(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210651376.3 (22)申请日 2022.06.10 (71)申请人 新华三信息安全技 术有限公司 地址 230001 安徽省合肥市高新区创新大 道2800号创新产业园二期H2栋 541室 (72)发明人 鲍旭丹　 (51)Int.Cl. G06F 21/56(2013.01) G06N 3/04(2006.01) G06N 3/08(2006.01) G06V 10/44(2022.01) G06V 10/764(2022.01) G06V 10/82(2022.01) (54)发明名称 检测方法及装置 (57)摘要 本申请提供一种检测方法及装置， 所述方法 包括： 获取应用程序的可执行文件以及第一图标 集， 所述第一图标集包括操作系统中每种文件类 型的图标标签； 根据所述应用程序的可执行文 件， 提取待检测图标； 利用原型网络以及所述每 种文件类型的图标标签， 构建分类模型； 将所述 待检测图标输入至所述分类模型中， 得到所述待 检测图标的检测结果； 若所述检测结果的值为第 一值， 则确定所述待检测图标对应的所述应用程 序为疑似软件； 若所述检测结果的值为第二值， 则确定所述待检测图标对应的所述应用程序为 非疑似软件。 权利要求书3页 说明书11页 附图2页 CN 115238270 A 2022.10.25 CN 115238270 A 1.一种检测方法， 其特 征在于， 所述方法包括： 获取应用程序的可执行文件以及第 一图标集， 所述第 一图标集包括操作系统中每种 文 件类型的图标 标签； 根据所述应用程序的可 执行文件， 提取待检测图标； 利用原型网络以及所述每种文件类型的图标 标签， 构建 分类模型； 将所述待检测图标输入至所述分类模型中， 得到所述待检测图标的检测结果； 若所述检测结果的值为第 一值， 则确定所述待检测图标对应的所述应用程序为疑似软 件； 若所述检测结果的值为第 二值， 则确定所述待检测图标对应的所述应用程序为非疑似 软件。 2.根据权利要求1所述的方法， 其特征在于， 所述获取应用程序的可执行文件， 具体包 括： 获取所述操作系统中待分析的可 执行文件； 利用预设的筛选规则， 从所述待分析的可执行文件中， 筛选出所述应用程序的可执行 文件； 丢弃所述待分析的可 执行文件包括的非应用程序的可 执行文件。 3.根据权利要求1所述的方法， 其特 征在于， 所述获取第一图标集， 具体包括： 统计所述操作系统中每种文件类型以及所述每种文件类型包括的每 个子文件类型； 生成每种 文件类型对应的第 二图标集， 每个第 二图标集包括该种 文件类型包括的每个 子文件类型对应的子图标集； 将多个第二图标集的集 合作为所述第一图标集。 4.根据权利要求1所述的方法， 其特征在于， 所述根据所述应用程序的可执行文件， 提 取待检测图标， 具体包括： 利用PE文件解析模块对所述应用程序的可执行文件的文件格式进行解析处理， 得到多 个资源目录句柄； 对所述多个资源目录句柄进行遍历处理， 得到 图标资源组， 所述图标资源组包括多个 图标； 将每个图标的图标属性值与 预设的属性阈值进行比较， 确定满足属性阈值的图标属性 值； 将所述图标属性 值对应的图标作为所述待检测图标。 5.根据权利要求3所述的方法， 其特征在于， 所述利用原型网络以及所述每种 文件类型 的图标标签， 构建 分类模型， 具体包括： 利用图像变换算法， 对每个子 图标集内包括的图标标签的数量进行图标扩增， 得到第 三图标集； 基于原型网络， 将所述第三图标集划分为支持集以及查询集； 将所述支持集包括的每个图标标签映射为嵌入向量， 并对多个嵌入向量进行取平均计 算， 得到多个 类原型； 计算所述 查询集中每 个图标标签到达每个类原型的距离； 获取预定义的所述查询集中每个图标标签的真实类别以及所述查询集中每个图标标权　利　要　求　书 1/3 页 2 CN 115238270 A 2签到达每个类原型的真实类别分布概 率； 利用所述查询集中每个图标标签到达每个类原型的距离以及所述查询集中每个图标 标签的真实类别， 计算所述 查询集中每 个图标标签到达每个类原型的预测类别分布概 率； 确定损失函数， 所述损失函数为对所述真实类别分布概率进行最小化负对数运算后得 到； 确定当前 是否已满足预设的停止训练条件； 若未满足所述停止训练条件， 则利用所述损 失函数对所述原型网络进行迭代训练， 直 至当前已满足所述停止训练条件， 得到所述分类模型。 6.根据权利要求5所述的方法， 其特 征在于， 所述确定损失函数之前， 所述方法还 包括： 利用回归函数以及所述预测类别分布概 率， 预测所述 查询集中每 个图标标签的类别。 7.一种检测装置， 其特 征在于， 所述装置包括： 获取单元， 用于获取应用程序的可执行文件以及第一图标集， 所述第一图标集包括操 作系统中每种文件类型的图标 标签； 提取单元， 用于根据所述应用程序的可 执行文件， 提取待检测图标； 构建单元， 用于利用原型网络以及所述每种文件类型的图标 标签， 构建 分类模型； 输出结果单元， 用于将所述待检测图标输入至所述分类模型中， 得到所述待检测图标 的检测结果； 第一确定单元， 用于若所述检测结果的值为第一值， 则确定所述待检测图标对应的所 述应用程序为疑似软件； 第二确定单元， 用于若所述检测结果的值为第二值， 则确定所述待检测图标对应的所 述应用程序为非疑似软件。 8.根据权利要求7所述的装置， 其特征在于， 所述获取单元具体用于， 获取所述操作系 统中待分析的可 执行文件； 利用预设的筛选规则， 从所述待分析的可执行文件中， 筛选出所述应用程序的可执行 文件； 丢弃所述待分析的可 执行文件包括的非应用程序的可 执行文件。 9.根据权利要求7所述的装置， 其特征在于， 所述获取单元具体用于， 统计所述操作系 统中每种文件类型以及所述每种文件类型包括的每 个子文件类型； 生成每种 文件类型对应的第 二图标集， 每个第 二图标集包括该种 文件类型包括的每个 子文件类型对应的子图标集； 将多个第二图标集的集 合作为所述第一图标集。 10.根据权利要求7所述的装置， 其特征在于， 所述提取单元具体用于， 利用PE文件解析 模块对所述应用程序的可 执行文件的文件格式进行解析处 理， 得到多个资源目录句柄； 对所述多个资源目录句柄进行遍历处理， 得到 图标资源组， 所述图标资源组包括多个 图标； 将每个图标的图标属性值与 预设的属性阈值进行比较， 确定满足属性阈值的图标属性 值； 将所述图标属性 值对应的图标作为所述待检测图标。 11.根据权利要求9所述的装置， 其特征在于， 所述构建单元具体用于， 利用图像变换算权　利　要　求　书 2/3 页 3 CN 115238270 A 3