【技术实现步骤摘要】
恶意代码的检测模型处理方法、检测方法和装置
[0001]本申请涉及计算机安全
,特别是涉及一种恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。
技术介绍
[0002]随着计算机技术的快速发展,计算机技术已经渗透到生活中的各方各面。随之而来的,计算机安全也成为了重要问题。其中,计算机设备上运行的恶意代码已经给计算机安全造成极大挑战。由此,需要对计算机设备上运行的恶意代码进行检测。
[0003]在相关技术中,主要是通过文件特征检测实现恶意代码检测。进行文件特征检测时,是确定待测代码文件的结构特征,从而检测该结构特征是否存在于预先建立的恶意代码特征库中,若是,则确定待侧代码文件记载有恶意代码。然而,通过文件特征检测进行恶意代码检查,容易发生漏检,检测恶意代码的准确性较低。
技术实现思路
[0004]基于此,有必要针对上述技术问题,提供一种检测恶意代码准确性高的恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。
[0005]一方面,本申请提供了一种恶意代码的检测模型处理方法,该方法包括:
[0006]获取代码训练样本的样本行为记录集合,样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为;
[0007]获取目标行为类型特征集,目标行为类型特征集包括用于训练检测模型的代码行为类型;
[0008]参考目标行为类型特征集,基于样本行为记录集合所记录样本代码行为的代码行为类型,确定属于目标行为 ...
【技术保护点】
【技术特征摘要】
1.一种恶意代码的检测模型处理方法,其特征在于,所述方法包括:获取代码训练样本的样本行为记录集合,所述样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为;获取目标行为类型特征集,所述目标行为类型特征集包括用于训练检测模型的代码行为类型;参考所述目标行为类型特征集,基于所述样本行为记录集合所记录样本代码行为的代码行为类型,确定属于所述目标行为类型特征集的样本行为类型;基于属于所述目标行为类型特征集的样本行为类型,生成所述代码训练样本的样本行为特征组;获取用于表征所述代码训练样本的恶意属性的样本标签,基于所述样本行为特征组和所述样本标签,训练所述检测模型。2.根据权利要求1所述的方法,其特征在于,所述获取代码训练样本的样本行为记录集合,包括:在封闭的行为感知环境下运行所述代码训练样本,所述行为感知环境被配置为对所述代码训练样本运行后产生的样本代码行为进行记录;基于所述行为感知环境所记录的所述样本代码行为,构成所述代码训练样本的样本行为记录集合。3.根据权利要求1所述的方法,其特征在于,所述目标行为类型特征集是通过目标行为类型特征集构建步骤获得的,所述目标行为类型特征集构建步骤包括:获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合;确定所述多个代码样本中恶意代码样本和非恶意代码样本各自的出现概率,根据各自的出现概率,计算代码样本的信息熵;确定所述初始行为类型特征集中每个代码行为类型的条件熵;根据所述信息熵和所述每个代码行为类型的条件熵,确定所述每个代码行为类型的信息增益值;信息增益值用于指示相应的代码行为类型对恶意代码检测的贡献程度;从所述初始行为类型特征集中,选取按信息增益值降序排序时前预设数量个信息增益值对应的代码行为类型,构建所述目标行为类型特征集。4.根据权利要求3所述的方法,其特征在于,所述确定所述初始行为类型特征集中每个代码行为类型的条件熵,包括:针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为,获取所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合的第一数量、及未记录所述目标代码行为的样本行为记录集合的第二数量;在所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合所对应的代码样本中,确定恶意代码样本的第三数量和非恶意代码样本的第四数量;在所述多个样本行为记录集合中未记录所述目标代码行为的样本行为记录集合所对应的代码样本中,确定恶意代码样本的第五数量和非恶意代码样本的第六数量;根据所述第一数量、第二数量、第三数量、第四数量、第五数量和所述第六数量,计算所述任一代码行为类型的条件熵。5.根据权利要求1所述的方法,其特征在于,所述目标行为类型特征集是通过目标行为
类型特征集构建步骤获得的,所述目标行为类型特征集的构建步骤包括:获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合;针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为,参考所述多个样本行为记录集合中各自记录的样本代码行为,在所述多个代码样本中,确定样本行为记录集合中记录有所述目标代码行为的代码样本,并作为目标代码样本;计算所述目标代码样本中的非恶意代码样本在所述多个代码样本中非恶意代码样本中的第一占比;计算所述目标代码样本中的恶意代码样本在所述多个代码样本中恶意代码样本中的第二占比;根据所述第一占比和所述第二占比,获取每个代码行为类型对恶意代码检测的贡献程度;根据每一代码行为类型对恶意代码检测的贡献程度,对所述初始行为类型特征集进行筛选,获得所述目标行为类型特征集。6.根据权利要求1至5任一项所述的方法,其特征在于,所述目标行为类型特征集通过目标行为类型特征集更新步骤进行更新,所述目标行为类型特征集的更新步骤包括:获取行为类型特征集种群,所述行为类型特征集种群包括至少一个行为类型特征集;对所述行为类型特征集种群中的行为类型特征集作代码行为类型的迭代更新处理,直至达到更新终止条件,获得最终更新后的行为类型特征集种群;在最终更新后的行为类型特征集种群中,筛选出目标行为类型特征集。7.根据权利要求6所述的方法,其特征在于,所述行为类型特征集种群通过行为类型特征集种群构建步骤获得的,所述行为类型特征集种群的构建步骤,包括:获取初始行为类型特征集和多个代码样本的多个样本行为记录集合;对于所述初始行为类型特征集中的每一代码行为类型,根据每一代码行为类型对应的代码行为在所述多个样本行为记录集合中的分布,以及所述多个代码样本中恶意代码样本与非恶意代码样本的分布,计算每一代码行为类型对恶意代码检测的贡献程度;根据每一代码行为类型对恶意代码检测的贡献程度,对所述初始行为类型特征集进行筛选,获得筛选出的代码行为类型;对筛选出的代码行为类型进行组合,获得行为类型特征集种群。8.根据权利要求6所述的方法,其特征在于,所述对所述行为类型特征集种群中的行为类型特征集作代码行为类型的迭代更新处理,包括:选取本次迭代待更新的行为类型特征集种群中至少部分行为类型特征集;对选取的每一行为类型特征集中的至少部分代码行为类型作更新处理;基于经过训练的所述检测模型,对经过代码行为类型的更新处理后的行为类型特征集种群中每一行为类型特征集进行检测,根据相应的检测结果确定本次迭代更新处理后的行为类型特征集种群。9.根据权利要求8所述的方法,其特征在于,所述基于经过训练的所述检测模型,对经过代码行为类型的更新处理后的行为类型特征集种群中每一行为类型特征集进行检测,根据相应的检测结果确定本次迭代更新处理后的行为类型特征集种群,包括:在经过代码行为类型的所述更新处理后的行为类型特征集种群中,获取每一行为类型
特征集对应的样本行为特征组集合和样本标签集合,每一样本行为特征组集合均是参考对应的行为类型特征集所生成的;将每一样本行为特征...
【专利技术属性】
技术研发人员:赖豪华,蔡晨,郑荣锋,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。