[发明专利]一种程序分类模型训练方法、程序分类方法及装置

说明书

本申请实施例公开一种程序分类模型训练方法、程序分类方法及装置，提高了识别未知程序类别的准确率。其中程序分类模型训练方法包括：接收输入的多个样本程序；对多个样本程序中的每个选择出的样本程序，获取对应的静态特征的特征值和动态特征的特征值；根据对应的静态特征的特征值、动态特征的特征值以及融合操作规则，获得选择出的样本程序的至少一个备选融合特征的特征值；针对每个备选融合特征，根据该备选融合特征在样本程序中的特征值以及样本程序的类别，确定该备选融合特征的评价值；根据每个备选融合特征的评价值，从至少一个备选融合特征中选择目标融合特征；根据每个样本程序中目标融合特征的特征值，训练得到程序分类模型。

技术领域

本申请涉及计算机领域，尤其涉及一种程序分类模型训练方法、程序分类方法及装置。

背景技术

对程序进行分类是计算机领域中一个很重要的需求，其目的在于对程序进行识别。例如识别一段程序是正常程序还是恶意程序。恶意程序是指带有攻击意图的程序，它会破坏计算机系统的正常功能，导致计算机系统无法正常运行甚至崩溃，所以恶意程序一直是信息安全行业的重大威胁。如果能提前识别出一段程序为恶意程序，那么就可以对该程序进行相应的处理，减少对计算机系统的影响。

目前常用的程序分类方法首先需要利用已知类别的程序对程序分类模型进行训练，然后基于训练得到的程序分类模型对类别未知的程序进行分类，例如为恶意程序或是正常程序。不论是训练过程还是分类过程，都需要提取程序相应的特征。常见的特征提取方法主要包括两种，一种是提取程序的静态特征，所谓静态特征是指基于程序自身的结构特点得到的特征；另外一种是提取程序的动态特征，所谓动态特征是指程序在运行过程中体现的行为特征。

然而，虽然利用静态特征对程序分类模型训练可以识别出一部分程序的类别，但是一旦程序设计者对程序进行一些形式上的改动，例如对程序进行加壳、变形或多态等，程序的类别就无法被识别出来。而动态特征是通过在沙箱等虚拟环境中运行程序时提取出来的，如果未知程序中设定了反虚拟环境功能，例如若检测出该程序在沙箱中运行，则不执行某些命令，则沙箱无法准确的提取出程序的动态特征，导致程序分类模型无法对程序的类别进行准确的识别。

所以，识别未知程序类别时，如何提高识别准确率是目前需要解决的技术问题。

发明内容

本申请实施例提供了一种程序分类模型训练方法、程序分类方法及装置，提高了识别未知程序类别的准确率。

第一方面，本申请实施例提供了一种程序分类模型的训练方法，方法包括：首先，接收输入的多个样本程序，样本程序是指所属的类别已被预先标定的程序，多个样本程序属于至少两个不同类别。至少两个不同类别可以包括正常程序类别和恶意程序类别；或，至少两个不同类别包括至少两个不同的恶意程序类别。其次，从多个样本程序中选择出一个样本程序，执行以下处理从而得到选择出的样本程序的至少一个备选融合特征的特征值，直到处理完多个样本程序中的每个样本程序为止：依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预设动态特征集，获取选择出的样本程序的每个静态特征的特征值和每个动态特征的特征值；根据选择出的样本程序的至少一个静态特征的特征值、至少一个动态特征的特征值以及至少一个融合操作规则，获得选择出的样本程序的至少一个备选融合特征的特征值，至少一个备选融合特征中的每个备选融合特征的特征值是基于对应的融合操作规则得到的，融合操作规则指示对预设静态特征集中的指定静态特征的特征值和预设动态特征集中的指定动态特征的特征值执行融合操作。再次，针对至少一个备选融合特征中的第一备选融合特征，执行以下处理，以此类推，从而得到每个备选融合特征的评价值：根据第一备选融合特征在每个样本程序中的特征值以及每个样本程序的类别，确定第一备选融合特征的评价值，评价值的大小体现第一备选融合特征用于区分样本程序所属类别的有效程度。接着，根据每个备选融合特征的评价值，从至少一个备选融合特征中选择目标融合特征，目标融合特征的评价值体现的有效程度大于至少一个备选融合特征中的其他备选融合特征的评价值体现的有效程度。最后，根据每个样本程序中目标融合特征的特征值，训练得到程序分类模型。