[发明专利]一种恶意软件检测方法

权利要求书

1.一种恶意软件检测方法，其特征在于,包括如下步骤：

S1：静态检测目标软件的目标代码，在隔离沙箱中对目标软件进行反编译获取目标代码，然后对目标代码进行分析，判断是否存在恶意代码；

S2：在隔离沙箱中运行目标软件，在隔离沙箱中复制创建本地系统，然后使用沙箱中的系统运行目标软件；

S3：记录目标软件的启用情况，记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况，以及目标软件调用的系统API，生成待识别样本向量；

S4：创建恶意软件识别模型，使用预先创建的恶意软件识别模型，采用机器学习算法对待识别的样本向量进行分类，并获取识别结果；

S5：建立恶意软件特征库，根据检测的恶意软件提取其特征，创建特征库。

2.如权利要求1所述的一种恶意软件检测方法，其特征在于，所述记录目标软件在运行过程中对应的预先选中的多个特定底层函数的启用情况方法，包括如下具体步骤：S301、当目标程序运行时，将某一特定底层函数调用，则对该特定底层函数的对应位置进行一号标记，不同的特定底层函数使用不同的一号小值化进行标记；S302、在目标程序运行结束后，对运行过程中未调用的特定底层函数位置进行二号标记，获取目标程序行为链以及训练样本特征向量，从而获取训练样本特征向量集。

3.如权利要求2所述的一种恶意软件检测方法，其特征在于，所述记录目标软件在运行过程中调用的系统API，生成待识别样本向量的方法，包括如下步骤：S303、使用行为记录组记录目标在运行过程中调用的系统API，将记录的API拆分为多段，S304、使用预先架构的DGA训练模型处理，得到API向量。

4.如权利要求1所述的一种恶意软件检测方法，其特征在于，所述恶意软件模型的创建方法，包括如下具体步骤：S401、在隔离沙箱中运行已知的恶意样本软件程序以及非恶意样本软件程序；

S402、依次全部记录每一个样本软件程序在运行过程中对应的预先选中的多个特定底层函数启动情况，然后生成每个样本软件程序的行为链以及对应的训练样本特征向量，以获取对应的训练样本特征向量集；

S403、获取每个样本软件的系统权限、系统调用和系统控制程序图三个特征混合的综合特征向量，并对应存入训练样本特征向量集；

S404、根据获取的训练样本特征向量集，构建恶意软件模型。

5.如权利要求4所述的一种恶意软件检测方法，其特征在于，所述S404、根据获取的训练样本特征向量集，构建恶意软件模型的方法，包括如下具体步骤：S4041、提取所有训练样本特征向量，将特征向量分类为恶意软件特征向量和非恶意软件特征向量；

S4042、提取对应软件的综合特征向量，按已完成的特征向量分类分别归纳入对应的分类中；

S4043、将对应的恶意软件特征向量与该软件的综合特征向量组合，构成恶意软件识别模型。

6.如权利要求5所述的一种恶意软件检测方法，其特征在于，所述对应的非恶意软件特征向量与该软件的综合特征向量组合，构成非恶意软件模型，同时根据恶意软件模型中训练样本特征向量集中的标记，构成概率恶意集。

7.如权利要求6所述的一种恶意软件检测方法，其特征在于，所述恶意软件特征库包括恶意软件的典型特征与变动特征。

8.如权利要求7所述的一种恶意软件检测方法，其特征在于，所述特征库中根据恶意软件的变动特征创建学习机制，自动学习补充特征库恶意软件。