[发明专利]软件检测的方法、装置及系统

说明书

本发明提供一种软件检测的方法、装置及系统，该方法，包括：获取待检测的软件数据；从所述软件数据中筛选出系统文件线程；通过沙箱提取所述系统文件线程中的API序列；对所述API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到API多线程序列；通过目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果。可以实现更加高效、准确的恶意软件检测，还可以获得更多种类的恶意软件检测结果。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种软件检测的方法、装置及系统。

背景技术

随着信息技术、互联网的高速发展，网络安全问题受到人们越来越多的关注，恶意软件无疑是危害最大的，恶意软件来指代故意在计算机系统上执行恶意任务的病毒、蠕虫或者特洛伊木马等等的程序。通过破坏软件进程来实施控制。N-Gram传统检测方法在恶意软件序列检测中被广泛使用。

随着恶意软件对抗技术的不断发展，恶意软件检测技术也从静态检测逐渐向动静结合方向发展。

然而，大多使用静态序列提取方案的软件检测方法，在基于N-Gram特征提取时，因动态序列存在多线程，序列长度极度不均匀等问题，造成检测结果不准确，同时带来计算开销大，感受野太小。

发明内容

本发明提供一种软件检测的方法、装置及系统，以实现更加高效、准确的恶意软件检测，还可以获得更多种类的恶意软件检测结果。

第一方面，本发明实施例提供的一种软件检测的方法，包括：

获取待检测的软件数据；

从所述软件数据中筛选出系统文件线程；

通过沙箱提取所述系统文件线程中的API序列；

对所述API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到API多线程序列；

通过目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果。

在一种可能的设计中，在通过目标检测模型对所述API多线程序列进行检测分析，得到软件检测结果之前，还包括：

获取恶意软件数据；所述恶意软件数据包括：感染型病毒、木马程序、挖矿程序、勒索病毒；

从所述恶意软件数据中，筛选出恶意软件的系统文件线程；

通过沙箱提取所述恶意软件的系统文件线程中的API序列，得到恶意软件的API序列；

对所述恶意软件的API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到恶意软件的API多线程序列；

构建初始检测模型；所述初始检测模型是基于空洞卷积和TextCNN的分类模型；

以多分类logloss为评价目标，通过恶意软件的API多线程序列对所述初始检测模型进行迭代训练，得到所述目标检测模型。

在一种可能的设计中，通过沙箱提取所述系统文件线程中的API序列，包括：

通过沙箱对所述系统文件线程进行动态执行，获取文件调用的API名称、API线程编号、API返回值、线程中API调用的顺序编号。

在一种可能的设计中，对所述API序列进行截断，并按照多线程对截断后的API序列进行重新编码，得到API多线程序列，包括：

当某一线程中调用API的文件数量超过预设的阈值，则对所述线程对应的API序列进行截断，保存预设数量的API记录，得到截断的API序列；

按照多线程，对截断的API序列进行重新编码，得到API多线程序列。