[發明專利]基于模型的惡意文件檢測方法及裝置有效
| 申請號: | 202010151740.0 | 申請日: | 2020-03-06 |
| 公開(公告)號: | CN111460446B | 公開(公告)日: | 2023-04-11 |
| 發明(設計)人: | 白皓文;白敏;劉爽;白子潘;汪列軍;潘博文;衛福龍 | 申請(專利權)人: | 奇安信科技集團股份有限公司;奇安信網神信息技術(北京)股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京路浩知識產權代理有限公司 11002 | 代理人: | 王宇楊 |
| 地址: | 100088 北京市西城區*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 模型 惡意 文件 檢測 方法 裝置 | ||
1.一種基于模型的惡意文件檢測方法,其特征在于,包括:
獲取待檢測文件;
分析所述待檢測文件,得到所述待檢測文件的特征信息;其中,所述特征信息包括待檢測文件所包含的各個層級中每一層級的子文件的動態行為信息與靜態文件信息,以及待檢測文件所包含所有層級中各子文件的層級關系;所述動態行為信息是子文件在被執行過程中產生的信息,所述靜態文件信息是采用靜態分析方式對處于未執行狀態的子文件進行分析后得到的信息;
將所述待檢測文件的特征信息輸入預先構建的惡意家族檢測模型,獲取待檢測文件是否屬于某一惡意家族以及相應置信度的第一檢測結果;其中,
所述惡意家族檢測模型是將已知惡意文件的特征信息以及已知惡意文件的標簽信息作為樣本數據,采用機器學習方式訓練得到的用于獲取待檢測文件是否屬于某一惡意家族以及相應置信度的檢測結果的模型;其中,
所述已知惡意文件的特征信息包括已知惡意文件所包含的各個層級中每一層級的子文件的動態行為信息與靜態文件信息,以及已知惡意文件所包含所有層級中各子文件的層級關系;所述動態行為信息是子文件在被執行過程中產生的信息,所述靜態文件信息是采用靜態分析方式對處于未執行狀態的子文件進行分析后得到的信息;已知惡意文件的標簽信息包括已知惡意文件所屬的惡意家族的信息。
2.根據權利要求1所述的基于模型的惡意文件檢測方法,其特征在于,還包括:
將所述待檢測文件的特征信息輸入預先構建的攻擊團伙檢測模型,獲取待檢測文件是否來源于某一攻擊團伙以及相應置信度的第二檢測結果;其中,
所述攻擊團伙檢測模型是將已知惡意文件的特征信息以及已知惡意文件的標簽信息作為樣本數據,采用機器學習方式訓練得到的用于獲取待檢測文件是否來源于某一攻擊團伙以及相應置信度的檢測結果的模型;其中,
所述已知惡意文件的特征信息包括已知惡意文件所包含的各個層級中每一層級的子文件的動態行為信息與靜態文件信息,以及已知惡意文件所包含所有層級中各子文件的層級關系;所述動態行為信息是子文件在被執行過程中產生的信息,所述靜態文件信息是采用靜態分析方式對處于未執行狀態的子文件進行分析后得到的信息;已知惡意文件的標簽信息包括已知惡意文件所源自的攻擊團伙的信息。
3.根據權利要求1所述的基于模型的惡意文件檢測方法,其特征在于,還包括:
將待檢測文件的特征信息輸入預先構建的惡意家族檢測IBK模型,獲取待檢測文件是否屬于某一惡意家族以及相應置信度的第三檢測結果;
將采用惡意家族檢測模型獲得的第一檢測結果與采用惡意家族檢測IBK模型獲得的第三檢測結果進行比較,根據比較結果得到關于惡意家族檢測結果的最終置信度;其中,
所述惡意家族檢測IBK模型是將已知惡意文件的特征信息以及已知惡意文件的標簽信息作為樣本數據,采用IBK分類算法訓練得到的用于獲取待檢測文件是否屬于某一惡意家族以及相應置信度的檢測結果的模型。
4.根據權利要求2所述的基于模型的惡意文件檢測方法,其特征在于,還包括:
將待檢測文件的特征信息輸入預先構建的攻擊團伙檢測IBK模型,獲取待檢測文件是否來源于某一攻擊團伙以及相應置信度的第四檢測結果;
將采用攻擊團伙檢測模型獲得的第二檢測結果與采用攻擊團伙檢測IBK模型獲得的第四檢測結果進行比較,根據比較結果得到關于攻擊團伙檢測結果的最終置信度;其中,
所述攻擊團伙檢測IBK模型是將已知惡意文件的特征信息以及已知惡意文件的標簽信息作為樣本數據,采用IBK分類算法訓練得到的用于獲取待檢測文件是否來源于某一攻擊團伙以及相應置信度的檢測結果的模型。
5.根據權利要求1所述的基于模型的惡意文件檢測方法,其特征在于,所述惡意家族檢測模型通過以下方式創建:
獲取多個已知惡意文件;所述已知惡意文件包括用于描述已知惡意文件所屬的惡意家族的標簽信息;
對所獲取的多個已知惡意文件進行分析,得到已知惡意文件的特征信息;
將已知惡意文件的特征信息以及已知惡意文件的標簽信息作為樣本數據,采用機器學習方式進行訓練,生成用于獲取待檢測文件是否屬于某一惡意家族以及相應置信度的檢測結果的惡意家族檢測模型。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于奇安信科技集團股份有限公司;奇安信網神信息技術(北京)股份有限公司,未經奇安信科技集團股份有限公司;奇安信網神信息技術(北京)股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010151740.0/1.html,轉載請聲明來源鉆瓜專利網。
