[发明专利]基于机器学习的程序识别方法及装置

说明书

技术领域

本申请涉及计算机技术领域，特别是涉及一种基于机器学习的程序识别方法及装置。

背景技术

恶意程序是一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到用户的计算机系统中，对用户系统改进型攻击。恶意程序可以包括病毒、后门程序、木马程序、宏病毒、引导区病毒、脚本病毒等。在查杀恶意病毒之前，首先要对恶意程序进行识别，以查杀病毒为例，现有技术中主要通过字符串特征码和简单的人工总结进行查杀，所查杀的病毒也均是已知的病毒，难以对新型病毒进行查杀。

发明人在对现有技术的研究过程中发现，现有技术基本上采用字符串特征码和人工规则的启发式通杀，这种识别恶意程序的方式严重依赖于病毒分析师的能力，需要分析师针对已有样本进行人工分析，找出相应的特征，因此需要大量经验丰富的人员才能满足解决问题的需求，并且由于技术复杂，人工处理的结果将导致效率低效；现有技术中只能处理已知的问题，不能对可能发生的问题进行防范，因此具有一定的滞后性；由于现有技术基于简单的特征或规则进行查杀，因此很容易被病毒作者免杀。

发明内容

本申请实施例提供了一种基于机器学习的程序识别方法及装置，以解决现有技术中在识别恶意程序时效率不高，具有滞后性的问题。

为了解决上述技术问题，本申请实施例公开了如下技术方案：

一种基于机器学习的程序识别方法，包括：

分析输入的未知程序，提取所述未知程序中的类行为特征，所述类行为特征包括导入表库特征和导入表应用程序编程接口API特征；

根据所提取的类行为特征对所述未知程序进行粗分类；

根据所述粗分类的结果，将所述未知程序输入已生成的训练模型及相应的决策机中进行判断；

输出所述未知程序的识别结果，所述识别结果为恶意程序或非恶意程序。

所述导入表库特征包括：网络类特征、高级WIN32应用程序接口类特征、系统内核类特征、操作系统用户界面相关应用程序接口类特征、操作系统应用程序共用图像用户界面模块类特征、操作系统硬件提取层模块类特征、虚拟机相关模块类特征、标准C运行库程序类特征、对象链接和嵌入相关模块类特征、操作系统进程状态支持模块类特征、操作系统32位外壳动态链接库文件类特征、地址动态链接库文件类特征；

所述导入表API特征为从所述导入表库中选取的函数特征。

当包括多个训练模型时，所述将未知程序输入已生成的训练模型及相应的决策机中进行判断包括：

将未知程序分别输入一个或多个已生成的训练模型及相应的决策机中进行判断；

根据预先设置的每种类行为特征分类在每个训练模型中的权重，将每个训练模型及相应的决策机对所述未知程序进行判断的结果进行加权计算；

所述输出未知程序的识别结果具体为：根据所述加权计算的结果输出对所述位置程序的识别结果。

还包括：

输入提取到的海量程序，所述海量程序中包括恶意程序和非恶意程序；

从所输入的每个程序中提取类行为特征，并对所提取的类行为特征进行分类；

根据所述分类的结果，将不同类别的类行为特征使用不同的决策机进行训练，生成用于识别恶意程序的训练模型或训练模型集合。

所述从所输入的每个程序中提取类行为特征包括：

分析每个程序文件，从所述程序文件中抽取预先定义的类行为特征；

根据所抽取的类行为特征生成特征向量，以及每个特征向量的黑白属性。

所述不同的决策机使用相同或不同的方式对特征进行训练，包括：使用支持向量机的决策机进行训练，或使用决策树的决策机进行训练。

一种基于机器学习的程序识别装置，包括：

提取单元，用于分析输入的未知程序，提取所述未知程序中的类行为特征，所述类行为特征包括导入表库特征和导入表应用程序编程接口API特征；

分类单元，用于根据所提取的类行为特征对所述未知程序进行粗分类；

判断单元，用于根据所述粗分类的结果，将所述未知程序输入已生成的训练模型及相应的决策机中进行判断；

输出单元，用于输出所述未知程序的识别结果，所述识别结果为恶意程序或非恶意程序。