一种基于软件功能、性能、数据安全的信息监理检测方法
阅读说明:本技术 一种基于软件功能、性能、数据安全的信息监理检测方法 (Information supervision detection method based on software function, performance and data security ) 是由 孙显红 于 2021-09-15 设计创作,主要内容包括:本发明公开了一种基于软件功能、性能、数据安全的信息监理检测方法,属于信息监理技术领域,包括如下步骤:获取目标软件的PE文件,将PE文件中未运行的软件代码和未被使用的字节或者字节段定位代码空隙,并提取代码空隙;通过预处理模块对采集的数据进行归类处理,并提取特征数据,进一步作为待检测数据;将待检测数据输入预先训练好的检测模型进行逐一对比分析;根据对比分析结果进行判定信息数据安全等级,并将存在安全隐患的参数进行分类定级,并将存在隐患的软件特征数据和结果反馈至检测模型进行训练提升;将被分析的软件名称、危险代码位置、安全缺陷等级记录存入数据库,并将分析结果进行显示。(The invention discloses an information supervision detection method based on software functions, performance and data safety, belonging to the technical field of information supervision and comprising the following steps: obtaining a PE file of target software, positioning code gaps of software codes which are not operated and unused bytes or byte segments in the PE file, and extracting the code gaps; classifying the collected data through a preprocessing module, extracting characteristic data and further using the characteristic data as data to be detected; inputting data to be detected into a pre-trained detection model for comparison and analysis one by one; judging the safety level of the information data according to the comparison and analysis result, classifying and grading the parameters with potential safety hazards, and feeding back the characteristic data and the result of the software with the potential safety hazards to a detection model for training and improvement; and storing the analyzed software name, the dangerous code position and the safety defect grade record into a database, and displaying the analysis result.)
技术领域
本发明涉及信息监理技术领域,具体涉及一种基于软件功能、性能、数据安全的信息监理检测方法。
背景技术
随着互联网技术的快速发展,各种软件在网络上传播迅速,恶意软件呈现指数级增长,恶意代码也同时出现了很多变种,给各种网络设备带来很大危害,且各种软件中存在的未运行代码常常夹杂大量子程序以及木马病毒,对数据安全存在巨大隐患,在云计算、大数据盛行的时代,很多公司业务运行都在网络环境中进行,网络设备中的恶意软件能够通过代码漏获悉数据信息,给信息监理带来巨大挑战,鉴于此,如何对软件进行检测从而判定网络安全是需要解决的技术问题。
发明内容
针对上述存在的技术不足,本发明的目的是提供一种基于软件功能、性能、数据安全的信息监理检测方法。
为解决上述技术问题,本发明采用如下技术方案:本发明提供一种基于软件功能、性能、数据安全的信息监理检测方法,包括如下步骤:
S1、获取目标软件的PE文件,将PE文件中未运行的软件代码和未被使用的字节或者字节段定位代码空隙,并提取代码空隙;
S2、通过预处理模块对采集的数据进行归类处理,并提取特征数据,进一步作为待检测数据;
S3、将待检测数据输入预先训练好的检测模型进行逐一对比分析;
S4、根据对比分析结果进行判定信息数据安全等级,并将存在安全隐患的参数进行分类定级,并将存在隐患的软件特征数据和结果反馈至检测模型进行训练提升;
S5、将被分析的软件名称、危险代码位置、安全缺陷等级记录存入数据库,并将分析结果进行显示。
优选的一种实施案例,步骤S1中,确定代码空隙的方法包括:获取所述PE文件中任意一节的开始位置和任意一节的有用内容大小,并根据任意一节代码的开始位置和任意一节的有用内容大小确定每节有用内容的结束位置,以每节有用内容的结束位置作为代码空隙的开始位置,从而确定代码空隙,将代码空隙的开始位置到下一个有用内容开始位置的代码数据大小作为代码空隙大小。
