[发明专利]使用在一个恶意文件上训练的学习模型识别多个恶意文件的系统和方法

说明书

本发明公开了使用在一个恶意文件上训练的学习模型识别多个恶意文件的系统和方法。在一个方面中，示例性方法包括：使用硬件处理器从已知有危害的多个恶意文件中选择一个恶意文件；使用所述硬件处理器从已知安全的安全文件集合中选择多个安全文件；使用所述硬件处理器，通过使用所述一个恶意文件和所述多个安全文件训练神经网络，生成学习模型；使用所述硬件处理器从所述学习模型中生成用于检测恶意文件的规则；使用所述硬件处理器，利用所述学习模型确定未知文件的属性是否满足检测恶意文件的规则；响应于确定满足用于检测的所述规则，则使用所述硬件处理器将所述未知文件识别为恶意的。

技术领域

本发明涉及用于识别恶意文件的解决方案，更具体地涉及使用在一个恶意文件上训练的学习模型检测多个恶意文件的系统和方法。

背景技术

目前，恶意软件(诸如计算机病毒、木马(Trojan horses)、互联网蠕虫)的数量正在增加，恶意软件被设计成对用户的数据以及对感染恶意软件的电子设备的实际用户造成危害。该危害可以通过破坏或移除用户文件、利用用户的计算设备的资源来“挖掘”加密货币、窃取机密用户数据(对应性、图像、登录名、密码、银行卡数据)和其它行为造成。此外，恶意软件在不断变化，因为恶意软件的创建者采用新的攻击和防御安全应用的方法。所使用的不同机制包括例如混淆恶意代码(换句话说，将程序的原始文本或可执行代码设置为保留其功能但会损害分析的形式、理解操作算法以及例如在反编译期间进行修改)或使用仿真阻止措施(例如，恶意软件具有识别其何时在仿真器中被执行的功能，并且不会显示其恶意行为)。

此外，恶意软件通常不会立即或同时显示其恶意行为，而是执行大量的应用程序编程接口调用(API calls)(大约数百万次调用)和大量循环(大约数十亿次迭代)，并在启动后立即停止其运行达一定时间(例如，使用函数“Sleep()”停止运行一个小时)。目前用户的计算设备具有高性能，使用多核处理器(或者甚至多处理器系统)，因此用户可能不会注意或关注其中一个核的工作量。此外，从用户打开、激活或启动设备的时间开始，用户通常使用该设备超过一个小时。因此，恶意软件一旦启动，就无需立即显示其行为。

还存在一些被称为“针对性”攻击(高级持续性威胁(advanced persistentthreat，APT))的攻击。这些攻击是针对整个组织和公司执行的，通过利用软件漏洞和“社会工程”方法对基础架构实现这些攻击。已知的情况是使用几个没有单独显示任何恶意行为的简单应用进行这种攻击，然而，一旦入侵正在受攻击的公司的基础架构时，这些简单的应用联合执行，一起形成恶意功能且对正在受攻击的公司造成危害。

为了对抗上述技术，安全应用(诸如防病毒应用)的创建者使用以隔离的环境形式使用虚拟机的技术来安全执行文件。这种虚拟机通常被称为“沙箱(sandboxes)”。管理程序控制虚拟机的执行，并且通常包含用于拦截由虚拟机中正在执行的应用所调用的函数的机制。

应当注意，安全应用采用各种方法来识别恶意软件，例如诸如签名和/或启发式分析等技术。如果在分析过程中尚未确定文件的危害性，则可以通过安全应用将该文件发送至上述虚拟机以分析其行为(例如，如果文件不具有来自可信软件制造商的数字签名)。然后在虚拟机中执行所发送的文件，在虚拟机中，拦截应用的动作以及应用中由于各种函数调用而发生的事件，将与拦截的事件和动作有关的信息存储在日志中，之后，安全应用或计算机安全专家分析该日志以识别恶意软件。

此外，已知使用神经网络来识别恶意软件的方法。然而，当所有已知的是被识别为恶意的单个文件(单个文件样本)并且该单个文件很少被犯罪分子改变时，已知的识别恶意软件的方法无法有效地解决识别的问题。通常(例如，在APT攻击的情况下)这类文件可能由可信证书签名并执行不能被特定地视为恶意的动作。例如，打开.DOC文件，没有更改地关闭该.DOC文件，发送数据包或邮件。从安全应用的角度来看，上述的动作是完全安全的(存在许多能够打开文本文件并发送消息和/或邮件的程序)，但由于这些动作的执行，可以从上述打开的文件中窃取机密数据。期望基于这类单个文件来识别在功能上与上述单个文件类似的其它恶意文件。此外，在上述APT攻击的情况下，有必要从文件的间接属性中识别出用于攻击的其它文件。