恶意代码的检测模型处理方法、检测方法和装置制造方法及图纸

本申请涉及一种恶意代码的检测模型处理方法、检测方法和装置。该方法包括：参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，生成代码训练样本的样本行为特征组；基于样本行为特征组和样本标签，训练检测模型。由于通常只有恶意代码在执行过程中才会产生攻击性质的恶意代码行为，也即代码行为是否恶意可以直接反映产生代码行为的代码是否为恶意，从而基于代码行为通过检测模型进行检测，不会像代码的文件特征那样被绕过，从而可以提高检测模型的训练效果，进而提高后续恶意代码的检测准确率。另外，检测模型的迭代训练过程和检测数据作为增量存储至样本数据库均是自动化部署的，从而提升了效率，节省了人力成本。节省了人力成本。节省了人力成本。

【技术实现步骤摘要】
恶意代码的检测模型处理方法、检测方法和装置


[0001]本申请涉及计算机安全
，特别是涉及一种恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。

技术介绍

[0002]随着计算机技术的快速发展，计算机技术已经渗透到生活中的各方各面。随之而来的，计算机安全也成为了重要问题。其中，计算机设备上运行的恶意代码已经给计算机安全造成极大挑战。由此，需要对计算机设备上运行的恶意代码进行检测。
[0003]在相关技术中，主要是通过文件特征检测实现恶意代码检测。进行文件特征检测时，是确定待测代码文件的结构特征，从而检测该结构特征是否存在于预先建立的恶意代码特征库中，若是，则确定待侧代码文件记载有恶意代码。然而，通过文件特征检测进行恶意代码检查，容易发生漏检，检测恶意代码的准确性较低。

