行为恶意程度的确定方法、装置、计算机设备和存储介质制造方法及图纸

本申请提供了一种行为恶意程度的确定方法、装置、计算机设备和存储介质。该方法包括：根据软件在沙箱环境中的行为生成行为序列；根据行为序列构建预设深度学习模型的输入向量；将输入向量输入至预设深度学习模型，其中，深度学习模型用于将输入向量转化为高层特征，并根据高层特征确定软件的类别，类别包括恶意软件和非恶意软件；当软件属于恶意软件时，根据高层特征计算行为序列中行为对应的热力值；以及根据热力值确定出行为序列中的行为的恶意程度，其中，热力值越大，行为的恶意程度越大。通过本申请，能够确定恶意软件执行行为的恶意程度，有利于提高沙箱行为规则的准确性和全面性。

【技术实现步骤摘要】
行为恶意程度的确定方法、装置、计算机设备和存储介质
本申请涉及安全信息处理
，尤其涉及一种行为恶意程度的确定方法、装置、计算机设备和可读存储介质。
技术介绍
恶意软件，是指为了达到非授权控制计算机或窃取计算机数据等目的，具有多种恶意行为的计算机程序。目前检测计算机恶意软件的主要方法分为静态分析和动态分析两种。静态分析是指不用运行软件，通过分析软件源代码来实现恶意软件的检测，其优势在于检测速度快，但越来越多的恶意软件使用了加壳、加花指令等多种混淆手段，使之绕过静态检测，导致静态分析方法的有效性下降。动态分析是指将软件在沙箱里运行，分析其产生的主机行为、网络行为等行为，进而判断该软件是否为恶意软件，虽然速度稍慢，但因其捕获到的是最本质的行为特征，精确程度远高于静态分析方法。专利技术人研究发现，动态分析的难点在于如何既准确又全面地设定和开发一套沙箱行为规则，来判定恶意软件，并且在设定沙箱行为规则时，需要根据恶意软件执行行为的恶意性进行确定，因此，如何确定恶意软件执行行为的恶意程度，以提高沙箱行为规则的准确性和全面性，成为本领域亟需解决的本文档来自技高网...

【技术保护点】
1.一种行为恶意程度的确定方法，其特征在于，包括：/n根据软件在沙箱环境中的行为生成行为序列；/n根据所述行为序列构建预设深度学习模型的输入向量；/n将所述输入向量输入至所述预设深度学习模型，其中，所述预设深度学习模型用于将所述输入向量转化为高层特征，并根据所述高层特征确定所述软件的类别，所述类别包括恶意软件和非恶意软件；/n当所述软件属于恶意软件时，根据所述高层特征计算所述行为序列中行为对应的热力值；以及/n根据所述热力值确定出所述行为序列中的行为的恶意程度，其中，所述热力值越大，所述行为的恶意程度越大。/n

【技术特征摘要】
1.一种行为恶意程度的确定方法，其特征在于，包括：
根据软件在沙箱环境中的行为生成行为序列；
根据所述行为序列构建预设深度学习模型的输入向量；
将所述输入向量输入至所述预设深度学习模型，其中，所述预设深度学习模型用于将所述输入向量转化为高层特征，并根据所述高层特征确定所述软件的类别，所述类别包括恶意软件和非恶意软件；
当所述软件属于恶意软件时，根据所述高层特征计算所述行为序列中行为对应的热力值；以及
根据所述热力值确定出所述行为序列中的行为的恶意程度，其中，所述热力值越大，所述行为的恶意程度越大。


2.根据权利要求1所述的行为恶意程度的确定方法，其特征在于，所述深度学习模型用于将所述输入向量转化为多个通道的高层特征，根据所述高层特征计算所述行为序列中行为对应的热力值的步骤包括：
计算每个通道的所述高层特征对所述恶意软件类别的敏感度；
根据所述敏感度确定所述高层特征对应的权重；
按照所述高层特征对应的权重将各个通道的所述高层特征进行加权求和，以得到所述行为序列对应的热力分布；
根据所述行为序列对应的热力分布确定所述热力值。


3.根据权利要求2所述的行为恶意程度的确定方法，其特征在于，
所述深度学习模型根据所述高层特征确定所述软件的类别具体为：根据所述高层特征输出所述软件在恶意软件类别上的得分，计算每个通道的所述高层特征对所述恶意软件类别的敏感度的步骤包括：计算所述得分对所述高层特征的偏导数；当所述高层特征为二维特征图时，对所述偏导数取宽高维度的全局平均，以得到所述敏感度，当所述高层特征为一维特征向量时，对所述偏导数取宽维度的全局平均，以得到所述敏感度；和/或，
当所述高层特征为二维特征图时，所述热力分布包括多个与所述行为一一对应的热力向量，根据所述行为序列对应的热力分布确定所述热力值的步骤包括：提取所述热力向量中的最大值或者计算所述热力向量中正值的平均值，以得到所述行为对应的热力值。


4.根据权利要求2所述的行为恶意程度的确定方法，其特征在于，在根据所述行为序列对应的热力分布确定所述热力值的步骤之后，所述行为恶意程度的确定方法还包括：
对所述行为序列中各行为对应的热力值进行处理，其中，若所述热力值小于所述预设阈值，将所述热力值置为0，所述热力值大于或等于所述预设阈值，则保持所述热力值不变；
将所述处理后的热力值归一化至[0,255]；以及
将所述归一化后的热力值映射到RGB空间进行显示。


5.根据权利要求1所述的行为恶意程度的确定方法，其特征在于，根据所述行为序列构建预设深度学习模型的输入向量的步骤包括：
在所述沙箱对应的行为字典中，查找所述行为序列中行为对应的标识；
将所述行为对应的标识转化为onehot编码；以及
将所述行为序列对应的onehot编码作为所述深度学习模型的输入向量。


6.根据权利要求5所述的行为恶意程度的确定方法，其特征在于，
根据软件在沙箱环境中的行为生成行为序列的步骤包括：
获取所述软件在沙箱环境中的运行日志，其中，所述运行日志包括多条行为，所述行为包括API名称；
通过所述运行日志中的API名称形成所述行为序列，其中，所述行为序列...

【专利技术属性】
技术研发人员：王占一，刘浩然，李宁，齐向东，吴云坤，
申请(专利权)人：网神信息技术北京股份有限公司，奇安信科技集团股份有限公司，
类型：发明
国别省市：北京;11