[发明专利]恶意软件识别方法、装置及存储介质

说明书

本发明涉及软件安全技术领域，公开了一种恶意软件识别方法、装置及存储介质，该恶意软件识别方法包括以下步骤：提取样本软件执行序列特征；其中，所述样本软件执行序列特征包括API特征、PID特征以及RET特征；利用所述API特征、所述PID特征以及所述RET特征训练GCForest模型；其中，所述GCForest模型包括级联森林模块，且所述GCForest模型的最终预测结果由最终决策学习器输出；使用训练后的GCForest模型对恶意软件进行识别。本发明提供的恶意软件识别方法、装置及存储介质，能够提高对恶意软件的识别准确率。

技术领域

本发明涉及软件安全技术领域，特别是涉及一种恶意软件识别方法、装置及存储介质。

背景技术

随着网络的普及与发展，人类已进入信息化时代。但是，与此同时，随着网络攻击技术的发展，特别是计算机病毒、计算机蠕虫、特洛伊木马等为代表的恶意代码对网络和信息系统带来的安全问题已经成为关系国家安全、军事安全和社会安全的重大问题，软件安全研究也成为了当前计算机研究的一个重要课题。其中，恶意软件识别是判断计算机软件安全性的一种方法，是软件安全研究的一个关键部分。

在现有技术中，主要使用深度神经网络算法来完成恶意软件识别任务，通过对恶意样本的分析，恶意软件文件可以通过转换算法转换为图像数据集和文本序列数据集，从而应用在图像和文本任务中表现出色的深度学习模型，例如CNN(Convolutional NeuralNetwork，卷积神经网络)、GRU(Gated Recurrent Unit，门控循环单元)等。而基于森林的传统机器学习算法在数据分类任务中取得了较好的效果，其中，XGBoost(eXtremeGradientBoosting，极端梯度提升)和LightGBM(Light Gradient Boosting Machine，轻量级梯度提升机)目前在网络安全领域的很多问题上都有使用，例如DDoS(Distributed Denial ofService，分布式拒绝服务)攻击检测、恶意入侵检测以及点击欺诈检测。

但是，现有的基于深度学习的识别方法存在识别准确率较低的不足；现有的基于森林的传统机器学习的识别方法直接由最后一层的类概率向量的平均值作为输出，同样存在准确率较低等不足。

发明内容

本发明所要解决的技术问题是：提供一种恶意软件识别方法、装置及存储介质，采用改进的GCForest模型对恶意软件进行识别，提高识别准确率。

为了解决上述技术问题，第一方面，本发明提供一种恶意软件识别方法，该方法包括：

提取样本软件执行序列特征；其中，所述样本软件执行序列特征包括API特征、PID特征以及RET特征；

利用所述API特征、所述PID特征以及所述RET特征训练GCForest模型；其中，所述GCForest模型包括级联森林模块，且所述GCForest模型的最终预测结果由最终决策学习器输出；

使用训练后的GCForest模型对恶意软件进行识别。

优选地，所述提取样本软件执行序列特征，具体为：

抓取所述样本软件的xml文件中的api_name、call_pid、ret_value；

根据所述api_name、所述call_pid、所述ret_value使用规则匹配和频数统计提取所述样本软件的所述API特征、所述PID特征以及所述RET特征。

具体地，所述根据所述api_name、所述call_pid、所述ret_value使用规则匹配和频数统计提取所述样本软件的所述API特征、所述PID特征以及所述RET特征，具体为：

当所述样本软件的api_name中包含第一字符串时，确定所述样本软件的所述API特征的值为1，否则为0；其中，所述第一字符串为恶意软件的api_name中的任一字符串；