【技术实现步骤摘要】
一种程序分类模型训练方法、程序分类方法及装置
本申请涉及计算机领域,尤其涉及一种程序分类模型训练方法、程序分类方法及装置。
技术介绍
对程序进行分类是计算机领域中一个很重要的需求,其目的在于对程序进行识别。例如识别一段程序是正常程序还是恶意程序。恶意程序是指带有攻击意图的程序,它会破坏计算机系统的正常功能,导致计算机系统无法正常运行甚至崩溃,所以恶意程序一直是信息安全行业的重大威胁。如果能提前识别出一段程序为恶意程序,那么就可以对该程序进行相应的处理,减少对计算机系统的影响。目前常用的程序分类方法首先需要利用已知类别的程序对程序分类模型进行训练,然后基于训练得到的程序分类模型对类别未知的程序进行分类,例如为恶意程序或是正常程序。不论是训练过程还是分类过程,都需要提取程序相应的特征。常见的特征提取方法主要包括两种,一种是提取程序的静态特征,所谓静态特征是指基于程序自身的结构特点得到的特征;另外一种是提取程序的动态特征,所谓动态特征是指程序在运行过程中体现的行为特征。然而,虽然利用静态特征对程序分类模型训练可以识...
【技术保护点】
1.一种程序分类模型的训练方法,其特征在于,所述方法包括:/n接收输入的多个样本程序,所述样本程序是指所属的类别已被预先标定的程序,所述多个样本程序属于至少两个不同类别;/n从所述多个样本程序中选择出一个样本程序,执行以下处理从而得到选择出的样本程序的至少一个备选融合特征的特征值,直到处理完所述多个样本程序中的每个样本程序为止:/n依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预设动态特征集,获取选择出的样本程序的每个所述静态特征的特征值和每个所述动态特征的特征值,所述静态特征反映所述选择出的样本程序的结构特点,所述动态特征反映所述选择出的样本程序在运...
【技术特征摘要】
1.一种程序分类模型的训练方法,其特征在于,所述方法包括:
接收输入的多个样本程序,所述样本程序是指所属的类别已被预先标定的程序,所述多个样本程序属于至少两个不同类别;
从所述多个样本程序中选择出一个样本程序,执行以下处理从而得到选择出的样本程序的至少一个备选融合特征的特征值,直到处理完所述多个样本程序中的每个样本程序为止:
依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预设动态特征集,获取选择出的样本程序的每个所述静态特征的特征值和每个所述动态特征的特征值,所述静态特征反映所述选择出的样本程序的结构特点,所述动态特征反映所述选择出的样本程序在运行过程中体现的行为;
根据所述选择出的样本程序的至少一个静态特征的特征值、至少一个动态特征的特征值以及至少一个融合操作规则,获得所述选择出的样本程序的至少一个备选融合特征的特征值,所述至少一个备选融合特征中的每个备选融合特征的特征值是基于对应的融合操作规则得到的,所述融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所述预设动态特征集中的指定动态特征的特征值执行融合操作;
针对所述至少一个备选融合特征中的第一备选融合特征,执行以下处理,以此类推,从而得到每个备选融合特征的评价值:根据所述第一备选融合特征在每个样本程序中的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评价值,所述评价值的大小体现所述第一备选融合特征用于区分样本程序所属类别的有效程度;
根据所述每个备选融合特征的评价值,从所述至少一个备选融合特征中选择目标融合特征,所述目标融合特征的评价值体现的有效程度大于所述至少一个备选融合特征中的其他备选融合特征的评价值体现的有效程度;
根据所述每个样本程序中所述目标融合特征的特征值,训练得到程序分类模型。
2.根据权利要求1所述的方法,其特征在于,所述根据所述第一备选融合特征在每个样本程序中的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评价值包括:
按照样本程序所属的类别,统计每个类别的样本程序中所述第一备选融合特征的特征值,从而得到所述第一备选融合特征在各个类别的统计值;
根据所述第一备选融合特征在各个类别的统计值,确定所述第一备选融合特征的评价值。
3.根据权利要求2所述的方法,其特征在于,所述统计值包括以下其中一种或多种:
所述第一备选融合特征的特征值的中位数、均值和方差。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述第一备选融合特征的特征值是基于对应的第一融合操作规则得到的;
所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:
所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所述预设动态特征集中的第一动态特征的特征值执行数学运算。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述至少一个备选融合特征包括第二备选融合特征,所述第二备选融合特征的特征值是基于对应的第二融合操作规则得到的;
