[发明专利]使用在一个恶意文件上训练的学习模型识别多个恶意文件的系统和方法

权利要求书

1.一种使用学习模型识别多个恶意文件的方法，所述方法包括：

由硬件处理器通过利用一个已知恶意文件和多个已知安全文件训练神经网络，来生成学习模型以识别多个恶意文件，其中，训练所述神经网络包括：

形成包含所述一个已知恶意文件的多个属性的第一向量；

利用所述第一向量训练所述神经网络以识别影响识别所述恶意文件的多个重要属性；

形成包含所述多个已知安全文件的多个属性的第二向量；

利用所述第二向量训练所述神经网络以识别对于恶意文件的检测无关紧要的属性；

由所述神经网络输出结果属性的一维向量，所述一维向量包含识别与文件将被证明为有危害的概率相关的危害性系数的数值，

由所述硬件处理器基于所述结果属性的一维向量从所述学习模型生成用于检测恶意文件的规则，以及

由所述硬件处理器通过利用所述学习模型应用所述用于检测恶意文件的规则来确定未知文件是否为恶意的。

2.如权利要求1所述的方法，还包括：

在训练所述神经网络之前，选择和修改所述神经网络的参数。

3.如权利要求2所述的方法，其中，所述参数包括层的数量、所述层中的神经元的数量、损失函数、神经元之间的耦合系数以及所述损失函数的系数。

4.如权利要求3所述的方法，还包括：

基于损失函数误差梯度的方法选择所述损失函数。

5.如权利要求1所述的方法，还包括：

通过将所述学习模型应用于所述多个已知安全文件来确定所述多个已知安全文件中的一个已知安全文件是否有危害；以及

响应于确定所述多个已知安全文件中的一个已知安全文件是有危害的，则使用所述神经网络修改所述学习模型并再训练所述学习模型。

6.如权利要求1所述的方法，其中，用于检测的所述规则包括至少一个用于识别的条件。

7.如权利要求1所述的方法，还包括：

将所述第一向量转换为所述神经网络的外层的矩阵；

将所述神经网络的所述矩阵映射到识别文件的所述危害性系数的所述结果属性的一维向量上。

8.如权利要求7所述的方法，其中，所述对于恶意文件的检测无关紧要的属性为那些消耗计算资源而不改进所述危害性系数的识别的属性。

9.如权利要求1所述的方法，还包括：

基于其它确定恶意性的方法，确定所述未知文件是否为恶意的；以及

响应于使用所述学习模型确定所述未知文件为恶意的并且使用所述其它确定恶意性的方法确定所述未知文件为安全的，则识别所述学习模型和用于检测的所述规则中的误报警；

将所述未知文件添加到所述多个已知安全文件中；以及

基于新选择的损失函数和所述多个已知安全文件，再训练所述学习模型的所述神经网络。

10.一种使用学习模型识别多个恶意文件的系统，所述系统包括：

硬件处理器，所述硬件处理器配置为：

通过利用一个已知恶意文件和多个已知安全文件训练神经网络，来生成学习模型以识别多个恶意文件，其中，配置为训练所述神经网络的所述硬件处理器还配置为：

形成包含所述一个已知恶意文件的多个属性的第一向量；

利用所述第一向量训练所述神经网络以识别影响识别所述恶意文件的多个重要属性；

形成包含所述多个已知安全文件的多个属性的第二向量；

利用所述第二向量训练所述神经网络以识别对于恶意文件的检测无关紧要的属性；

由所述神经网络输出结果属性的一维向量，所述一维向量包含识别与文件将被证明为有危害的概率相关的危害性系数的数值，

基于所述结果属性的一维向量从所述学习模型生成用于检测恶意文件的规则，以及

通过利用所述学习模型应用所述用于检测恶意文件的规则来确定未知文件是否为恶意的。