技术实现思路

[0004]基于此，有必要针对上述技术问题，提供一种检测恶意代码准确性高的恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。
[0005]一方面，本申请提供了一种恶意代码的检测模型处理方法，该方法包括：
[0006]获取代码训练样本的样本行为记录集合，样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；
[0007]获取目标行为类型特征集，目标行为类型特征集包括用于训练检测模型的代码行为类型；
[0008]参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，确定属于目标行为类型特征集的样本行为类型；
[0009]基于属于目标行为类型特征集的样本行为类型，生成代码训练样本的样本行为特征组；
[0010]获取用于表征代码训练样本的恶意属性的样本标签，基于样本行为特征组和样本标签，训练检测模型。
[0011]在其中一个实施例中，更新终止条件包括经过代码行为类型的更新处理后的行为类型特征集种群中存在检测效果评价值大于预设阈值的行为类型特征集。
[0012]在其中一个实施例中，更新处理包括：不同代码行为类型之间的聚合、删减代码行为类型、增加代码行为类型、拆解代码行为类型或者变更代码行为类型中至少一种。
[0013]在其中一个实施例中，样本行为特征组具有与目标行为类型特征集中的代码行为类型一一对应的特征位；样本行为特征组中，与属于目标行为类型特征集的样本行为类型对应的特征位为第一值，样本行为特征组中除去值为第一值特征位剩余的特征位为第二值。
[0014]另一方面，本申请还提供了一种恶意代码的检测模型处理装置，该装置包括：
[0015]第一获取模块，用于获取代码训练样本的样本行为记录集合，样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；
[0016]第二获取模块，用于获取目标行为类型特征集，目标行为类型特征集包括用于训练检测模型的代码行为类型；
[0017]确定模块，用于参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，确定属于目标行为类型特征集的样本行为类型；
[0018]生成模块，用于基于属于目标行为类型特征集的样本行为类型，生成代码训练样本的样本行为特征组；
[0019]训练模块，用于获取用于表征代码训练样本的恶意属性的样本标签，基于样本行为特征组和样本标签，训练检测模型。
[0020]在其中一个实施例中，第一获取模块，用于在封闭的行为感知环境下运行代码训练样本，行为感知环境被配置为对代码训练样本运行后产生的样本代码行为进行记录；基于行为感知环境所记录的样本代码行为，构成代码训练样本的样本行为记录集合。
[0021]在其中一个实施例中，目标行为类型特征集是通过目标行为类型特征集构建步骤获得的；该装置还包括：
[0022]第一构建模块，用于获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；确定多个代码样本中恶意代码样本和非恶意代码样本各自的出现概率，根据各自的出现概率，计算代码样本的信息熵；确定初始行为类型特征集中每个代码行为类型的条件熵；根据信息熵和每个代码行为类型的条件熵，确定每个代码行为类型的信息增益值；信息增益值用于指示相应的代码行为类型对恶意代码检测的贡献程度；从初始行为类型特征集中，选取按信息增益值降序排序时前预设数量个信息增益值对应的代码行为类型，构建目标行为类型特征集。
[0023]在其中一个实施例中，第一构建模块，还用于针对初始行为类型特征集中每个代码行为类型对应的目标代码行为，获取多个样本行为记录集合中记录有目标代码行为的样本行为记录集合的第一数量、及未记录目标代码行为的样本行为记录集合的第二数量；在多个样本行为记录集合中记录有目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第三数量和非恶意代码样本的第四数量；在多个样本行为记录集合中未记录目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第五数量和非恶意代码样本的第六数量；根据第一数量、第二数量、第三数量、第四数量、第五数量和第六数量，计算任一代码行为类型的条件熵。
[0024]在其中一个实施例中，目标行为类型特征集是通过目标行为类型特征集构建步骤获得的；该装置还包括：
[0025]第二构建模块，用于获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；针对初始行为类型特征集中每个代码行为类型对应的目标代码行为，参考多个样本行为记录集合中各自记录的样本代码行为，在多个代码样本中，确定样本行为记录集合中记录有目标代码行为的代码样本，并作为目标代码样本；计算目标代码样本中的非恶意代码样本在多个代码样本中非恶意代码样本中的第一占比；计算目标代码样本中的恶意代码样本在多个代码样本中恶意代码样本中的第二占比；根据第一占比和第二占比，获取每个代码行为类型对恶意代码检测的贡献程度；根据每一代码行为类型对恶意代码检测
的贡献程度，对初始行为类型特征集进行筛选，获得目标行为类型特征集。
[0026]在其中一个实施例中，目标行为类型特征集通过目标行为类型特征集更新步骤进行更新；该装置还包括：
[0027]更新模块，用于获取行为类型特征集种群，行为类型特征集种群包括至少一个行为类型特征集；对行为类型特征集种群中的行为类型特征集作代码行为类型的迭代更新处理，直至达到更新终止条件，获得最终更新后的行为类型特征集种群；在最终更新后的行为类型特征集种群中，筛选出目标行为类型特征集。
