本發明公開了一種惡意軟件的檢測方法，包括以下步驟：基于若干深度學習算法，對惡意軟件訓練集進行訓練，得到若干惡意軟件檢測子模型；將若干惡意軟件檢測子模型賦予不同權重并進行整合，以得到惡意軟件檢測模型；以及獲取待測軟件系統函數的調用信息，并將調用信息分批次發送至惡意軟件檢測模型，以進行分類判斷。本發明還公開了一種惡意軟件的檢測裝置、計算機設備和可讀存儲介質。本發明通過使用多種深度學習算法得到不同的訓練模型并進行整合得到惡意軟件檢測模型，對系統函數調用實時檢測，分批次進行分類判斷，提高了惡意軟件檢測效率和時效性。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種惡意軟件的檢測方法、裝置、設備及可讀介質。

背景技術

隨著當今世界信息技術的高速發展，人們正在享受這互聯網帶來的工作和生活便利的同時，也時時刻刻收到計算機病毒的威脅。計算機病毒代碼編寫技術從最簡單的功能性破壞到采用多態、加殼等技術以避開殺毒軟件的檢測。基于行為的惡意軟件檢測及響應技術越來越受到各個廠商的青睞。這種基于行為檢測的核心功能就是給每個系統函數增加hook，用以獲取函數的調用信息。

傳統的基于行為的檢測方式大都采用基于函數調用的行為特征通過硬編碼的方式進行匹配，來判斷軟件是否為惡意軟件。針對某個需要hook的系統函數進行hook代碼的編寫，在軟件運行的過程中，通過hook獲取系統函數的調用信息，將這些信息傳遞給行為邏輯判斷模塊，并通過比較異常行為庫中的數據，判斷此軟件是否為惡意軟件。此種方式存在的問題是，需要開發人員熟悉惡意軟件的運行原理，根據惡意軟件特征來完成大量的編碼工作，將惡意軟件的運行原理抽象為異常行為庫和行為邏輯判斷模型，同時還要求開發人員熟悉操作操作系統，能夠在系統適當的未知，對系統函數hook，對開發人員的技術要求和專業要求比較高。同時開發人員也消耗大量的事件進行編碼工作，對于一些高級的、復雜的惡意軟件，其邏輯判斷也更復雜，其效率和準確性也將受到病毒發展的影響。隨著惡意軟件的高級化、規模化、復雜化、服務化的發展，這種傳統的人工編碼，處理邏輯判斷的方式，不再適應惡意軟件的發展。

而最近幾年隨著機器學習和深度學習這類人工智能(AI)技術的發展，人工智能技術也應用在了主機惡意軟件的檢測技術上，通過使用軟件樣本庫在沙箱或其他環境中運行獲取每個樣本的系統調用信息來組成機器學習的樣本庫。通過單一的機器學習算法來獲取軟件分類判斷模型。此類技術在使用的過程中，通過hook的方式，獲取軟件在環境中運行的系統函數調用信息，這些函數信息組成了一個程序運行的語料，然后這些函數信息通過已經訓練好的軟件分類判斷模型，來完成軟件的分類。這種檢測技術，使用了單一的機器學習算法。如今CNN技術發展迅速，這類技術方案中使用的技術也大多數是采用某一CNN深度學習模型來完成，但是采用深度模型技術進行實現，這就造成在分類的正確性上存在著不同的差異，且一般正確率都不是很高。另一方面，這類技術實現時，是在軟件運行結束后，獲取軟件整個生命周期的系統函數調用信息，才引入軟件分類判斷模型，而不是在軟件運行過程中進行實時的判斷，這就造成此類技術存在檢測效率低，時效性較差等問題。

發明內容

有鑒于此，本發明實施例的目的在于提出一種惡意軟件的檢測方法、裝置、設備及可讀介質，通過使用多種深度學習算法得到不同的訓練模型并進行整合得到惡意軟件檢測模型，對系統函數調用實時檢測，分批次進行分類判斷，提高了惡意軟件檢測效率和時效性。

基于上述目的，本發明實施例的一方面提供了一種惡意軟件的檢測方法，包括如下步驟：基于若干深度學習算法，對惡意軟件訓練集進行訓練，得到若干惡意軟件檢測子模型；將若干惡意軟件檢測子模型賦予不同權重并進行整合，以得到惡意軟件檢測模型；以及獲取待測軟件系統函數的調用信息，并將調用信息分批次發送至惡意軟件檢測模型，以進行分類判斷。