本申請公開了一種惡意軟件檢測方法，該方法包括以下步驟：確定待檢測的目標軟件；獲得目標軟件的系統調用名和網絡活動事件；將目標軟件的系統調用名和網絡活動事件按照時間戳統一排序，編碼生成目標軟件的聚合動態特征；將目標軟件的聚合動態特征輸入到預先訓練獲得的基于序列轉換器結構的目標神經網絡模型中，獲得輸出結果；根據輸出結果，確定目標軟件是否為惡意軟件。應用本申請所提供的技術方案，結合了軟件的系統調用名和網絡活動事件，利用序列轉換器結構，對終端中惡意軟件進行有效檢測，避免影響終端的正常運行，提高用戶使用體驗。本申請還公開了一種惡意軟件檢測裝置，具有相應技術效果。

技術領域

本申請涉及計算機應用技術領域，特別是涉及一種惡意軟件檢測方法及裝置。

背景技術

隨著計算機技術和終端技術的快速發展，終端在日常工作和生活中的應用越來越廣泛。在基于Android系統的終端中可以安裝各類軟件，以適應用戶的使用需求。在終端中安裝軟件為用戶帶來方便的同時也帶來了一些安全隱患，因為一些惡意軟件可能會對終端造成危害。

如何對終端中惡意軟件進行有效檢測，是目前本領域技術人員急需解決的技術問題。

發明內容

本申請的目的是提供一種惡意軟件檢測方法及裝置，以對終端中惡意軟件進行有效檢測，避免影響終端的正常運行。

為解決上述技術問題，本申請提供如下技術方案：

一種惡意軟件檢測方法，包括：

確定待檢測的目標軟件；

獲得所述目標軟件的系統調用名和網絡活動事件；

將所述目標軟件的系統調用名和網絡活動事件按照時間戳統一排序，編碼生成所述目標軟件的聚合動態特征；

將所述目標軟件的聚合動態特征輸入到預先訓練獲得的基于序列轉換器結構的目標神經網絡模型中，獲得輸出結果；

根據所述輸出結果，確定所述目標軟件是否為惡意軟件。

在本申請的一種具體實施方式中，所述目標神經網絡模型為通過以下步驟訓練獲得：

獲得多個訓練樣本的聚合動態特征，每個訓練樣本的聚合動態特征中攜帶相應訓練樣本是否為惡意軟件的標簽；

建立基于序列轉換器結構的初始神經網絡模型；

基于所述多個訓練樣本的聚合動態特征，對所述初始神經網絡模型進行訓練，更新模型參數；

訓練完成后，基于所述標簽確定訓練后的神經網絡模型的準確率是否達到設定的準確率閾值；

如果未達到，則重復執行基于所述多個訓練樣本的聚合動態特征，對所述初始神經網絡模型進行訓練，更新模型參數的步驟；

如果達到，則將當前訓練后的神經網絡模型確定為所述目標神經網絡模型。

在本申請的一種具體實施方式中，所述初始神經網絡模型所基于的序列轉換器結構的維度為多維。

在本申請的一種具體實施方式中，所述初始神經網絡模型包括輸入層、帶位置編碼的嵌入層、序列轉換器模塊、全局平均池化層、隨機失活層及夾在中間的Relu激活層、sigmoid全連接層和softmax激活層。

在本申請的一種具體實施方式中，所述根據所述輸出結果，確定所述目標軟件是否為惡意軟件，包括：

如果所述輸出結果中所述目標軟件為惡意軟件的概率超過設定決策閾值，則將所述目標軟件確定為惡意軟件。

在本申請的一種具體實施方式中，還包括：

在達到設定的訓練觸發條件時，重新訓練獲得所述目標神經網絡模型。