[发明专利]一种恶意软件检测方法、装置与电子设备

权利要求书

1.一种恶意软件检测方法，其特征在于，包括：

提取样本集软件的特征信息，将所述特征信息抽象化为数字形式，得到样本集特征集合与样本集特征矩阵；

利用特征选择算法过滤所述特征集合中的无效特征，得到最佳特征子集；

采用机器学习分类算法对所述最佳特征子集对应的特征矩阵进行训练，生成检测模型；

其中，所述利用特征选择算法过滤所述样本集特征集合中的无效特征，得到最佳特征子集包括：

步骤一：对所述样本集特征集合与所述样本集特征矩阵中相关参数常量以及在子集生成过程中用到的相关参数进行初始化设置，包括：

记所述样本集特征集合为F_v，所述样本集特征矩阵为X_train，选择的特征个数为M_v；设置信息增益的初始阈值为某一特定值θ_ig，设置信息增益步长为λ，设置信息增益循环步数初始值n＝0，设定检测率阈值为0.95；利用机器学习分类算法对所述样本集特征矩阵X_train进行训练，记下最大检测率为TP_max；

步骤二：根据特征频率计算公式计算样本集特征集合中每个特征的特征频率，通过计算比较滤去不相关的特征，得到去不相关特征子集；

所述特征频率计算公式：

其中，TF(f^j)表示特征f^j的特征频率，N_benign表示正常软件集中正常样本数，表示特征f^j出现的样本数；N_malware表示恶意样本集中恶意样本数，为特征f^j出现的样本数；

所述根据特征频率计算公式计算样本集特征集合中每个特征的特征频率，通过计算比较滤去不相关的特征，得到去不相关特征子集，包括：

步骤1：计算所述样本集特征集合中每个特征的特征频率；

步骤2：过滤掉特征频率值为0的特征，余下的特征组成中间特征子集

步骤3：通过机器学习分类算法对所述中间特征子集对应的特征矩阵进行训练，得到相应的检测率TP_tf；

步骤4：滤除所述中间特征子集中特征频率最小的特征，余下特征组成特征子集通过机器学习分类算法对所述特征子集对应的特征矩阵进行训练，得到相应的检测率TP_tf′；

步骤5：比较TP_tf与TP_tf′的值，如果TP_tf＝TP_tf′，则将所述特征子集记为新的中间特征子集返回步骤3；如果TP_tf≠TP_tf′，输出所述中间特征子集

步骤6：将所述中间特征子集记为特征子集F_v1，选择的特征个数为M_v1，所述特征子集F_v1即所述去不相关特征子集；

步骤三：根据信息增益计算公式计算所述去不相关特征子集中每个特征的信息增益，通过计算比较筛选得到去噪声特征子集；

所述信息增益计算公式：

IG(f^j)＝H(Y)-H(Y|f^j)

其中，IG(f^j)表示特征f^j对分类系统的信息增益，H(Y)表示分类系统的熵，H(Y|f^j)表示分类系统的条件熵；

步骤四：根据χ²统计值计算公式，计算所述去噪声特征子集中每个特征与对应的特征矩阵的CHI值(χ²统计值)和特征间的CHI值，通过计算比较筛选得到去冗余特征子集；

所述χ²统计值计算公式：

CHI(fⁱ，f^j)＝ξ₁₁+ξ₁₂+ξ₂₁+ξ₂₂

其中，CHI(fⁱ，f^j)表示特征fⁱ，f^j的χ²统计值，ξ₁₁表示特征fⁱ和特征f^j同时出现的理论值与实际值的偏差，ξ₁₂表示特征fⁱ出现的样本中未出现特征f^j的理论值与实际值的偏差，ξ₂₁表示未出现特征fⁱ的样本数中出现特征f^j的理论值与实际值的偏差，ξ₂₂表示未出现特征fⁱ的样本数中也未出现特征f^j的理论值与实际值的偏差；

步骤五：对所述去冗余特征子集进行分析判断，并根据判定结果进行子集优化，得到最佳特征子集。