本公開提供一種惡意軟件檢測的誤報糾正方法、裝置、設備和存儲介質。該方法包括：通過對檢測模型檢測出的第一疑似惡意軟件進行靜態特征檢測，得到靜態特征檢測結果，根據靜態特征檢測結果和靜態特征計分規則，得到第一疑似惡意軟件的得分，若第一疑似惡意軟件的得分大于或者等于第一閾值，確定第一疑似惡意軟件為第二疑似惡意軟件，根據第二疑似惡意軟件，確定第二疑似惡意軟件為真實惡意軟件。本公開的方法，進一步對第一疑似惡意軟件進行處理，從而實現對第一疑似惡意軟件進行進一步的檢測，使得檢測結果中的誤報的疑似惡意軟件被篩除，并確定出真實惡意軟件，使得誤報惡意軟件數量減少，從而降低誤報率，保證惡意軟件檢測模型的正常使用。

技術領域

本公開涉及信息安全領域，尤其涉及一種惡意軟件檢測的誤報糾正方法、裝置、設備和存儲介質。

背景技術

隨著互聯網的迅速發展，通過變種等技術大量生成的惡意軟件催生了利用機器學習技術作為檢測模型進行惡意軟件檢測。

基于機器學習的惡意軟件檢測模型不需要大量安全研究人員做病毒逆向工作，僅需要搜集一定量級的惡意軟件樣本進行訓練，通過提取固定的特征，預測樣本為惡意軟件的概率，設定判定閾值，通過與判定閾值進行比較，從而自動化且迅速的完成惡意軟件檢測工作。

其中，基于機器學習的惡意軟件檢測模型是以樣本整體或局部的相似性為判定依據的檢測模型，且設定的判斷閾值是為了取得全局檢測上的低誤報率，基于訓練數據和測試數據整體優化的結果，因此，對數據集中極小一部分樣本可能會產生錯誤的判別結果，造成了基于機器學習的惡意軟件檢測模型誤報率高。

發明內容

為了解決上述技術問題或者至少部分地解決上述技術問題，本公開提供了一種惡意軟件檢測的誤報糾正方法、裝置、設備和存儲介質。

第一方面，本公開提供了一種惡意軟件檢測的誤報糾正方法，包括：

對第一疑似惡意軟件進行靜態特征檢測，得到靜態特征檢測結果；

根據所述靜態特征檢測結果和靜態特征計分規則，得到所述第一疑似惡意軟件的得分；

若所述第一疑似惡意軟件的得分大于或者等于第一閾值，確定所述第一疑似惡意軟件為第二疑似惡意軟件；

根據所述第二疑似惡意軟件，確定所述第二疑似惡意軟件為真實惡意軟件。

可選的，所述根據第二疑似惡意軟件，確定所述第二疑似惡意軟件為真實惡意軟件，包括：

使用多個檢測模型分別對第二疑似惡意軟件進行檢測，得到所述多個檢測模型分別對應的第一預測概率值；

對所述多個檢測模型分別對應的第一預測概率值進行加權求和，得到所述第二疑似惡意軟件對應的第二預測概率值，其中，每個檢測模型對應一個第一權重值；

若所述第二預測概率值大于或者等于第二閾值，確定所述第二疑似惡意軟件為真實惡意軟件。

可選的，所述靜態特征包括以下特征中的一種或多種：

加殼特征；

有效證書或者數字簽名；

反調試或者偵測虛擬機特征；

操作注冊表函數；

可疑字符串；

可疑統一資源定位器URL。

可選的，所述靜態特征計分規則包括以下規則中的一種或多種：

若所述疑似惡意軟件包含加殼特征，所述疑似惡意軟件的得分增加第一分值；

若所述疑似惡意軟件包含有效證書或者數字簽名，所述疑似惡意軟件的得分增加第二分值；