优选的一种实施案例,步骤S2中,预处理模块对采集的数据进行归类处理包括:代码空隙与对应软件编号、代码空隙的数据处理和特征值提取,
所述代码空隙与对应软件编号用于将存在代码空隙的软件进行编号并将代码空隙在软件PE文件中的位置进行编号,从而将数据源头进行定位,便于检测结果与采集的数据源进行有效对应;
所述代码空隙数据处理用于将代码空隙的软件代码从二进制文件转化为三维通道图像;
所述特征值提取用于提取代码空隙中的敏感参数。
优选的一种实施案例,所述代码空隙与对应软件编号的方法为:根据将PE文件中,代码空隙的开始位置的前后顺序进行排序,以软件代码的PE文件位置对代码空隙进行编号,并将软件的原始数据存储地址作为软件编号,将代码空隙编号与软件标号进行对应。
优选的一种实施案例,所述代码空隙的软件代码从二进制文件转化为三维通道图像的方法为:将代码空隙的代码数据转化为二进制文件,将每个十进制数值看作为一个像素点值,以生成像素点数据集,并根据所述像素点数据集构建三通道图像。
优选的一种实施案例,所述代码空隙中的敏感参数包括敏感函数参数、敏感字符串参数和敏感指针参数,所述敏感函数参数包括strcpy、fscanf、getwd、strncpy、strcat、strdup、sprintf、sqrt、log函数;所述敏感字符串参数包括“/”、“%”、“/=”、“%=”、len、abort、exit、assert、setjmp、longjmp、goto、break、continue、return、switch、for、while和do while;所述敏感指针参数包括malloc、new、HeapAlloc和NULL。
优选的一种实施案例,步骤S3中,所述检测模型的训练方法:对获取的软件代码进行标注得到含有标注信息的训练样本,利用多种不同类型存在安全隐患的软件和恶意代码转化为的三通道图像数据作为训练样本数据,采用BP算法训练单元进行学习训练卷积神经网格模型得到检测模型,并在训练中进行迭代更新直到模型收敛,以得到检测模型,并且采用Sigmoid函数作为人工神经网络的激活函数,并利用交叉熵损失函数计算待检测数据与样本数据的损失值,模型的训练过程为采用正则化的训练过程。
优选的一种实施案例,步骤S3中,对比分析过程为:利用余弦相似度算法以及对待检测数据和检测模型进行匹配运算,得到相应的标量数值,标量数值为待检测数据与检测模型相似度;若标量数值小于预设标量阈值,判断软件为安全软件,若标量数值大于预设阀值,判定软件存在数据安全隐患。
优选的一种实施案例,步骤S4中,信息数据安全等级根据待检测数据与检测模型相似度进行判定,相似度小于在5-10%为低隐患等级,相似度在10-20%为中危险等级,相似度大于20%为高危险等级,且在步骤S4中,通过人机界面引入专家知识评估,并且评估结果同步导入检测模型训练数据中,对检测模型进行提升。
优选的一种实施案例,步骤S1中,获取目标软件的PE文件通过数据采集模块进行;步骤S2通过预处理模块进行处理,步骤S3通过模型检测模块进行,步骤S4通过分析反馈模块进行,步骤S5通过显示模块和数据库模块进行,所述采集模块、预处理模块、模型检测模块、分析反馈模块均安装在装置壳内,所述装置壳上安装多个数据接口和数据插口,所述数据接口和数据插口通过数据线连接检测目标和人机界面。
本发明的有益效果在于:
1、通过获取目标软件的PE文件,将PE文件中未运行的软件代码和未被使用的字节或者字节段定位代码空隙,并提取代码空隙,从而提取软件代码中夹杂的子程序,并通过提取代码空隙中的敏感参数包括敏感函数参数、敏感字符串参数和敏感指针参数作为特征参数,实现对软件的全面检测;
2、通过将提取的代码文本转化为二进制文件,将每个十进制数值看作为一个像素点值,以生成像素点数据集,并根据像素点数据集构建三通道图像处理,并将处理后的数据与软件源数据存储位置进行对应编号,便于将检测结果与源代码软件进行快速对应,便于快速处理,减小数据泄露可能性;
3、通过对获取的软件代码进行标注得到含有标注信息的训练样本,利用多种不同类型存在安全隐患的软件和恶意代码转化为的三通道图像数据作为训练样本数据,采用BP算法训练单元进行学习训练卷积神经网格模型得到检测模型,通过余弦相似度算法以及对待检测数据和检测模型进行匹配运算,得到相应的标量数值,标量数值为待检测数据与检测模型相似度,根据待检测数据与检测模型相似度进行判定检测数据的危险程度,实现软件快速检测,提高信息监理效率,确保数据安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于软件功能、性能、数据安全的信息监理检测方法的示意图。
图2为本发明结构示意图。
附图标记说明:1、装置壳;2、数据接口;3、数据插口。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:如图1至图2所示,本发明提供了一种基于软件功能、性能、数据安全的信息监理检测方法,包括如下步骤:
S1、获取目标软件的PE文件,将PE文件中未运行的软件代码和未被使用的字节或者字节段定位代码空隙,并提取代码空隙;
S2、通过预处理模块对采集的数据进行归类处理,并提取特征数据,进一步作为待检测数据;
S3、将待检测数据输入预先训练好的检测模型进行逐一对比分析;
S4、根据对比分析结果进行判定信息数据安全等级,并将存在安全隐患的参数进行分类定级,并将存在隐患的软件特征数据和结果反馈至检测模型进行训练提升;
