[发明专利]一种恶意文件识别方法、装置、设备及存储介质

说明书

本发明公开了一种恶意文件识别方法，该方法包括以下步骤：预先将所有的历史文件样本划分到多个样本类中；训练获得每个样本类对应的恶意文件识别模型；在有新文件样本时，确定新文件样本的所属样本类；更新新文件样本所属样本类对应的恶意文件识别模型；在有待识别文件时，使用相应的恶意文件识别模型对待识别文件进行识别。应用本发明实施例所提供的技术方案，可以快速进行相关样本类的恶意文件识别模型的更新，能够快速应用到对最新恶意文件的识别上，及时响应最新威胁。本发明还公开了一种恶意文件识别装置、设备及存储介质，具有相应技术效果。

技术领域

本发明涉及计算机应用技术领域，特别是涉及一种恶意文件识别方法、装置、设备及存储介质。

背景技术

随着计算机技术的快速发展，恶意文件的识别逐渐从基于静态恶意文件特征码、规则匹配、启发式杀毒等方式演变到了使用机器学习算法获得恶意文件识别模型进行恶意文件的识别的方式。使用机器学习算法，如分类算法获得恶意文件识别模型，其本身的泛化能力能够从已知文件样本中学习检测规则来识别未知的具有一定相似程度的恶意文件。

恶意文件识别模型的泛化能力高低取决于训练样本集的丰富程度。如果训练样本集中不包含描述一个恶意文件样本的变种的信息，则训练所得的识别模型将无法很好应对此类恶意文件的变种。也就是说，在恶意文件识别模型刚刚被训练出来时具有比较好的检出率，但随着时间的推移检出率不断地下降。这一现象产生的原因就在于随着时间的推移恶意文件不断地演化和变种，因此，相隔时间越长的活跃样本之间的相似性也就越小。

所以，需要通过获取新文件样本对恶意文件识别模型进行更新，以获得较好的恶意文件的检出率和识别准确率。在现有技术中，在对恶意文件识别模型进行更新时，多是将所有的文件样本，包括新文件样本和历史文件样本都加入到训练样本集中，对恶意文件识别模型进行重新训练得到更新后的恶意文件识别模型，然后使用该更新后的恶意文件识别模型进行恶意文件的识别。

这种方法存在一定的缺点，因为将所有的文件样本都加入到训练样本集中，将导致训练样本集中文件样本的数量非常巨大，使用这样的训练样本集对恶意文件识别模型进行重新训练，将需要耗费较长时间，很难在较短时间内获取到更新后的恶意文件识别模型，也就无法对最新恶意文件进行快速识别，无法及时响应最新威胁。

发明内容

本发明的目的是提供一种恶意文件识别方法、装置、设备及存储介质，以快速进行恶意文件识别模型的更新，及时响应最新威胁。

为解决上述技术问题，本发明提供如下技术方案：

一种恶意文件识别方法，包括：

预先将所有的历史文件样本划分到多个样本类中；

基于每个样本类中的历史文件样本，训练获得每个样本类对应的恶意文件识别模型；

在有新文件样本时，确定所述新文件样本的所属样本类；

基于所述新文件样本和所述新文件样本所属样本类中的历史文件样本，更新所述新文件样本所属样本类对应的恶意文件识别模型；

在有待识别文件时，使用相应的恶意文件识别模型对所述待识别文件进行识别。

在本发明的一种具体实施方式中，所述预先将所有的历史文件样本划分到多个样本类中，包括：

获取所有的历史文件样本；

提取每个历史文件样本的原始特征；

基于每个历史文件样本的原始特征，对所有的历史文件样本进行聚类处理，获得多个样本类。

在本发明的一种具体实施方式中，所述基于每个历史文件样本的原始特征，对所有的历史文件样本进行聚类处理，获得多个样本类，包括：