[发明专利]恶意文件识别方法、装置及存储介质

说明书

技术领域

本发明涉及互联网技术领域，，特别涉及安全领域，尤其涉及一种恶意文件识别方法、装置及存储介质。

背景技术

随着互联网技术的发展，病毒的传播也在加剧。病毒对用户信息的安全和用户财产造成了极大的危害，因此，开发反应迅速、高效、查毒率且正确率高的杀毒引擎已成为当今互联网信息安全界的重点。

传统的杀毒引擎通常采用的病毒识别技术如下：分析人员分析病毒文件、提取病毒特征、将病毒特征入库、杀毒引擎根据病毒库扫描现有文件，如果遇到能够匹配上的特征则报毒。

传统的病毒识别技术存在以下弊端：

1、对分析人员的专业技能要求较高，而提取病毒特征的质量决定了误报率和报出率；

2、分析病毒文件以及提取病毒特征十分耗时；

3、效率低，随着病毒库记录的增多，为了碰撞每一条记录，所需要的时间会成几何倍数增加；

4、对病毒的发现不及时，相对于海量的新的病毒种类，由于分析人员的处理能力有限，对于一些病毒的处理，只有等病毒爆发时才会被发现或重视，继而进行处理，而此时病毒已造成了相当大的危害。

发明内容

本发明的主要目的在于提供一种恶意文件识别方法、装置及存储介质，旨在提高恶意文件的检测效率。

为了达到上述目的，本发明提出一种恶意文件识别方法，包括以下步骤：

采用预定的恶意文件和正常文件组成的学习集生成机器学习模型；

读取学习集以外的待检测文件；

将所述待检测文件转化成向量；

通过所述机器学习模型对转化成向量的待检测文件进行恶意文件识别。

本发明还提出一种恶意文件识别装置，包括：

模型生成模块，用于采用预定的恶意文件和正常文件组成的学习集生成机器学习模型；

读取模块，用于读取学习集以外的待检测文件；

向量转化模块，用于将所述待检测文件转化成向量；

识别模块，用于通过所述机器学习模型对转化成向量的待检测文件进行恶意文件识别。

本发明还提出一种计算机可读取的存储介质，在其上存储了使计算机能够运行的程序，在程序装入计算机的存储器内后，采用预定的恶意文件和正常文件组成的学习集生成机器学习模型；读取学习集以外的待检测文件；将所述待检测文件转化成向量；通过所述机器学习模型对转化成向量的待检测文件进行恶意文件识别。

本发明提出的一种恶意文件识别方法、装置及存储介质，通过预先设定的恶意文件和正常文件组成的学习集生成机器学习模型，通过生成的机器学习模型对学习集以外的待检测文件进行恶意文件识别，可及时、准确并有效的提取病毒特征，对发现的任何恶意文件可立即处理，由此极大的提升了恶意文件的检测效率。

附图说明

图1是本发明恶意文件识别方法较佳实施例的流程示意图；

图2是本发明恶意文件识别方法较佳实施例中采用预定的恶意文件和正常文件组成的学习集生成机器学习模型的流程示意图；

图3是本发明恶意文件识别方法较佳实施例中对学习集中恶意文件和正常文件的向量进行维度合并和筛选的流程示意图；

图4是本发明恶意文件识别方法较佳实施例中对学习集中恶意文件和正常文件的向量进行维度合并和筛选的一种实例的流程示意图；

图5是本发明恶意文件识别装置较佳实施例的结构示意图；

图6是本发明恶意文件识别装置较佳实施例中模型生成模块的结构示意图；

图7是本发明恶意文件识别装置较佳实施例中合并及筛选单元的结构示意图；

图8是本发明恶意文件识别装置较佳实施例中识别模块的结构示意图。

为了使本发明的技术方案更加清楚、明了，下面将结合附图作进一步详述。

具体实施方式

本发明实施例解决方案主要是：采用预定的恶意文件和正常文件组成的学习集生成机器学习模型；读取学习集以外的待检测文件，并将所述待检测文件转化成向量，通过机器学习模型对转化成向量的待检测文件进行恶意文件识别，利用机器学习反应及时、处理速度快的特点，提升恶意文件的检测效率。

本发明中恶意文件可以为病毒文件或其他恶意的文件，以下实施例以恶意文件举例说明。其中，涉及的技术术语包括：

黑文件：病毒文件

黑向量：病毒文件转化成的向量

白文件：正常的非病毒文件

白向量：正常的非病毒文件转化成的向量

SVM：支撑向量机  

PE文件：windows系统下的一种可执行文件格式