[发明专利]软件检测的方法、装置及系统

权利要求书

1.一种软件检测的方法，其特征在于，包括：

获取待检测的软件数据；

从所述软件数据中筛选出系统文件线程；

通过沙箱对所述系统文件线程进行动态执行，获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号；当某一线程中调用API的文件数量超过预设的阈值，则对所述线程对应的API序列进行截断，按照所述线程中API调用的顺序编号，保存预设数量的API记录，得到截断的API序列；并按照多线程对截断后的API序列进行重新编码，得到API多线程序列；

获取恶意软件数据；所述恶意软件数据包括：感染型病毒、木马程序、挖矿程序、勒索病毒；

从所述恶意软件数据中，筛选出恶意软件的系统文件线程；

通过沙箱提取所述恶意软件的系统文件线程中的API序列，得到恶意软件的API序列；

对所述恶意软件的API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到恶意软件的API多线程序列；

构建初始检测模型；所述初始检测模型是基于空洞卷积和TextCNN的分类模型；

以多分类logloss为评价目标，通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练，得到目标检测模型；

通过所述目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果。

2.根据权利要求1所述的方法，其特征在于，所述通过所述目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果，包括：

通过目标检测模型对所述API多线程序列进行检测，判断所述API多线程序列对应的软件数据是否为恶意软件数据；

若是恶意软件数据，则输出恶意软件数据的类型标签；

若不是恶意软件数据，则提示软件数据安全。

3.一种软件检测的装置，其特征在于，包括：

获取模块，用于获取待检测的软件数据；

筛选模块，用于从所述软件数据中筛选出系统文件线程；

提取模块，用于通过沙箱对所述系统文件线程进行动态执行，获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号；

编码模块，用于当某一线程中调用API的文件数量超过预设的阈值，则对所述线程对应的API序列进行截断，按照所述线程中API调用的顺序编号，保存预设数量的API记录，得到截断的API序列，并按照多线程对截断后的API序列进行重新编码，得到API多线程序列；

得到模块，用于通过目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果；

其中，在所述通过目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果之前，还包括：

获取恶意软件数据；所述恶意软件数据包括：感染型病毒、木马程序、挖矿程序、勒索病毒；

从所述恶意软件数据中，筛选出恶意软件的系统文件线程；

通过沙箱提取所述恶意软件的系统文件线程中的API序列，得到恶意软件的API序列；

对所述恶意软件的API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到恶意软件的API多线程序列；

构建初始检测模型；所述初始检测模型是基于空洞卷积和TextCNN的分类模型；

以多分类logloss为评价目标，通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练，得到所述目标检测模型。

4.根据权利要求3所述的装置，其特征在于，得到模块，具体用于：

通过目标检测模型对所述API多线程序列进行检测，判断所述API多线程序列对应的软件数据是否为恶意软件数据；

若是恶意软件数据，则输出恶意软件数据的类型标签；

若不是恶意软件数据，则提示软件数据安全。

5.一种软件检测的系统，其特征在于，包括：存储器和处理器，存储器中存储有所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行权利要求1或2所述的软件检测的方法。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1或2所述的软件检测的方法。