恶意软件检测器训练方法、检测器、电子设备及存储介质技术

本发明专利技术公开了一种恶意软件检测器训练方法、检测器、电子设备及存储介质。恶意软件检测器训练方法包括：获取原始样本数据集，并得到原始样本数据集的原始恶意软件检测率；获取每个原始样本的特征参数，特征参数用于表征原始样本为恶意软件的不确定程度；根据特征参数，从原始样本数据集中选择占总样本比例为α的代表样本数据集，并得到代表样本数据集的恶意软件检测率，其中，α大于0且小于1，恶意软件检测率与原始恶意软件检测率的差值在第一预设范围内；将代表样本数据集输入预设训练模型进行训练，得到恶意软件检测器。本发明专利技术提供的恶意软件检测器训练方法能够在降低模型训练难度的同时，确保训练后模型的准确率。确保训练后模型的准确率。确保训练后模型的准确率。

【技术实现步骤摘要】
恶意软件检测器训练方法、检测器、电子设备及存储介质


[0001]本专利技术涉及软件安全
，尤其涉及一种恶意软件检测器训练方法、检测器、电子设备及存储介质。

技术介绍

[0002]目前，数量庞大的恶意软件对安卓系统安全和用户权益构成了极大威胁。因此，研究安卓恶意软件检测方法是移动端操作系统安全防护领域的重要内容之一。
[0003]可解释性安卓恶意软件检测方法主要为基于规则的安卓恶意软件检测方法，该方法主要是提取出获取恶意软件频繁请求但良性软件很少请求的权限，以此作为检测安卓恶意软件的规则，再利用该规则集检测恶意软件。
[0004]然而，专利技术人发现：基于规则的安卓恶意软件检测方法能够体现特征与检测结果之间的因果关系，但该方法建立在大量人工分析的基础上，模型的训练难度高。

