5.一種惡意軟件檢測裝置，其特征在于，所述惡意軟件檢測裝置包括：

構建單元，用于采集惡意軟件在沙箱中運行時產生的行為數(shù)據(jù)，并基于所述行為數(shù)據(jù)構建訓練數(shù)據(jù)集；

擴充單元，用于通過隨機游走算法對所述訓練數(shù)據(jù)集進行擴充，得到擴充數(shù)據(jù)集；

獲取單元，用于基于所述擴充數(shù)據(jù)集，獲取向量化的API調用序列；

建模單元，用于基于所述API調用序列，構建惡意軟件動態(tài)檢測模型；

檢測單元，用于基于所述惡意軟件動態(tài)檢測模型，對實時運行的待檢測軟件進行檢測，得到惡意軟件檢測結果；

其中，所述擴充單元包括：

第一提取子單元，用于提取所述訓練數(shù)據(jù)集中行為數(shù)據(jù)的API調用函數(shù)名；

記錄子單元，用于基于所述API調用函數(shù)名，記錄所述行為數(shù)據(jù)所在的多個線程；

調用子單元，用于在所述多個線程間調用隨機游走算法，得到游走數(shù)據(jù)；其中，隨機游走算法應用于軟件運行數(shù)據(jù)的不同線程；

擴充子單元，用于基于所述游走數(shù)據(jù)對所述訓練數(shù)據(jù)集進行擴充，得到擴充數(shù)據(jù)集；

其中，所述多個線程的線程數(shù)量為M且M大于2，所述調用子單元具體用于以1/（M-m）的概率選擇1個線程作為起點，此時m為0；每以1/（M-m）的概率選擇選擇一個新線程便將m更新為m+1，直至進行M步無重復采樣后得到一個游走數(shù)據(jù)；獲取所有不重復的游走數(shù)據(jù)；其中，游走數(shù)據(jù)的數(shù)量為M*（M-1）*（M-2）*……*2*1，即游走數(shù)據(jù)的數(shù)量為M！。