基于机器学习的程序识别方法及装置制造方法及图纸

本申请实施例公开了一种基于机器学习的程序识别方法及装置，所述方法包括：分析输入的未知程序，提取所述未知程序的特征；根据所提取的特征对所述未知程序进行分类；根据所述分类的结果，将所述未知程序输入已生成的训练模型及相应的决策机中进行判断；输出所述未知程序的识别结果，所述识别结果为恶意程序或非恶意程序。本申请采用机器学习技术，通过对大量程序样本进行分析，得到识别恶意程序的模型，通过该模型的使用可以节省大量的人力，提高对恶意程序的识别效率；并且，在基于对海量程序进行数据挖掘的基础上，可以发现程序的内在规律，对未发生的恶意程序进行预防，使得恶意程序难以被免杀。

【技术实现步骤摘要】
基于机器学习的程序识别方法及装置本专利技术专利申请是申请日为2010年11月29日、申请号为201010565513.9、名称为“基于机器学习的程序识别方法及装置”的中国专利技术专利申请的分案申请。
本申请涉及计算机
，特别是涉及一种基于机器学习的程序识别方法及装置。
技术介绍
恶意程序是一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到用户的计算机系统中，对用户系统改进型攻击。恶意程序可以包括病毒、后门程序、木马程序、宏病毒、引导区病毒、脚本病毒等。在查杀恶意病毒之前，首先要对恶意程序进行识别，以查杀病毒为例，现有技术中主要通过字符串特征码和简单的人工总结进行查杀，所查杀的病毒也均是已知的病毒，难以对新型病毒进行查杀。专利技术人在对现有技术的研究过程中发现，现有技术基本上采用字符串特征码和人工规则的启发式通杀，这种识别恶意程序的方式严重依赖于病毒分析师的能力，需要分析师针对已有样本进行人工分析，找出相应的特征，因此需要大量经验丰富的人员才能满足解决问题的需求，并且由于技术复杂，人工处理的结果将导致效率低效；现有技术中只能处理已知的问题，不能对可能发生的问题进行防范，因本文档来自技高网...

【技术保护点】
一种基于机器学习的程序识别方法，其特征在于，包括：分析输入的未知程序，提取所述未知程序的特征；所述输入的未知程序为PE文件；将所提取的特征放入一个特征向量之内对所述未知程序进行粗分类；根据所述粗分类的结果，将所述未知程序输入已生成的训练模型及相应的决策机中进行判断；输出所述未知程序的识别结果，所述识别结果为恶意程序或非恶意程序；输入提取到的海量程序，所述海量程序中包括恶意程序和非恶意程序；从所输入的每个程序中提取特征，并对所提取的特征进行分类；根据所述分类的结果，将不同类别的特征使用不同的决策机进行训练，生成用于识别恶意程序的训练模型或训练模型集合；其中，所述从所输入的每个程序中提取特征包括：...

【技术特征摘要】
1.一种基于机器学习的程序识别方法，其特征在于，包括：分析输入的未知程序，提取所述未知程序的特征；所述输入的未知程序为PE文件；将所提取的特征放入一个特征向量之内对所述未知程序进行粗分类；根据所述粗分类的结果，将所述未知程序输入已生成的训练模型及相应的决策机中进行判断；输出所述未知程序的识别结果，所述识别结果为恶意程序或非恶意程序；输入提取到的海量程序，所述海量程序中包括恶意程序和非恶意程序；从所输入的每个程序中提取特征，并对所提取的特征进行分类；根据所述分类的结果，将不同类别的特征使用不同的决策机进行训练，生成用于识别恶意程序的训练模型或训练模型集合；其中，所述从所输入的每个程序中提取特征包括：分析每个程序文件，从所述程序文件中抽取预先定义的特征；根据所抽取的特征生成特征向量，以及每个特征向量的黑白属性。2.根据权利要求1所述的方法，其特征在于，当包括多个训练模型时，所述将未知程序输入已生成的训练模型及相应的决策机中进行判断包括：将未知程序分别输入一个或多个已生成的训练模型及相应的决策机中进行判断；根据预先设置的每种特征分类在每个训练模型中的权重，将每个训练模型及相应的决策机对所述未知程序进行判断的结果进行加权计算；所述输出未知程序的识别结果具体为：根据所述加权计算的结果输出对所述未知程序的识别结果。3.根据权利要求1所述的方法，其特征在于，所述对所提取的特征进行分类具体为：根据已知编译器的入口指令序列判定编译生成相应程序的编译器类型。4.根据权利要求1所述的方法，其特征在于，所述不同的决策机使用相同或不同的方式对特征进行训练，包括：使用支持向量机的决策机进行训练，或使用决策树的决策机进行训练。5.根据权利...

【专利技术属性】
技术研发人员：周鸿祎，董毅，周辉，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：北京,11