技术实现思路

[0005]本专利技术提供了一种恶意软件检测器训练方法、检测器、电子设备及存储介质，其能够在降低模型训练难度的同时，确保训练后模型的准确率。
[0006]根据本专利技术的一方面，提供了一种恶意软件检测器训练方法，包括：获取原始样本数据集，并得到所述原始样本数据集的原始恶意软件检测率，其中，所述原始样本数据集中包括多个原始样本；获取每个所述原始样本的特征参数，所述特征参数用于表征所述原始样本为恶意软件的不确定程度；根据所述特征参数，从所述原始样本数据集中选择占总样本比例为α的代表样本数据集，并得到所述代表样本数据集的恶意软件检测率，其中，α大于0且小于1，所述恶意软件检测率与所述原始恶意软件检测率的差值在第一预设范围内；将所述代表样本数据集输入预设训练模型进行训练，得到恶意软件检测器。
[0007]根据本专利技术的另一方面，提供了一种恶意软件检测器，包括：原始样本检测率获取模块，用于获取原始样本数据集，并得到所述原始样本数据集的原始恶意软件检测率，其中，所述原始样本数据集中包括多个原始样本；特征参数获取模块，用于获取每个所述原始样本的特征参数，所述特征参数用于表征所述原始样本为恶意软件的不确定程度；代表样本检测率获取模块，用于根据所述特征参数，从所述原始样本数据集中选择占总样本比例为α的代表样本数据集，并得到所述代表样本的恶意软件检测率，其中，α大于0且小于1，所述恶意软件检测率与所述原始软件检测率的差值在第一预设范围内；检测器训练模块，用于将所述代表样本数据集输入预设训练模型进行训练，得到恶意软件检测器。
[0008]根据本专利技术的另一方面，提供了一种电子设备，所述电子设备包括：
[0009]至少一个处理器；以及
[0010]与所述至少一个处理器通信连接的存储器；其中，
[0011]所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本专利技术任一实施例所述的
恶意软件检测器训练方法。
[0012]根据本专利技术的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本专利技术任一实施例所述的恶意软件检测器训练方法。
[0013]与相关技术，本专利技术实施例至少具有如下优点：
[0014]通过根据原始样本的特征参数，从原始样本数据集中选择代表样本数据集，一方面能够使输入预设模型进行训练的样本数据的数量变少，从而使模型无需训练大量数据，进而降低了模型训练的难度；另一方面，能够确保恶意软件检测率与原始恶意软件检测率的差值在第一预设范围内，使得通过代表样本数据集训练，能够达到与通过原始样本数据集训练相同的训练效果，从而确保了训练后预设模型的准确率；此外，上述的模型训练方法无需人工分析，能够极大的减少人力成本。
[0015]应当理解，本部分所描述的内容并非旨在标识本专利技术的实施例的关键或重要特征，也不用于限制本专利技术的范围。本专利技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0016]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0017]图1是根据本专利技术实施例一提供的恶意软件检测器训练方法的流程图；
[0018]图2是根据本专利技术实施例二提供的恶意软件检测器训练方法的流程图；
[0019]图3是根据本专利技术实施例三提供的恶意软件检测器训练方法的流程图；
[0020]图4是根据本专利技术实施例四提供的恶意软件检测器训练方法的流程图；
[0021]图5是根据本专利技术实施例四提供的恶意软件检测器训练方法的原理框图；
[0022]图6根据本专利技术实施例五提供的恶意软件检测器的结构示意图；
[0023]图7是实现本专利技术实施例六的恶意软件检测器训练方法的电子设备的结构示意图。
具体实施方式
[0024]为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0025]需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于
清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
[0026]实施例一
[0027]图1为本专利技术实施例一提供了一种恶意软件检测器训练方法的流程图，如图1所示，该方法包括：
[0028]S110、获取原始样本数据集，并得到原始样本数据集的原始恶意软件检测率。
[0029]具体的说，原始样本数据集中包括多个原始样本，在获取原始样本数据集时，同时可以得知原始样本的种类(恶意软件或良性软件)，也就是说，此时能够知道原始样本数据集中恶意软件的具体数量；将原始样本输入特征集训练分类器中，即可得到每个样本被分类为恶意软件或良性软件的概率(如一个样本为恶意软件的概率为0.6，良性软件的概率为0.4，则判定该样本为恶意软件)；假设原始样本数据集中恶意软件的具体数量为500个，而通过特征集训练分类器检测出来的恶意软件数量为450个，则原始样本数据集的原始恶意软件检测率为450/500＝90％。
[0030]S120、获取每个原始样本的特征参数。
[0031]具体的说，特征参数用于表征原本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意软件检测器训练方法，其特征在于，包括：获取原始样本数据集，并得到所述原始样本数据集的原始恶意软件检测率，其中，所述原始样本数据集中包括多个原始样本；获取每个所述原始样本的特征参数，所述特征参数用于表征所述原始样本为恶意软件的不确定程度；根据所述特征参数，从所述原始样本数据集中选择占总样本比例为α的代表样本数据集，并得到所述代表样本数据集的恶意软件检测率，其中，α大于0且小于1，所述恶意软件检测率与所述原始恶意软件检测率的差值在第一预设范围内；将所述代表样本数据集输入预设训练模型进行训练，得到恶意软件检测器。2.根据权利要求1所述的恶意软件检测器训练方法，其特征在于，所述特征参数为信息熵；所述获取每个所述原始样本的特征参数，包括：将多个所述原始样本输入预设训练分类器，得到每个所述原始样本被分类为恶意软件或良性软件的概率；根据以下公式得到所述信息熵：其中，n为原始样本数量，i为原始样本序号，p(y
i
)为原始样本被分类为恶意软件或良性软件的概率，H(Y)为所述信息熵。3.根据权利要求1所述的恶意软件检测器训练方法，其特征在于，所述根据所述特征参数，从所述原始样本数据集中选择占总样本比例为α的代表样本数据集，包括：根据所述信息熵的大小对所述原始样本数据集中的多个原始样本进行降序排列；选择所述多个原始样本中信息熵最大、且占总样本比例为α的样本作为所述代表样本数据集。4.根据权利要求1
‑
3中任一项所述的恶意软件检测器训练方法，其特征在于，在得到所述代表样本数据集的恶意软件检测率之后，还包括：判断所述恶意软件检测率与所述原始恶意软件检测率的差值是否在所述第一预设范围内；在判定在所述第一预设范围内时，再执行所述将所述代表样本数据集输入预设训练模型；在判定不在所述第一预设范围内时，调整α的大小，得到新的恶意软件检测率，直至所述新的恶意软件检测率与所述原始恶意软件检测率的差值在所述第一预设范围内。5.根据权利要求1所述的恶意软件检测器训练方法，其特征在于，所述将所述代表样本数据集输入预设训练模型进行训练，得到恶意软件检测器，包括：将所述代表样本数据集输入基于AdaBoost算法的检测模型，提取初始检测规则，其中，所述初始检测规则为由多个逻辑连接字连接的特征表达式；去除每个所述初始检测规则中多余的逻辑连接字，并将去除多余的逻辑连接字的初始检测规则作为精简检测...

【专利技术属性】
技术研发人员：王海州，
申请(专利权)人：中国农业银行股份有限公司，
类型：发明
国别省市：