[發(fā)明專利]一種惡意軟件檢測模型訓練、惡意軟件檢測方法及裝置在審
| 申請?zhí)枺?/td> | 202210114289.4 | 申請日: | 2022-01-30 |
| 公開(公告)號: | CN114462040A | 公開(公告)日: | 2022-05-10 |
| 發(fā)明(設計)人: | 陳璐;邵志鵬;馬媛媛;陳牧;戴造建;李尼格;曹婉恬 | 申請(專利權)人: | 全球能源互聯(lián)網(wǎng)研究院有限公司;國家電網(wǎng)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06K9/62 |
| 代理公司: | 北京三聚陽光知識產(chǎn)權代理有限公司 11250 | 代理人: | 王娜 |
| 地址: | 102209 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 惡意 軟件 檢測 模型 訓練 方法 裝置 | ||
1.一種惡意軟件檢測模型訓練方法,其特征在于,包括:
獲取軟件樣本庫,所述軟件樣本庫中包括多個惡意軟件;
對所述軟件樣本庫中的惡意軟件進行分析,得到各惡意軟件對應的訓練合成行為圖;
對所述訓練合成行為圖添加第一標簽;
根據(jù)所述訓練合成行為圖獲取一個或多個訓練公共行為圖,各所述訓練公共行為圖分別對應一個惡意軟件家族,對所述訓練公共行為圖添加第二標簽;
將所述訓練合成行為圖和所述訓練公共行為圖輸入到圖匹配模型中,得到所述訓練合成行為圖與所述訓練公共行為圖的第一相似系數(shù);
確定所述第一標簽與所述第二標簽的第二相似系數(shù),對所述第一相似系數(shù)和所述第二相似系數(shù)作差,若所述第一相似系數(shù)和所述第二相似系數(shù)的差值小于預設相似系數(shù),則將當前的圖匹配模型確定為惡意軟件檢測模型。
2.根據(jù)權利要求1所述的惡意軟件檢測模型訓練方法,其特征在于,對所述軟件樣本庫中的惡意軟件進行分析,得到各惡意軟件對應的訓練合成行為圖,包括:
對所述軟件樣本庫中的惡意軟件進行反編譯,得到反編譯代碼和清單配置文件;
根據(jù)所述反編譯代碼生成訓練基本行為圖;
根據(jù)所述反編譯代碼和所述清單配置文件生成測試腳本,利用所述測試腳本對所述惡意軟件進行動態(tài)測試,得到動態(tài)運行信息;
通過所述動態(tài)運行信息和所述訓練基本行為圖生成所述訓練合成行為圖。
3.根據(jù)權利要求1所述的惡意軟件檢測模型訓練方法,其特征在于,所述訓練合成行為圖包括一個或多個極大連通子圖,所述極大連通子圖包括一個或多個邊,
根據(jù)所述訓練合成行為圖獲取一個或多個訓練公共行為圖,包括:
根據(jù)所述第一標簽對所述訓練合成行為圖進行分類組合,得到一個或多個訓練合成行為圖集合;
確定各訓練合成行為圖集合中各極大連通子圖的邊的權值;
基于各訓練合成行為圖集合中各極大連通子圖的邊的權值,分別確定與各訓練合成行為圖集合相對應的訓練公共行為圖。
4.根據(jù)權利要求3所述的惡意軟件檢測模型訓練方法,其特征在于,基于訓練合成行為圖集合中各極大連通子圖的邊的權值,確定與訓練合成行為圖集合相對應的訓練公共行為圖,包括:
根據(jù)訓練合成行為圖集合中各極大連通子圖的邊的權值,確定各極大連通子圖的邊平均權值,以及訓練合成行為圖集合的子圖間權值平均值,所述子圖間權值平均值為所述訓練合成行為圖集合中極大連通子圖的邊平均權值的均值;
將邊平均權值大于所述子圖間權值平均值的極大連通子圖中,權值小于預設值的邊進行刪除,形成中間圖;
將邊的權值的和最大的中間圖確定為所述訓練合成行為圖集合對應的訓練公共行為圖。
5.根據(jù)權利要求1所述的惡意軟件檢測模型訓練方法,其特征在于,還包括:
若所述第一相似系數(shù)和所述第二相似系數(shù)的差值大于或等于預設相似系數(shù),則利用反向傳播算法對所述圖匹配模型進行優(yōu)化訓練,返回將所述訓練合成行為圖和所述訓練公共行為圖輸入到圖匹配模型中,得到所述訓練合成行為圖與所述訓練公共行為圖的第一相似系數(shù)的步驟,直到所述第一相似系數(shù)和所述第二相似系數(shù)的差值小于預設相似系數(shù)。
6.一種惡意軟件檢測方法,其特征在于,包括:
獲取待檢測軟件的合成行為圖;
將所述合成行為圖和惡意軟件的公共行為圖輸入到惡意軟件檢測模型中,計算所述合成行為圖和所述公共行為圖的相似度,若所述相似度大于預設相似度,則判定所述待檢測軟件為惡意軟件,所述惡意軟件檢測模型通過如權利要求1-5中任一項所述的惡意軟件檢測模型訓練方法確定。
7.根據(jù)權利要求6所述的惡意軟件檢測方法,其特征在于,獲取待檢測軟件的合成行為圖,包括:
對待檢測軟件進行反編譯,得到待檢測軟件的反編譯代碼;
根據(jù)所述待檢測軟件的反編譯代碼生成控制流圖;
根據(jù)所述控制流圖得到所述待檢測軟件的基本行為圖;
對待檢測軟件進行動態(tài)分析收集所述待檢測軟件的動態(tài)運行信息,將所述待檢測軟件的動態(tài)運行信息加入到所述基本行為圖中,得到所述合成行為圖。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于全球能源互聯(lián)網(wǎng)研究院有限公司;國家電網(wǎng)有限公司,未經(jīng)全球能源互聯(lián)網(wǎng)研究院有限公司;國家電網(wǎng)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業(yè)授權和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202210114289.4/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
