[发明专利]基于机器学习的关联样本查找方法、装置及服务器

权利要求书

1.一种基于机器学习的关联样本查找方法，包括：

步骤S1：提取样本库中每一个样本的特征向量，存储所述每一个样本的特征向量；

步骤S2：获取根据已知病毒样本训练得到的训练模型；

步骤S3：利用所述训练模型扫描已存储的每一个样本的特征向量，得到与所述已知病毒样本相关的关联样本，将所述关联样本复制到所述已知病毒样本的关联样本集合中；其中，预设结束条件具体为：利用训练模型扫描已存储的每一个样本的特征向量没有得到所述关联样本集合中未保存的关联样本；

步骤S4：判断是否满足预设结束条件，若是，则本方法结束；若否，执行步骤S5；

步骤S5：根据关联样本对训练模型进行更新，跳转执行步骤S3。

2.根据权利要求1所述的方法，所述提取样本库中每一个样本的特征向量进一步包括：

提取样本库中每一个样本的至少一个特征；

对所述样本的至少一个特征进行降维运算，得到样本的特征向量。

3.根据权利要求2所述的方法，所述样本的至少一个特征包括：类行为特征、编译器特征和/或加壳特征。

4.根据权利要求1-3任一项所述的方法，所述存储所述每一个样本的特征向量具体为：将所述样本库中所有样本的特征向量分布存储到分布式集群中的数个节点中。

5.根据权利要求4所述的方法，在所述利用所述训练模型扫描每一个样本的特征向量之前，所述方法还包括：将训练模型置入分布式集群中的所述数个节点中；

所述利用所述训练模型扫描已存储的每一个样本的特征向量具体为：所述数个节点并行地利用训练模型对节点中已存储的样本的特征向量进行扫描。

6.一种基于机器学习的关联样本查找装置，包括：

提取模块，适于提取样本库中每一个样本的特征向量；

存储模块，适于存储所述每一个样本的特征向量；

训练模块，适于获取根据已知病毒样本训练得到的训练模型；

查找模块，适于利用所述训练模型扫描已存储的每一个样本的特征向量，得到与所述已知病毒样本相关的关联样本,将所述关联样本复制到所述已知病毒样本的关联样本集合中；

判断模块，适于判断是否满足预设结束条件；其中，所述预设结束条件具体为：利用训练模型扫描已存储的每一个样本的特征向量没有得到所述关联样本集合中未保存的关联样本；

更新模块，适于若所述判断模块判断出未满足预设结束条件，则根据关联样本对训练模型进行更新。

7.根据权利要求6所述的装置，所述提取模块进一步适于：

提取样本库中每一个样本的至少一个特征；

对所述样本的至少一个特征进行降维运算，得到样本的特征向量。

8.根据权利要求7所述的装置，所述样本的至少一个特征包括：类行为特征、编译器特征和/或加壳特征。

9.根据权利要求6-8任一项所述的装置，所述存储模块进一步适于：将所述样本库中所有样本的特征向量分布存储到分布式集群中的数个节点中。

10.根据权利要求9所述的装置，所述装置还包括：置入模块，适于将训练模型置入分布式集群中的所述数个节点中；

预测模块进一步适于：所述数个节点并行地利用训练模型对节点中已存储的样本的特征向量进行扫描。

11.一种服务器，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行如权利要求1-5中任一项所述的基于机器学习的关联样本查找方法对应的操作。

12.一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如权利要求1-5中任一项所述的基于机器学习的关联样本查找方法对应的操作。