[发明专利]以量化步长使用机器学习模型用于恶意软件检测

权利要求书

1.一种方法，包括：

通过执行一个或多个训练文件来生成第一组事件，其中，所述第一组事件与域相关联，并且其中所述第一组事件的每个事件均基于在所述训练文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联；

创建多个步长模型，其中针对与所述域的特定步长点相关联的所述第一组事件的事件训练每个步长模型；

通过在设备上执行第二文件来生成第二组事件，其中所述第二组事件与所述域相关联，并且其中所述第二组事件的每个事件均基于在所述第二文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联；以及

在所述设备上将所述多个步长模型中的至少两个步长模型应用于所述第二组事件，以生成指示所述第二文件是否包括恶意软件的置信度水平，其中，每个所应用的步长模型都应用于与训练了所述步长模型的步长点相关联的所述第二组事件的事件。

2.根据权利要求1所述的方法，还包括将阈值置信度水平设置为第一值或第二值，其中将所述阈值置信度水平设置为所述第一值减少了延迟并且降低了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性，并且其中将所述阈值置信度水平设置为所述第二值增加了延迟并且提高了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性。

3.根据权利要求2所述的方法，其中，所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性包括真阳性和假阳性。

4.根据权利要求2所述的方法，其中，响应于所述置信度水平大于或等于所述阈值置信度水平，停止所述第二文件的执行，并且其中，响应于所述置信度水平小于所述阈值置信度水平，继续所述第二文件的执行。

5.根据权利要求1所述的方法，其中，当与所述事件相关联的所述步长点与针对其训练了所述步长模型的所述步长点匹配时，将每个所应用的步长模型应用于所述第二组事件的事件。

6.根据权利要求1所述的方法，其中，当与所述事件相关联的所述步长点在针对其训练了所述步长模型的所述步长点之间时，将每个所应用的步长模型应用于所述第二组事件的事件，从而当与所述事件相关联的所述步长点与针对其训练了所述步长模型的所述步长点匹配时，相对于将每个所应用的步长模型应用于事件，减少了所述生成指示所述第二文件是否包括恶意软件的置信度水平的延迟。

7.根据权利要求1所述的方法，其中，所述域包括时域和事件域中的至少一个。

8.一种系统，包括：

设备仿真器，其被配置为通过执行一个或多个训练文件来生成第一组事件，所述第一组事件与域相关联，并且所述第一组事件的每个事件均基于在所述训练文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联；

机器学习引擎，其被配置为接收所述第一组事件并创建多个步长模型，针对与所述域的特定步长点相关联的第一组事件的事件训练每个步长模型；以及

设备，所述设备包括：

软件环境，其被配置为通过执行第二文件来生成第二组事件，所述第二组事件与所述域相关联，并且所述第二组事件的每个事件均基于在所述第二文件的执行期间生成的事件的顺序、与所述域的相应步长点相关联；以及

恶意软件检测器，其被配置为：

接收多个步长模型；

接收所述第二组事件；以及

将所述多个步长模型中的至少两个步长模型应用于所述第二组事件，以生成指示所述第二文件是否包括恶意软件的置信度水平，其中，每个所应用的步长模型都应用于与训练了所述步长模型的步长点相关联的第二组事件的事件。

9.根据权利要求8所述的系统，其中，所述恶意软件检测器还被配置为将阈值置信度水平设置为第一值或第二值，其中将所述阈值置信度水平设置为所述第一值减少了延迟并且降低了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性，并且其中将所述阈值置信度水平设置为所述第二值增加了延迟并且提高了所述生成指示所述第二文件是否包括恶意软件的置信度水平的准确性。