[0028]在其中一个实施例中，更新模块，还用于获取初始行为类型特征集和多个代码样本的多个样本行为记录集合；对于初始行为类型特征集中的每一代码行为类型，根据每一代码行为类型对应的代码行为在多个样本行为记录集合中的分布，以及多个代码样本中恶意代码样本与非恶意代码样本的分布，计算每一代码行为类型对恶意代码检测的贡献程度；根据每一代码行为类型对恶意代码检测的贡献程度，对初始行为类型特征集进行筛选，获得筛选出的代码行为类型；对筛选本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意代码的检测模型处理方法，其特征在于，所述方法包括：获取代码训练样本的样本行为记录集合，所述样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；获取目标行为类型特征集，所述目标行为类型特征集包括用于训练检测模型的代码行为类型；参考所述目标行为类型特征集，基于所述样本行为记录集合所记录样本代码行为的代码行为类型，确定属于所述目标行为类型特征集的样本行为类型；基于属于所述目标行为类型特征集的样本行为类型，生成所述代码训练样本的样本行为特征组；获取用于表征所述代码训练样本的恶意属性的样本标签，基于所述样本行为特征组和所述样本标签，训练所述检测模型。2.根据权利要求1所述的方法，其特征在于，所述获取代码训练样本的样本行为记录集合，包括：在封闭的行为感知环境下运行所述代码训练样本，所述行为感知环境被配置为对所述代码训练样本运行后产生的样本代码行为进行记录；基于所述行为感知环境所记录的所述样本代码行为，构成所述代码训练样本的样本行为记录集合。3.根据权利要求1所述的方法，其特征在于，所述目标行为类型特征集是通过目标行为类型特征集构建步骤获得的，所述目标行为类型特征集构建步骤包括：获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；确定所述多个代码样本中恶意代码样本和非恶意代码样本各自的出现概率，根据各自的出现概率，计算代码样本的信息熵；确定所述初始行为类型特征集中每个代码行为类型的条件熵；根据所述信息熵和所述每个代码行为类型的条件熵，确定所述每个代码行为类型的信息增益值；信息增益值用于指示相应的代码行为类型对恶意代码检测的贡献程度；从所述初始行为类型特征集中，选取按信息增益值降序排序时前预设数量个信息增益值对应的代码行为类型，构建所述目标行为类型特征集。4.根据权利要求3所述的方法，其特征在于，所述确定所述初始行为类型特征集中每个代码行为类型的条件熵，包括：针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为，获取所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合的第一数量、及未记录所述目标代码行为的样本行为记录集合的第二数量；在所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第三数量和非恶意代码样本的第四数量；在所述多个样本行为记录集合中未记录所述目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第五数量和非恶意代码样本的第六数量；根据所述第一数量、第二数量、第三数量、第四数量、第五数量和所述第六数量，计算所述任一代码行为类型的条件熵。5.根据权利要求1所述的方法，其特征在于，所述目标行为类型特征集是通过目标行为
类型特征集构建步骤获得的，所述目标行为类型特征集的构建步骤包括：获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为，参考所述多个样本行为记录集合中各自记录的样本代码行为，在所述多个代码样本中，确定样本行为记录集合中记录有所述目标代码行为的代码样本，并作为目标代码样本；计算所述目标代码样本中的非恶意代码样本在所述多个代码样本中非恶意代码样本中的第一占比；计算所述目标代码样本中的恶意代码样本在所述多个代码样本中恶意代码样本中的第二占比；根据所述第一占比和所述第二占比，获取每个代码行为类型对恶意代码检测的贡献程度；根据每一代码行为类型对恶意代码检测的贡献程度，对所述初始行为类型特征集进行筛选，获得所述目标行为类型特征集。6.根据权利要求1至5任一项所述的方法，其特征在于，所述目标行为类型特征集通过目标行为类型特征集更新步骤进行更新，所述目标行为类型特征集的更新步骤包括：获取行为类型特征集种群，所述行为类型特征集种群包括至少一个行为类型特征集；对所述行为类型特征集种群中的行为类型特征集作代码行为类型的迭代更新处理，直至达到更新终止条件，获得最终更新后的行为类型特征集种群；在最终更新后的行为类型特征集种群中，筛选出目标行为类型特征集。7.根据权利要求6所述的方法，其特征在于，所述行为类型特征集种群通过行为类型特征集种群构建步骤获得的，所述行为类型特征集种群的构建步骤，包括：获取初始行为类型特征集和多个代码样本的多个样本行为记录集合；对于所述初始行为类型特征集中的每一代码行为类型，根据每一代码行为类型对应的代码行为在所述多个样本行为记录集合中的分布，以及所述多个代码样本中恶意代码样本与非恶意代码样本的分布，计算每一代码行为类型对恶意代码检测的贡献程度；根据每一代码行为类型对恶意代码检测的贡献程度，对所述初始行为类型特征集进行筛选，获得筛选出的代码行为类型；对筛选出的代码行为类型进行组合，获得行为类型特征集种群。8.根据权利要求6所述的方法，其特征在于，所述对所述行为类型特征集种群中的行为类型特征集作代码行为类型的迭代更新处理，包括：选取本次迭代待更新的行为类型特征集种群中至少部分行为类型特征集；对选取的每一行为类型特征集中的至少部分代码行为类型作更新处理；基于经过训练的所述检测模型，对经过代码行为类型的更新处理后的行为类型特征集种群中每一行为类型特征集进行检测，根据相应的检测结果确定本次迭代更新处理后的行为类型特征集种群。9.根据权利要求8所述的方法，其特征在于，所述基于经过训练的所述检测模型，对经过代码行为类型的更新处理后的行为类型特征集种群中每一行为类型特征集进行检测，根据相应的检测结果确定本次迭代更新处理后的行为类型特征集种群，包括：在经过代码行为类型的所述更新处理后的行为类型特征集种群中，获取每一行为类型
特征集对应的样本行为特征组集合和样本标签集合，每一样本行为特征组集合均是参考对应的行为类型特征集所生成的；将每一样本行为特征...

【专利技术属性】
技术研发人员：赖豪华，蔡晨，郑荣锋，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：