1.基于ConformalPrediction算法的統(tǒng)計(jì)學(xué)習(xí)預(yù)測(cè)方法，其特征在于，該方法以多種機(jī)器學(xué)習(xí)模型為底層，選用統(tǒng)計(jì)學(xué)習(xí)算法，計(jì)算一個(gè)待測(cè)樣本x的顯著度p-value，步驟如下：

第1步、計(jì)算顯著度p-value

第1.1、輸入：已知集合D包含n個(gè)惡意代碼樣本：D＝{z₁,…,z_n-1},z_i∈Z，其中惡意代碼樣本可重復(fù)但無(wú)順序，多為已被分類或聚類算法處理后的具有某種相似性的惡意代碼樣本的集合；

①惡意代碼樣本z，待檢測(cè)的未知代碼樣本，預(yù)測(cè)該代碼樣本與已知惡意代碼樣本集合的p-value；

②不一致性度量函數(shù)A:Z^(*)×Z→R，該函數(shù)的輸入為一個(gè)已知惡意代碼樣本集合和一個(gè)未知代碼樣本，返回值為一個(gè)實(shí)數(shù)，該實(shí)數(shù)可反映出輸入代碼樣本與輸入惡意代碼樣本集合的相似程度；

③顯著水平ε，數(shù)值ε可由用戶指定，反映用戶可接受的最大出錯(cuò)概率；

第1.2、輸出：

惡意代碼樣本z的p-value值p_n；同時(shí)，若p_n大于顯著水平ε，則輸出True，否則輸出False；

第2步、惡意代碼變異的檢測(cè)

使用基于時(shí)間窗平均p-values的APV算法來(lái)檢測(cè)惡意代碼的變異過(guò)程；根據(jù)時(shí)間軸上的先后順序?qū)阂獯a樣本切割成不同的時(shí)間窗大小；每個(gè)時(shí)間窗的APV值是基于之前所有時(shí)間窗的樣本集合作為已知樣本集合，依次計(jì)算當(dāng)前時(shí)間窗每個(gè)樣本的p-value值，然后求該時(shí)間窗的樣本的APV值；每個(gè)不一致度量函數(shù)都會(huì)在時(shí)間窗內(nèi)得到一個(gè)APV值；

時(shí)間窗的APV值隨時(shí)間的變化趨勢(shì)反應(yīng)了惡意數(shù)據(jù)在統(tǒng)計(jì)規(guī)律上隨時(shí)間的變化；如果某個(gè)檢測(cè)模型的APV值隨時(shí)間逐漸降低，說(shuō)明新的惡意代碼樣本的統(tǒng)計(jì)規(guī)律在該檢測(cè)模型的觀測(cè)角度，逐漸與已知的惡意代碼樣本統(tǒng)計(jì)規(guī)律產(chǎn)生差異，檢測(cè)模型正在遭受惡意代碼變異過(guò)程的影響，但并不一定出現(xiàn)檢測(cè)模型的退化；惡意代碼變異過(guò)程是一種量變過(guò)程，當(dāng)惡意代碼的得分超過(guò)檢測(cè)模型在訓(xùn)練過(guò)程確定的最佳閾值，產(chǎn)生質(zhì)變，檢測(cè)模型出現(xiàn)退化現(xiàn)象；如果某個(gè)檢測(cè)模型在新的時(shí)間窗內(nèi)，APV值沒(méi)有出現(xiàn)下降，說(shuō)明當(dāng)前時(shí)間窗惡意數(shù)據(jù)的分布規(guī)律在該檢測(cè)模型的觀測(cè)角度，沒(méi)有出現(xiàn)惡意代碼變異過(guò)程；

第3步、多模型共同防御

通過(guò)多模型從不同角度對(duì)惡意代碼樣本的分布規(guī)律進(jìn)行建模，每個(gè)機(jī)器學(xué)習(xí)模型都會(huì)對(duì)該樣本給出一個(gè)得分；由于這些得分不具有可比性，所以使用ConformalPrediction算法，將這些得分轉(zhuǎn)換成可進(jìn)行比較的統(tǒng)計(jì)量p-value；

統(tǒng)計(jì)量p-value是得分高于或等于被檢測(cè)惡意代碼樣本得分的樣本數(shù)量與總數(shù)的比值；一個(gè)樣本的p-value越大表示該樣本在已知的惡意代碼樣本集合中越顯著；對(duì)于同一個(gè)樣本，每個(gè)機(jī)器學(xué)習(xí)模型都生成一個(gè)p-value值；由于惡意代碼的變異，可能導(dǎo)致平臺(tái)上的部分機(jī)器學(xué)習(xí)模型無(wú)效；通過(guò)統(tǒng)計(jì)量p-value所表示的顯著度，將選取顯著度最高的模型預(yù)測(cè)結(jié)果，作為多模型共同防御的最終預(yù)測(cè)結(jié)果。