度学习的恶意样本检测方法。

[0095]

本发明实施例公开一种计算机可读存储介质，其存储计算机程序，其中，该计算机

程序使得计算机执行图1的一种基于深度学习的恶意样本检测方法。

[0096]

本发明实施例还公开一种计算机程序产品，其中，当计算机程序产品在计算机上

运行时，使得计算机执行如以上各方法实施例中的方法的部分或全部步骤。

[0097]

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可

以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储

介质包括只读存储器(Read-Only Memory，ROM)、随机存储器(Random Access Memory，

RAM)、可编程只读存储器(Programmable Read-only Memory，PROM)、可擦除可编程只读存

储器(Erasable Programmable Read Only Memory，EPROM)、一次可编程只读存储器(One-

time Programmable Read-Only Memory，OTPROM)、电子抹除式可复写只读存储器

(Electrically-Erasable Programmable Read-Only Memory，EEPROM)、只读光盘(Compact

Disc Read-Only Memory，CD-ROM)或其他光盘存储器、磁盘存储器、磁带存储器、或者能够

用于携带或存储数据的计算机可读的任何其他介质。

[0098]

以上对本发明实施例公开的一种基于深度学习的恶意样本检测方法及系统进行

了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例

的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，

依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内

容不应理解为对本发明的限制。

[0089]

10

CN 112257757 A

说　明　书　附　图

1/2页

图1

11

CN 112257757 A

说　明　书　附　图

2/2页

图2

图3

12