本發明提供一種惡意軟件檢測模型訓練、惡意軟件檢測方法及裝置，惡意軟件檢測模型訓練方法包括：獲取多個惡意軟件；確定各惡意軟件對應的訓練合成行為圖；對訓練合成行為圖添加第一標簽；根據訓練合成行為圖獲取一個或多個訓練公共行為圖，各訓練公共行為圖分別對應一個惡意軟件家族，對訓練公共行為圖添加第二標簽；將訓練合成行為圖和訓練公共行為圖輸入到圖匹配模型中得到第一相似系數；若第一相似系數和第二相似系數的差值小于預設相似系數，將當前的圖匹配模型確定為惡意軟件檢測模型。本發明通過提取訓練公共行為圖縮小了在檢測惡意軟件時的檢測范圍，提高了惡意軟件檢測模型的檢測速度，以及檢測結果的準確性。

技術領域

本發明屬于安全監測技術領域，具體涉及到一種惡意軟件檢測模型訓練、惡意軟件檢測方法及裝置。

背景技術

隨著移動互聯網的不斷發展，在電力行業，電力移動終端的數量不斷增長，但同時，惡意軟件的快速增長給電力移動終端用戶帶來了巨大的危害,包括資費消耗、隱私竊取以及遠程控制等，而電力行業等關鍵領域的工業控制系統作為關乎國計民生的重要基礎設施，一直以來都是網絡安全攻擊的重點，極易成為網絡戰的首要目標，因此需要一種快速高效的惡意軟件檢測方法來對電力移動互聯終端進行安全防護。

目前惡意軟件檢測技術可以分為靜態分析技術，動態分析技術以及基于機器學習的分析技術三類。

靜態分析方法是對整個App的代碼和資源進行分析，能達到很高的代碼覆蓋率，但是，由于并不真正執行應用程序，該方法無法得到軟件的真實執行路徑和執行上下文，且無法避免代碼混淆以及動態代碼的加載帶來的干擾。

動態分析是根據App運行時的行為來分析其惡意行為，通常App在Android的虛擬機或者一臺真實的物理機上運行，動態分析技術能夠避免代碼混淆以及動態代碼的加載帶來的干擾，但是該方法存在代碼覆蓋率不高、分析時間長、效率低的問題。

基于機器學習的惡意軟件檢測方法的基本原理是通過程序分析等技術提取不同的特征描述待分析樣本的不同行為，然后每一個特征樣本均用一個固定維度向量表示，最后借助于現有的機器學習算法對已知特征樣本進行訓練并構建分類器，從而能夠對未知樣本進行預測判斷，但是，現有的特征提取大多直接分析軟件本身，導致基于字符串形式存在的特征容易被現有的混淆技術所篡改,從而繞過惡意軟件檢測，因此，通過傳統的機器學習算法無法實現對惡意軟件的準確檢測。

發明內容

因此，針對現有技術中的問題，本發明提供一種惡意軟件檢測模型訓練、惡意軟件檢測方法及裝置，用以解決現有技術中存在的問題。

第一方面，本發明提供一種惡意軟件檢測模型訓練方法，包括：獲取軟件樣本庫，軟件樣本庫中包括多個惡意軟件；對軟件樣本庫中的惡意軟件進行分析，得到各惡意軟件對應的訓練合成行為圖；對訓練合成行為圖添加第一標簽；根據訓練合成行為圖獲取一個或多個訓練公共行為圖，各訓練公共行為圖分別對應一個惡意軟件家族，對訓練公共行為圖添加第二標簽；將訓練合成行為圖和訓練公共行為圖輸入到圖匹配模型中，得到訓練合成行為圖與訓練公共行為圖的第一相似系數；確定第一標簽與第二標簽的第二相似系數，對第一相似系數和第二相似系數作差，若第一相似系數和第二相似系數的差值小于預設相似系數，則將當前的圖匹配模型確定為惡意軟件檢測模型。

可選的，在本發明提供的惡意軟件檢測模型訓練方法中，對軟件樣本庫中的惡意軟件進行分析，得到各惡意軟件對應的訓練合成行為圖，包括：對軟件樣本庫中的惡意軟件進行反編譯，得到反編譯代碼和清單配置文件；根據反編譯代碼生成訓練基本行為圖；根據反編譯代碼和清單配置文件生成測試腳本，利用測試腳本對惡意軟件進行動態測試，得到動態運行信息；通過動態運行信息和訓練基本行為圖生成訓練合成行為圖。