机器学习恶意软件检测模型的方法、系统和计算机可读介质技术方案

本文公开了用于机器学习恶意软件检测模型的方法、系统和计算机可读介质。所述系统从含有多个文件的文件数据库中采样文件，并基于对采样文件的分析对用于检测恶意文件的检测模型进行训练。所述系统基于在执行采样文件期间截获的多个可执行的命令形成行为日志，并基于所述行为日志生成多个行为模式。所述系统基于所述多个行为模式确定卷积函数，并通过在所述多个行为模式上使用所述卷积函数计算用于检测恶意文件的检测模型的多个参数，来训练所述检测模型。可以通过在执行可疑文件期间生成的系统行为日志上使用经训练的所述检测模型，来将经训练的所述检测模型用于检测恶意文件。

【技术实现步骤摘要】
机器学习恶意软件检测模型的方法、系统和计算机可读介质
本公开涉及杀毒(antivirus)技术。更具体地，本专利技术涉及用于机器学习恶意软件检测模型的方法、系统和计算机可读介质。
技术介绍
最近数十年来计算机技术的快速发展，以及个人计算机、笔记本电脑、平板电脑、智能手机等各种计算装置的广泛分布，已经成为在从网上冲浪到银行转账以及电子文档交通等无数问题和各种活动领域中使用这种装置的强大动力。在计算装置以及在这些装置上运行的软件的数量增长的同时，恶意程序的数量也快速增加了。目前存在大量的各种恶意程序。其中一些恶意程序从这些装置的用户窃取诸如登录名和密码、银行信息、电子文档等个人机密数据。另一些恶意程序从用户的装置形成所谓僵尸网络(botnet)，用于进行诸如拒绝服务(分布式服务拒绝DDoS)、在其它计算机或计算机网络上暴力破解密码等攻击。还有的恶意程序通过侵入式广告、付费订阅、向收费号码发送短信等方式向用户呈现付费内容。杀毒程序专用于对抗恶意程序，包括检测恶意程序、防止感染、恢复已被恶意程序感染的计算装置的工作能力。杀毒程序采用诸如静态分析和动态分析等各种技术来检测所有的恶意程序。静态分本文档来自技高网...

【技术保护点】
1.一种用于机器学习恶意文件检测模型的方法，其中，所述方法包括：从含有多个文件的文件数据库选择第一文件作为训练样本；基于在执行选中的所述第一文件期间截获的多个可执行的命令来生成行为日志；基于所述行为日志生成多个行为模式；基于所述多个行为模式确定卷积函数，以使得所述卷积函数的结果的逆卷积函数与所生成的行为模式的相似度大于指定的第一值；通过在所述多个行为模式上使用所述卷积函数计算用于检测恶意文件的检测模型的多个参数，来训练所述检测模型；以及在执行第二文件期间生成的系统行为日志上使用经训练的所述检测模型将所述第二文件检测为恶意文件。

【技术特征摘要】
2017.07.17 RU 2017125331;2017.10.18 US 62/573,745;1.一种用于机器学习恶意文件检测模型的方法，其中，所述方法包括：从含有多个文件的文件数据库选择第一文件作为训练样本；基于在执行选中的所述第一文件期间截获的多个可执行的命令来生成行为日志；基于所述行为日志生成多个行为模式；基于所述多个行为模式确定卷积函数，以使得所述卷积函数的结果的逆卷积函数与所生成的行为模式的相似度大于指定的第一值；通过在所述多个行为模式上使用所述卷积函数计算用于检测恶意文件的检测模型的多个参数，来训练所述检测模型；以及在执行第二文件期间生成的系统行为日志上使用经训练的所述检测模型将所述第二文件检测为恶意文件。2.根据权利要求1所述的方法，其中，所述检测模型包括含有多个规则的规则集合，其中，所述多个规则用于使用计算出的所述检测模型的所述多个参数、基于至少一个行为模式计算目标文件的危害度。3.根据权利要求1所述的方法，其中，所述基于在执行选中的所述第一文件期间截获的多个可执行的命令来生成行为日志包括：至少在执行选中的所述第一文件期间或在模拟执行选中的所述第一文件期间截获至少一个可执行的命令；针对每个截获的命令，确定描述所述每个截获的命令的至少一个参数；以及基于所截获的命令以及相应的参数生成与选中的所述第一文件相关联的所述行为日志。4.根据权利要求1所述的方法，其中，所述多个行为模式中的每个行为模式都包括集合，所述集合含有至少一个命令以及描述所述集合中所有命令的参数。5.根据权利要求1所述的方法，其中，所述卷积函数用于将行为模式的特征矢量计算为所述行为模式的元素的哈希和的总和，其中，所述卷积函数包括哈希函数，以使得计算出的所述特征矢量与计算出的所述特征矢量的所述哈希函数的结果的逆哈希函数的结果的相似度大于所述指定的第一值。6.根据权利要求1所述的方法，还包括：基于所述行为日志以及所述检测模型计算所述第二文件的危害度，其中，所述第二文件的危害度是描述所述第二文件的恶意行为的量化特征。7.根据权利要求1所述的方法，其中，所述在执行第二文件期间生成的系统行为日志上使用经训练的所述检测模型将所述第二文件检测为恶意文件包括：将所述截获的多个可执行的命令以及所述截获的多个可执行的命令的多个参数记录到所述系统行为日志中；在所述系统行为日志上使用经训练的所述检测模型计算危害系数；以及对应于确定所述危害系数超过第一阈值，确定所述第二文件为恶意文件。8.一种用于机器学习恶意文件检测模型的系统，其中，所述系统包括处理器，所述处理器用于：从含有多个文件的文件数据库选择第一文件作为训练样本；基于在执行选中的所述第一文件期间截获的多个可执行的命令来生成行为日志；基于所述行为日志生成多个行为模式；基于所述多个行为模式确定卷积函数，以使得所述卷积函数的结果的逆卷积函数与所生成的行为模式的相似度大于指定的第一值；通过在所述多个行为模式上使用所述卷积函数计算用于检测恶意文件的检测模型的多个参数，来训练所述检测模型；以及在执行第二文件期间生成的系统行为日志上使用经训练的所述检测模型将所述第二文件检测为恶意文件。9.根据权利要求8所述的系统，其中，所述检测模型包括含有多个规则的规则集合，其中，所述多个规则用于使用计算出的所述检测模型的所述多个参数、基于至少一个行为模式来计算目标文件的危害度。10.根据权利要求8所述的系统，其中，用于基于在执行选中的所述第一文件期间截获的所述多个可执行的命令来生成所述行为日志的所述处理器进一步用于：至少在执行选中的所述第一文件期间或在模拟执行选中的所述第一文件期间截获至少一个可执行的命令；针对每个截获的命令，确定描述所述每个截获的命令...

【专利技术属性】
技术研发人员：亚历山大·S·克里斯提科夫，叶卡捷琳娜·M·洛巴切瓦，阿列克谢·M·罗曼恩科，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：俄罗斯,RU