[發明專利]構建惡意文件的檢測模型以及檢測惡意文件的方法在審
| 申請號: | 202010572487.6 | 申請日: | 2020-06-22 |
| 公開(公告)號: | CN111723371A | 公開(公告)日: | 2020-09-29 |
| 發明(設計)人: | 徐鐘豪;王彥磊;謝忱 | 申請(專利權)人: | 上海斗象信息科技有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 上海翰信知識產權代理事務所(普通合伙) 31270 | 代理人: | 張維東 |
| 地址: | 201203 上海市浦東新區碧波路6*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 構建 惡意 文件 檢測 模型 以及 方法 | ||
1.一種構建惡意文件的檢測模型的方法,其特征在于,包括以下步驟:
獲取多個正常樣本和多個惡意樣本,并分別標簽;
過濾出惡意樣本中未加殼的惡意樣本;
建立靜態模型,包括:獲取多個所述正常樣本和多個所述惡意樣本的PE格式;根據獲取的各樣本的PE格式,將數據轉化成多個特征向量;合并多個所述特征向量,并與標簽關聯;將隨機森林模型和LightGBM模型調到最優參數;將與標簽關聯后的特征向量輸入到隨機森林模型和LightGBM模型中,分別建立用于靜態檢測惡意文件的隨機森林模型和LightGBM模型;
建立動態模型,包括:把多個所述正常樣本和多個所述惡意樣本放入沙箱中,得到沙箱報告,獲取沙箱報告中各樣本關于api、tid、return_value以及index的特征向量;合并多個所述特征向量,并與標簽關聯;將隨機森林模型和LightGBM模型調到最優參數,并建立重要特征隨機森林模型;將與標簽關聯后的特征向量輸入到隨機森林模型、重要特征隨機森林模型和LightGBM模型中,分別建立用于動態檢測惡意文件的隨機森林模型、重要特征隨機森林模型和LightGBM模型;
融合所有靜態模型和所有動態模型得到融合模型;
根據融合模型得到的合計惡意可疑分值和malheur模型得到的惡意可疑分值計算得到最終惡意分值,根據最終惡意分值檢測樣本。
2.如權利要求1所述的構建惡意文件的檢測模型的方法,其特征在于,根據獲取的各樣本的PE格式,將數據轉化成多個特征向量的方式如下:
特征一:統計sections的數量;
特征二:統計section大小等于0的數量;
特征三:統計section中包含讀和執行權限的數量;
特征四:統計section中包含寫權限的數量;
特征五:把section的name和size轉化為向量;
特征六:把section的name和entropy轉化為向量;
特征七:把entry轉化為向量;
特征八:把section中的props屬性轉化為向量。
3.如權利要求1所述的構建惡意文件的檢測模型的方法,其特征在于,獲取沙箱報告中各樣本關于api、tid、return_value以及index的特征向量的方式如下:
特征一:統計各樣本調用api總次數;
特征二:統計各樣本調用api去重后的次數;
特征三:統計各樣本tid的總次數和去重后的次數;tid的最小值、最大值、中位數以及方差;
特征四:統計各樣本tid的0.2、0.4、0.6以及0.8分位數;
特征五:計算各樣本tid的0.975分位減0.0125分位的值;
特征六:統計各樣本index的最大值;
特征七:統計各樣本中每個api的tid的個數和去重后的個數。
4.如權利要求1所述的構建惡意文件的檢測模型的方法,其特征在于,靜態模型和動態模型中,合并多個所述特征向量,并與標簽關聯的關聯方式如下:
通過將各樣本的MD5與各樣本合并后的特征向量組合,將各樣本合并后的特征向量與其對應的標簽關聯。
5.如權利要求1所述的構建惡意文件的檢測模型的方法,其特征在于,建立重要特征隨機森林模型的步驟包括:
由隨機森林模型計算特征權重,將特征權重大于1的特征提取出來參與建立重要特征隨機森林模型,以形成重要特征隨機森林模型。
6.如權利要求5所述的構建惡意文件的檢測模型的方法,其特征在于,建立用于動態檢測惡意文件的重要特征隨機森林模型包括以下步驟:
獲取沙箱報告中各樣本關于api、tid、return_value以及index的重要特征向量;
合并多個所述重要特征向量,并與標簽關聯;
將與標簽關聯后的重要特征向量輸入到重要特征隨機森林模型中,建立用于動態檢測惡意文件的重要特征隨機森林模型。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于上海斗象信息科技有限公司,未經上海斗象信息科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010572487.6/1.html,轉載請聲明來源鉆瓜專利網。
