本发明专利技术提供一种恶意软件检测模型训练、恶意软件检测方法及装置,恶意软件检测模型训练方法包括:获取多个恶意软件;确定各恶意软件对应的训练合成行为图;对训练合成行为图添加第一标签;根据训练合成行为图获取一个或多个训练公共行为图,各训练公共行为图分别对应一个恶意软件家族,对训练公共行为图添加第二标签;将训练合成行为图和训练公共行为图输入到图匹配模型中得到第一相似系数;若第一相似系数和第二相似系数的差值小于预设相似系数,将当前的图匹配模型确定为恶意软件检测模型。本发明专利技术通过提取训练公共行为图缩小了在检测恶意软件时的检测范围,提高了恶意软件检测模型的检测速度,以及检测结果的准确性。以及检测结果的准确性。以及检测结果的准确性。
【技术实现步骤摘要】
一种恶意软件检测模型训练、恶意软件检测方法及装置
[0001]本专利技术属于安全监测
,具体涉及到一种恶意软件检测模型训练、恶意软件检测方法及装置。
技术介绍
[0002]随着移动互联网的不断发展,在电力行业,电力移动终端的数量不断增长,但同时,恶意软件的快速增长给电力移动终端用户带来了巨大的危害,包括资费消耗、隐私窃取以及远程控制等,而电力行业等关键领域的工业控制系统作为关乎国计民生的重要基础设施,一直以来都是网络安全攻击的重点,极易成为网络战的首要目标,因此需要一种快速高效的恶意软件检测方法来对电力移动互联终端进行安全防护。
[0003]目前恶意软件检测技术可以分为静态分析技术,动态分析技术以及基于机器学习的分析技术三类。
[0004]静态分析方法是对整个App的代码和资源进行分析,能达到很高的代码覆盖率,但是,由于并不真正执行应用程序,该方法无法得到软件的真实执行路径和执行上下文,且无法避免代码混淆以及动态代码的加载带来的干扰。
[0005]动态分析是根据App运行时的行为来分析其恶意行为,通常App在Android的虚拟机或者一台真实的物理机上运行,动态分析技术能够避免代码混淆以及动态代码的加载带来的干扰,但是该方法存在代码覆盖率不高、分析时间长、效率低的问题。
[0006]基于机器学习的恶意软件检测方法的基本原理是通过程序分析等技术提取不同的特征描述待分析样本的不同行为,然后每一个特征样本均用一个固定维度向量表示,最后借助于现有的机器学习算法对已知特征样本进行训练并构建分类器,从而能够对未知样本进行预测判断,但是,现有的特征提取大多直接分析软件本身,导致基于字符串形式存在的特征容易被现有的混淆技术所篡改,从而绕过恶意软件检测,因此,通过传统的机器学习算法无法实现对恶意软件的准确检测。
技术实现思路
[0007]因此,针对现有技术中的问题,本专利技术提供一种恶意软件检测模型训练、恶意软件检测方法及装置,用以解决现有技术中存在的问题。
[0008]第一方面,本专利技术提供一种恶意软件检测模型训练方法,包括:获取软件样本库,软件样本库中包括多个恶意软件;对软件样本库中的恶意软件进行分析,得到各恶意软件对应的训练合成行为图;对训练合成行为图添加第一标签;根据训练合成行为图获取一个或多个训练公共行为图,各训练公共行为图分别对应一个恶意软件家族,对训练公共行为图添加第二标签;将训练合成行为图和训练公共行为图输入到图匹配模型中,得到训练合成行为图与训练公共行为图的第一相似系数;确定第一标签与第二标签的第二相似系数,对第一相似系数和第二相似系数作差,若第一相似系数和第二相似系数的差值小于预设相似系数,则将当前的图匹配模型确定为恶意软件检测模型。
[0009]可选的,在本专利技术提供的恶意软件检测模型训练方法中,对软件样本库中的恶意软件进行分析,得到各恶意软件对应的训练合成行为图,包括:对软件样本库中的恶意软件进行反编译,得到反编译代码和清单配置文件;根据反编译代码生成训练基本行为图;根据反编译代码和清单配置文件生成测试脚本,利用测试脚本对恶意软件进行动态测试,得到动态运行信息;通过动态运行信息和训练基本行为图生成训练合成行为图。
[0010]可选的,在本专利技术提供的恶意软件检测模型训练方法中,训练合成行为图包括一个或多个极大连通子图,极大连通子图包括一个或多个边,根据训练合成行为图获取一个或多个训练公共行为图,包括:根据第一标签对训练合成行为图进行分类组合,得到一个或多个训练合成行为图集合;确定各训练合成行为图集合中各极大连通子图的边的权值;基于各训练合成行为图集合中各极大连通子图的边的权值,分别确定与各训练合成行为图集合相对应的训练公共行为图。
[0011]可选的,在本专利技术提供的恶意软件检测模型训练方法中,基于训练合成行为图集合中各极大连通子图的边的权值,确定与训练合成行为图集合相对应的训练公共行为图,包括:根据训练合成行为图集合中各极大连通子图的边的权值,确定各极大连通子图的边平均权值,以及训练合成行为图集合的子图间权值平均值,子图间权值平均值为训练合成行为图集合中极大连通子图的边平均权值的均值;将边平均权值大于子图间权值平均值的极大连通子图中,权值小于预设值的边进行删除,形成中间图;将边的权值的和最大的中间图确定为训练合成行为图集合对应的训练公共行为图。
[0012]可选的,在本专利技术提供的恶意软件检测模型训练方法中,还包括:若第一相似系数和第二相似系数的差值大于或等于预设相似系数,则利用反向传播算法对图匹配模型进行优化训练,返回将训练合成行为图和训练公共行为图输入到图匹配模型中,得到训练合成行为图与训练公共行为图的第一相似系数的步骤,直到第一相似系数和第二相似系数的差值小于预设相似系数。