所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:
所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所述预设动态特征集中的第二动态特征的特征值执行逻辑操作。
6.根据权利要求1-3任一项所述的方法,其特征在于,所述至少一个备选融合特征包括第三备选融合特征,所述第三备选融合特征的特征值是基于对应的第三融合操作规则得到的;
所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:
所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本身相同、且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计算所述第三备选融合特征的特征值。
7.根据权利要求6所述的方法,其特征在于,所述根据所述特征本身相同且特征值相同的特征的总数目计算所述第三备选融合特征的特征值包括:
确定第一数值和第二数值中的最大值,所述第一数值为所述预设静态特征集中包含的静态特征的总数目,所述第二数值为所述预设动态特征集中包含的动态特征的总数目;
计算所述特征本身相同且特征值相同的特征的总数目与所述最大值之间的比值,将所述比值作为所述第三备选融合特征的特征值。
8.根据权利要求1-7任一项所述的方法,其特征在于,所述根据所述每个样本程序中所述目标融合特征的特征值,训练得到程序分类模型包括:
根据所述每个样本程序中所述目标融合特征的特征值、所述每个样本程序的至少一个静态特征的特征值以及所述每个样本程序的至少一个动态特征的特征值,训练得到程序分类模型。
9.根据权利要求1-8任一项所述的方法,其特征在于,所述至少一个动态特征包括所述样本程序的参数模型和/或所述样本程序在运行过程中所调用的至少一个接口,所述参数模型根据所述样本程序在运行过程中所使用的参数提取得到。
10.根据权利要求9所述的方法,其特征在于,所述至少一个动态特征包括第三动态特征;
所述选择出的样本程序的第三动态特征的特征值为所述第三动态特征的频率,所述第三动态特征的频率为第三动态特征在选择出的样本程序中出现的次数与所述预设动态特征集包括的动态特征的总数目之间的比值。
11.一种程序分类方法,其特征在于,所述方法包括:
获取目标程序;
依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预设动态特征集,获取所述目标程序的每个所述静态特征的特征值和每个所述动态特征的特征值;所述静态特征为体现所述目标程序的结构特点的特征,所述动态特征为所述目标程序在运行过程中体现的行为特征;
获取所述目标程序的至少一个目标融合特征的特征值,所述目标程序的至少一个目标融合特征的特征值是基于对应的融合操作规则得到的,所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设动态特征集中指定动态特征的特征值执行融合操作;
将所述目标程序的至少一个目标融合特征的特征值输入程序分类模型,得到对所述目标程序的分类结果。
12.根据权利要求11所述的方法,其特征在于,所述至少一个目标融合特征包括第一目标融合特征,所述第一目标融合特征的特征值是基于对应的第一融合操作规则得到的;
所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设动态特征集中指定动态特征的特征值执行融合操作,包括:
所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所述预设动态特征集中的第一动态特征的特征值执行数学运算。
13.根据权利要求11所述的方法,其特征在于,所述至少一个目标融合特征包括第二目标融合特征,所述第二目标融合特征的特征值是基于对应的第二融合操作规则得到的;
所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设动态特征集中指定动态特征的特征值执行融合操作,包括:
所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所述预设动态特征集中的第二动态特征的特征值执行逻辑操作。
14.根据权利要求11所述的方法,其特征在于,所述至少一个目标融合特征包括第三目标融合特征,所述第三目标融合特征的特征值是基于对应的第三融合操作规则得到的;
所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设动态特征集中指定动态特征的特征值执行融合操作,包括:
所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本身相同且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计算所述第三目标融合特征的特征值。
15.根据权利要求14所述的方法,其特征在于,所述...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。