S5、将被分析的软件名称、危险代码位置、安全缺陷等级记录存入数据库,并将分析结果进行显示。
进一步的,步骤S1中,确定代码空隙的方法包括:获取PE文件中任意一节的开始位置和任意一节的有用内容大小,并根据任意一节代码的开始位置和任意一节的有用内容大小确定每节有用内容的结束位置,以每节有用内容的结束位置作为代码空隙的开始位置,从而确定代码空隙,将代码空隙的开始位置到下一个有用内容开始位置的代码数据大小作为代码空隙大小。
进一步的,步骤S2中,预处理模块对采集的数据进行归类处理包括:代码空隙与对应软件编号、代码空隙的数据处理和特征值提取,
代码空隙与对应软件编号用于将存在代码空隙的软件进行编号并将代码空隙在软件PE文件中的位置进行编号,从而将数据源头进行定位,便于检测结果与采集的数据源进行有效对应;
代码空隙数据处理用于将代码空隙的软件代码从二进制文件转化为三维通道图像;
特征值提取用于提取代码空隙中的敏感参数。
进一步的,代码空隙与对应软件编号的方法为:根据将PE文件中,代码空隙的开始位置的前后顺序进行排序,以软件代码的PE文件位置对代码空隙进行编号,并将软件的原始数据存储地址作为软件编号,将代码空隙编号与软件标号进行对应。
进一步的,代码空隙的软件代码从二进制文件转化为三维通道图像的方法为:将代码空隙的代码数据转化为二进制文件,将每个十进制数值看作为一个像素点值,以生成像素点数据集,并根据像素点数据集构建三通道图像。
进一步的,代码空隙中的敏感参数包括敏感函数参数、敏感字符串参数和敏感指针参数,敏感函数参数包括strcpy、fscanf、getwd、strncpy、strcat、strdup、sprintf、sqrt、log函数;敏感字符串参数包括“/”、“%”、“/=”、“%=”、len、abort、exit、assert、setjmp、longjmp、goto、break、continue、return、switch、for、while和dowhile;敏感指针参数包括malloc、new、HeapAlloc和NULL。
进一步的,步骤S3中,检测模型的训练方法:对获取的软件代码进行标注得到含有标注信息的训练样本,利用多种不同类型存在安全隐患的软件和恶意代码转化为的三通道图像数据作为训练样本数据,采用BP算法训练单元进行学习训练卷积神经网格模型得到检测模型,并在训练中进行迭代更新直到模型收敛,以得到检测模型,并且采用Sigmoid函数作为人工神经网络的激活函数,并利用交叉熵损失函数计算待检测数据与样本数据的损失值,模型的训练过程为采用正则化的训练过程。
进一步的,步骤S3中,对比分析过程为:利用余弦相似度算法以及对待检测数据和检测模型进行匹配运算,得到相应的标量数值,标量数值为待检测数据与检测模型相似度;若标量数值小于预设标量阈值,判断软件为安全软件,若标量数值大于预设阀值,判定软件存在数据安全隐患。
进一步的,步骤S4中,信息数据安全等级根据待检测数据与检测模型相似度进行判定,相似度小于在5-10%为低隐患等级,相似度在10-20%为中危险等级,相似度大于20%为高危险等级,且在步骤S4中,通过人机界面引入专家知识评估,并且评估结果同步导入检测模型训练数据中,对检测模型进行提升。
进一步的,步骤S1中,获取目标软件的PE文件通过数据采集模块进行;步骤S2通过预处理模块进行处理,步骤S3通过模型检测模块进行,步骤S4通过分析反馈模块进行,步骤S5通过显示模块和数据库模块进行,采集模块、预处理模块、模型检测模块、分析反馈模块均安装在装置壳1内,装置壳1上安装多个数据接口2和数据插口3,数据接口2和数据插口3通过数据线连接检测目标和人机界面。
使用时,通过获取目标软件的PE文件,将PE文件中未运行的软件代码和未被使用的字节或者字节段定位代码空隙,并提取代码空隙,从而提取软件代码中夹杂的子程序,并通过提取代码空隙中的敏感参数包括敏感函数参数、敏感字符串参数和敏感指针参数作为特征参数,通过这些参数引出子程序文本,通过将提取的代码文本转化为二进制文件,将每个十进制数值看作为一个像素点值,以生成像素点数据集,并根据像素点数据集构建三通道图像处理,并将处理后的数据与软件源数据存储位置进行对应编号,通过对获取的软件代码进行标注得到含有标注信息的训练样本,利用多种不同类型存在安全隐患的软件和恶意代码转化为的三通道图像数据作为训练样本数据,采用BP算法训练单元进行学习训练卷积神经网格模型得到检测模型,并在训练中进行迭代更新直到模型收敛,以得到检测模型,并且采用Sigmoid函数作为人工神经网络的激活函数,并利用交叉熵损失函数计算待检测数据与样本数据的损失值,模型的训练过程为采用正则化的训练过程,从而训练得到检测模型,通过余弦相似度算法以及对待检测数据和检测模型进行匹配运算,得到相应的标量数值,标量数值为待检测数据与检测模型相似度,根据待检测数据与检测模型相似度进行判定检测数据的危险程度,相似度小于在5-10%为低隐患等级,相似度在10-20%为中危险等级,相似度大于20%为高危险等级,然后将检测结果通过人机界面进行显示,提醒用户对危险软件及时进行查杀和卸载,降低网络数据和信息传输的危险性,并通过人机界面引入专家知识评估,进一步提高检测结果的准确性,并将评估结果同步导入检测模型训练数据中,对检测模型进行提升,提高自动检测精度,确保数据安全。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:一种恶意类检测方法、系统、装置、设备及介质