[发明专利]基于机器学习模型管理用于检测恶意文件的计算资源的系统和方法

权利要求书

1.一种管理用于检测恶意文件的计算机资源的系统，包括硬件处理器，所述硬件处理器被配置为：

基于从创建的行为日志中选择的命令和参数，形成至少一个行为模式；

计算形成的所述行为模式的卷积；

基于计算出的所述卷积和用于检测恶意文件的模型，计算有害性程度，其中，所述有害性程度是表征在计算所述有害性程度时恶意活动将被显示出来的概率的数值；

基于计算出的所述有害性程度，管理用于确保计算设备的安全性的计算资源，其中，所述有害性程度在预定值的范围内；以及

如果获得的应用程序的有害性程度超过预定阈值，则分配所述计算设备的附加资源，否则释放先前分配的所述计算设备的资源。

2.根据权利要求1所述的系统，其中，所述硬件处理器还被配置为：

在所述计算设备上执行应用程序期间或在对所述计算设备上的所述应用程序的执行进行仿真期间，拦截至少一个命令；

为每个被拦截的命令确定描述所述命令的至少一个参数；

基于被拦截的所述命令和确定的所述参数，形成所述应用程序的行为日志；以及

分析所述行为日志，以形成所述至少一个行为模式。

3.根据权利要求1所述的系统，其中，所述行为日志是应用程序的可执行命令的集合，每个可执行命令对应于描述所述可执行命令的至少一个参数。

4.根据权利要求1所述的系统，其中，所述硬件处理器还被配置为：

使用预定卷积函数作为基础来计算所述卷积，其中，所述预定卷积函数对形成的所有行为模式的结果的反卷积函数具有大于给定值的与所述行为模式的相似度。

5.根据权利要求1所述的系统，其中，先前已通过机器学习方法针对至少一个安全文件和至少一个恶意文件训练所述用于检测恶意文件的模型。

6.根据权利要求5所述的系统，其中，检测模型的所述机器学习方法是以下方法中的一者：关于决策树的梯度提升、决策树、kNN最近邻法、和支持向量。

7.根据权利要求5所述的系统，其中，训练检测模型的所述方法包括：应用程序的有害性程度根据基于对所述行为日志的分析而形成的行为模式的数量的变化而单调变化。

8.根据权利要求1所述的系统，其中，所述硬件处理器还被配置为，至少通过以下方式管理所述计算资源：

分配提供给正在所述计算设备上执行的一个或多个应用程序的附加计算资源；

释放先前分配并提供给正在所述计算设备上执行的所述一个或多个应用程序的计算资源；以及

管理用于与正在所述计算设备上执行的所述一个或多个应用程序的计算资源一起工作的安全策略。

9.根据权利要求1所述的系统，其中，所述硬件处理器还被配置为：使用用于管理计算资源的模型来管理所述计算资源。

10.根据权利要求9所述的系统，其中，所述硬件处理器还被配置为：

使用机器学习教导所述用于管理计算资源的模型，以使用最少的计算资源。

11.根据权利要求10所述的系统，其中，所述硬件处理器还被配置为：

基于对至少一个创建的行为日志的分析，使用机器学习教导所述用于检测恶意文件的模型，其中，在执行资源的最新管理之后，在计算出的应用程序的有害性程度被证明高于所述预定阈值时执行所述机器学习。