[0013]第二方面,本专利技术提供了一种恶意软件检测方法,包括:获取待检测软件的合成行为图;将合成行为图和恶意软件的公共行为图输入到恶意软件检测模型中,计算合成行为图和公共行为图的相似度,若相似度大于预设相似度,则判定待检测软件为恶意软件,恶意软件检测模型通过本专利技术中任一项的恶意软件检测模型训练方法确定。
[0014]可选的,在本专利技术提供的恶意软件检测方法中,获取待检测软件的合成行为图,包括:对待检测软件进行反编译,得到待检测软件的反编译代码;根据待检测软件的反编译代码生成控制流图;根据控制流图得到待检测软件的基本行为图;对待检测软件进行动态分析收集待检测软件的动态运行信息,将待检测软件的动态运行信息加入到基本行为图中,得到合成行为图。
[0015]第三方面,本专利技术提供一种恶意软件检测模型训练装置,包括:数据获取模块,用于获取软件样本库,软件样本库中包括多个恶意软件;数据分析模块,用于对软件样本库中的恶意软件进行分析,得到各恶意软件对应的训练合成行为图;标签添加模块,用于对训练合成行为图添加第一标签;提取模块,用于根据训练合成行为图获取一个或多个训练公共行为图,各训练公共行为图分别对应一个恶意软件家族,对训练公共行为图添加第二标签;输入模块,用于将训练合成行为图和训练公共行为图输入到图匹配模型中,得到训练合成行为图与训练公共行为图的第一相似系数;模型确定模块,用于确定第一标签与第二标签
的第二相似系数,对第一相似系数和第二相似系数作差,若第一相似系数和第二相似系数的差值小于预设相似系数,则将当前的图匹配模型确定为恶意软件检测模型。
[0016]第四方面,本专利技术提供一种恶意软件检测装置,包括:图获取模块,用于获取待检测软件的合成行为图;图处理模块,用于将合成行为图和恶意软件的公共行为图输入到恶意软件检测模型中,计算合成行为图和公共行为图的相似度,若相似度大于预设相似度,则判定待检测软件为恶意软件,恶意软件检测模型通过本专利技术中任一项的恶意软件检测模型训练方法确定。
[0017]第五方面,本专利技术提供一种计算机设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,从而本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意软件检测模型训练方法,其特征在于,包括:获取软件样本库,所述软件样本库中包括多个恶意软件;对所述软件样本库中的恶意软件进行分析,得到各恶意软件对应的训练合成行为图;对所述训练合成行为图添加第一标签;根据所述训练合成行为图获取一个或多个训练公共行为图,各所述训练公共行为图分别对应一个恶意软件家族,对所述训练公共行为图添加第二标签;将所述训练合成行为图和所述训练公共行为图输入到图匹配模型中,得到所述训练合成行为图与所述训练公共行为图的第一相似系数;确定所述第一标签与所述第二标签的第二相似系数,对所述第一相似系数和所述第二相似系数作差,若所述第一相似系数和所述第二相似系数的差值小于预设相似系数,则将当前的图匹配模型确定为恶意软件检测模型。2.根据权利要求1所述的恶意软件检测模型训练方法,其特征在于,对所述软件样本库中的恶意软件进行分析,得到各恶意软件对应的训练合成行为图,包括:对所述软件样本库中的恶意软件进行反编译,得到反编译代码和清单配置文件;根据所述反编译代码生成训练基本行为图;根据所述反编译代码和所述清单配置文件生成测试脚本,利用所述测试脚本对所述恶意软件进行动态测试,得到动态运行信息;通过所述动态运行信息和所述训练基本行为图生成所述训练合成行为图。3.根据权利要求1所述的恶意软件检测模型训练方法,其特征在于,所述训练合成行为图包括一个或多个极大连通子图,所述极大连通子图包括一个或多个边,根据所述训练合成行为图获取一个或多个训练公共行为图,包括:根据所述第一标签对所述训练合成行为图进行分类组合,得到一个或多个训练合成行为图集合;确定各训练合成行为图集合中各极大连通子图的边的权值;基于各训练合成行为图集合中各极大连通子图的边的权值,分别确定与各训练合成行为图集合相对应的训练公共行为图。4.根据权利要求3所述的恶意软件检测模型训练方法,其特征在于,基于训练合成行为图集合中各极大连通子图的边的权值,确定与训练合成行为图集合相对应的训练公共行为图,包括:根据训练合成行为图集合中各极大连通子图的边的权值,确定各极大连通子图的边平均权值,以及训练合成行为图集合的子图间权值平均值,所述子图间权值平均值为所述训练合成行为图集合中极大连通子图的边平均权值的均值;将边平均权值大于所述子图间权值平均值的极大连通子图中,权值小于预设值的边进行删除,形成中间图;将边的权值的和最大的中间图确定为所述训练合成行为图集合对应的训练公共行为图。5.根据权利要求1所述的恶意软件检测模型训练方法,其特征在于,还包括:若所述第一相似系数和所述第二相似系数的差值大于或等于预设相似系数,则利用反向传播算法对所述图匹配模型进行优化训练,返回将所述训练合成行为图和所述训练公共
行为图输入到图匹配模型中,得到所述...
【专利技术属性】
技术研发人员:陈璐,邵志鹏,马媛媛,陈牧,戴造建,李尼格,曹婉恬,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。