[发明专利]一种检测恶意程序的方法、装置及存储介质

权利要求书

1.一种检测恶意程序的方法，其特征在于，该方法包括：

静态分析步骤，对需要的检测的样本文件进行静态分析，如果静态分析结果为样本文件包含恶意程序，则生成威胁信息，如果静态分析结果为可信的样本文件，则退出检测，如果静态分析结果为未确定的样本文件，则进行动态分析检测；

动态分析检测步骤，在沙箱中运行未确定的样本文件，收集所述未确定的样本文件在运行过程中产生的行为，通过所述行为对所述未确定的样本文件进行识别，如果识别结果为样本文件包含恶意程序，则生成威胁信息，如果识别分析结果仍为未确定的样本文件，则使用深度学习检测模型对其进行检测；

深度学习检测步骤，使用所述深度学习检测模型对仍未确定的样本文件进行检测，如果检测结果为样本文件包含恶意程序，则生成威胁信息；

预警步骤，对所述威胁信息进行分析，获取威胁级别，根据所述威胁级别发出预警信息；

其中，训练深度学习检测模型的操作为：获取训练样本文件，准备文件类型相同并且分类成威胁样本文件和可信样本文件的样本文件集，且威胁样本文件和可信样本文件数量一致；对训练样本文件进行动态分析，将所述威胁样本文件和可信样本文件分别在沙箱中运行，收集运行过程中产生的行为生成动态运行记录，对所述威胁样本文件和可信样本进行静态分析提取静态信息生成静态信息记录，将所述动态运行记录和静态信息记录合并为训练样本信息行为集；生成训练样本文件的样本图像，对所述训练样本信息行为集进行预处理，去除行为集中的冗余、干扰信息，把处理过的训练样本信息行为集转化训练样本文件的样本图像，包括威胁样本图像和可信样本图像；训练深度学习检测模型，对所述威胁样本图像和可信样本图像进行上下翻转、左右翻转、二值化和/或ZCA白化数据增强处理得到扩展的威胁样本图像和可信样本图像，把扩展的威胁样本图像和可信样本图像利用卷积神经网络的方式进行卷积训练生成用于检测恶意程序的深度学习检测模型；

其中，使用所述深度学习检测模型对仍未确定的样本文件进行检测的操作为：收集仍未确定的样本文件运行过程中产生的行为生成动态运行记录，对所述仍未确定的样本文件进行静态分析提取静态信息生成静态信息记录，将所述动态运行记录和静态信息记录合并为仍未确定的样本文件的信息行为集，对所述仍未确定的样本文件的信息行为集进行预处理，去除行为集中的冗余、干扰信息，把处理过的仍未确定的样本文件的信息行为集转化为仍未确定的样本文件的样本图像，根据仍未确定的样本文件的类型选择对应的深度学习检测模型，使用选择的深度学习检测模型对仍未确定的样本文件的样本图像进行检测得到检测结果。

2.根据权利要求1所述的方法，其特征在于，所述静态分析采用的方式为：基于全文hash的可信文件识别方式、基于数字签名识别方式、基于模糊hash的家族识别方式和/或通过静态扫描引擎进行扫描。

3.根据权利要求2所述的方法，其特征在于，所述动态分析通过行为模式匹配或者启发式算法进行未确定的样本文件的识别。

4.根据权利要求3所述的方法，其特征在于，动态分析时运行过程中产生的行为包括：API调用信息、进程链信息和/或网络行为数据；静态信息包括：字符串信息、导入导出信息和/或资源信息。