[发明专利]构建恶意文件的检测模型以及检测恶意文件的方法

说明书

本发明涉及构建恶意文件的检测模型以及检测恶意文件的方法，在构建恶意文件的检测模型的方法中，通过建立用于检测恶意文件的静态随机森林模型、静态LightGBM模型、动态随机森林模型、动态重要特征随机森林模型以及动态LightGBM模型以形成融合模型，融合模型与malheur模型结合以形成恶意文件的检测模型。本发明中的恶意文件的检测模型能及时发现可疑恶意文件，从而规避了恶意文件造成的危害。在检测恶意文件的方法中，通过采用本发明的恶意文件的检测模型和第三方工具进行检测，在面对不断的推陈出新的恶意文件或恶意软件时，能及时发现以查杀，并且准确率得到提升，还可以适应线上检测环境。

技术领域

本发明涉及网络安全技术领域，特别涉及构建恶意文件的检测模型以及检测恶意文件的方法。

背景技术

近年来，互联网行业蓬勃发展，网络已经成为人们主要的信息获取方式，随着各种新网站的出现，网络信息成指数级增长，伴随出现的安全问题也愈发严重。一些恶意文件形成的恶意软件通过一些网站或邮件链接等渠道，安装在电脑上，但用户不知情，恶意软件会配合其它攻击手段，盗取用户信息，甚至公司的信息。

现有技术中，针对恶意软件虽然已经提出大量的查杀方案，但现有的查杀方案主要是根据恶意软件的代码特征建立病毒库，再以病毒库为参考对用户电子设备内存在的软件进行查杀。这样的方法对已知的病毒具有很好的查杀效果，但面对不断的推陈出新的恶意软件依然显得力不从心。需要不断的完善病毒库，以应对恶意软件的变化。这样的方式不仅对新出现的恶意软件查杀不及时，同时面对已知的恶意软件只是稍微改变部分代码或新增一个壳体也无法及时识别及查杀。另外，近年来虽然有关AI的算法有应用到恶意文件检测，但都存在着准确率较低或并不适合线上环境等问题。

因此有必要提供一种构建恶意文件的检测模型以及检测恶意文件的方法，以达到能及时发现可疑恶意文件的目的，从而规避恶意文件造成的危害。

发明内容

本发明的目的在于提供一种构建恶意文件的检测模型以及检测恶意文件的方法，以达到能及时发现可疑恶意文件的目的，从而规避恶意文件造成的危害。

为了解决现有技术中存在的问题，本发明提供了一种构建恶意文件的检测模型的方法，包括以下步骤：

获取多个正常样本和多个恶意样本，并分别标签；

过滤出恶意样本中未加壳的恶意样本；

建立静态模型，包括：获取多个所述正常样本和多个所述恶意样本的PE格式；根据获取的各样本的PE格式，将数据转化成多个特征向量；合并多个所述特征向量，并与标签关联；将随机森林模型和LightGBM模型调到最优参数；将与标签关联后的特征向量输入到随机森林模型和LightGBM模型中，分别建立用于静态检测恶意文件的随机森林模型和LightGBM模型；

建立动态模型，包括：把多个所述正常样本和多个所述恶意样本放入沙箱中，得到沙箱报告，获取沙箱报告中各样本关于api、tid、return_value以及index的特征向量；合并多个所述特征向量，并与标签关联；将随机森林模型和LightGBM模型调到最优参数，并建立重要特征随机森林模型；将与标签关联后的特征向量输入到随机森林模型、重要特征随机森林模型和LightGBM模型中，分别建立用于动态检测恶意文件的随机森林模型、重要特征随机森林模型和LightGBM模型；

融合所有静态模型和所有动态模型得到融合模型；

根据融合模型得到的合计恶意可疑分值和malheur模型得到的恶意可疑分值计算得到最终恶意分值，根据最终恶意分值检测样本。

可选的，在所述构建恶意文件的检测模型的方法中，根据获取的各样本的PE格式，将数据转化成多个特征向量的方式如下：

特征一：统计sections的数量；

特征二：统计section大小等于0的数量；