本申請提供一種惡意軟件檢測方法及裝置，該方法包括：采集惡意軟件在沙箱中運行時產生的行為數據，并基于行為數據構建訓練數據集；通過隨機游走算法對訓練數據集進行擴充，得到擴充數據集；基于擴充數據集，獲取向量化的API調用序列；基于API調用序列，構建惡意軟件動態檢測模型；基于惡意軟件動態檢測模型，對實時運行的待檢測軟件進行檢測，得到惡意軟件檢測結果。可見，實施這種實施方式，能夠基于隨機游走算法突破目前的檢測困境，從而能夠對惡意軟件進行更有效地檢測，并提高整體的檢測效率。

技術領域

本申請涉及網絡安全領域，具體而言，涉及一種惡意軟件檢測方法及裝置。

背景技術

隨著大數據和人工智能技術的快速發展，網絡攻擊呈現出大量、快速、持續等特性，從而對各大企業的信息安全帶來了巨大的挑戰。其中，惡意軟件作為一種最容易被利用的惡意攻擊方法，攻擊者為了使其發揮最大的危害，現在已經使其搭載了多線程混淆等多種技術。而這直接導致了已有的惡意軟件檢測系統無法有效的進行檢測，并且還大幅拉低了惡意軟件的檢測效率。

發明內容

本申請實施例的目的在于提供一種惡意軟件檢測方法及裝置，能夠基于隨機游走算法突破目前的檢測困境，從而能夠對惡意軟件進行更有效地檢測，并提高整體的檢測效率。

本申請實施例第一方面提供了一種惡意軟件檢測方法，包括：

采集惡意軟件在沙箱中運行時產生的行為數據，并基于所述行為數據構建訓練數據集；

通過隨機游走算法對所述訓練數據集進行擴充，得到擴充數據集；

基于所述擴充數據集，獲取向量化的API調用序列；

基于所述API調用序列，構建惡意軟件動態檢測模型；

基于所述惡意軟件動態檢測模型，對實時運行的待檢測軟件進行檢測，得到惡意軟件檢測結果。

在上述實現過程中，該方法可以優先采集惡意軟件在沙箱中運行時產生的行為數據，并基于行為數據構建訓練數據集；并通過隨機游走算法對訓練數據集進行擴充，得到擴充數據集；然后，再基于擴充數據集，獲取向量化的API調用序列；再然后，基于API調用序列，構建惡意軟件動態檢測模型；最后，再基于惡意軟件動態檢測模型，對實時運行的待檢測軟件進行檢測，得到惡意軟件檢測結果。可見，實施這種實施方式，能夠基于隨機游走算法突破目前的檢測困境，從而能夠對惡意軟件進行更有效地檢測，并提高整體的檢測效率。

進一步地，所述行為數據至少包括進程信息、線程信息以及API調用函數名。

進一步地，所述通過隨機游走算法對所述訓練數據集進行擴充，得到擴充數據集的步驟包括：

提取所述訓練數據集中行為數據的API調用函數名；

基于所述API調用函數名，記錄所述行為數據所在的多個線程；

在所述多個線程間調用隨機游走算法，得到游走數據；

基于所述游走數據對所述訓練數據集進行擴充，得到擴充數據集。

進一步地，所述基于所述擴充數據集，獲取向量化的API調用序列的步驟包括：

提取所述擴充數據集中的所有API調用函數名；

對所述API調用函數名進行編碼處理，得到API調用函數表；

基于所述API調用函數表進行向量化處理，得到向量化的API調用序列。

進一步地，所述基于所述惡意軟件動態檢測模型，對實時運行的待檢測軟件進行檢測，得到惡意軟件檢測結果的步驟包括：

記錄實時運行的待檢測軟件的API調用行為；