[发明专利]一种恶意软件检测方法及装置

权利要求书

1.一种恶意软件检测方法，其特征在于，包括：

确定待检测的目标软件；

获得所述目标软件的系统调用名和网络活动事件；

将所述目标软件的系统调用名和网络活动事件按照时间戳统一排序，编码生成所述目标软件的聚合动态特征；

将所述目标软件的聚合动态特征输入到预先训练获得的基于序列转换器结构的目标神经网络模型中，获得输出结果；

根据所述输出结果，确定所述目标软件是否为恶意软件。

2.根据权利要求1所述的方法，其特征在于，所述目标神经网络模型为通过以下步骤训练获得：

获得多个训练样本的聚合动态特征，每个训练样本的聚合动态特征中携带相应训练样本是否为恶意软件的标签；

建立基于序列转换器结构的初始神经网络模型；

基于所述多个训练样本的聚合动态特征，对所述初始神经网络模型进行训练，更新模型参数；

训练完成后，基于所述标签确定训练后的神经网络模型的准确率是否达到设定的准确率阈值；

如果未达到，则重复执行基于所述多个训练样本的聚合动态特征，对所述初始神经网络模型进行训练，更新模型参数的步骤；

如果达到，则将当前训练后的神经网络模型确定为所述目标神经网络模型。

3.根据权利要求2所述的方法，其特征在于，所述初始神经网络模型所基于的序列转换器结构的维度为多维。

4.根据权利要求2所述的方法，其特征在于，所述初始神经网络模型包括输入层、带位置编码的嵌入层、序列转换器模块、全局平均池化层、随机失活层及夹在中间的Relu激活层、sigmoid全连接层和softmax激活层。

5.根据权利要求1所述的方法，其特征在于，所述根据所述输出结果，确定所述目标软件是否为恶意软件，包括：

如果所述输出结果中所述目标软件为恶意软件的概率超过设定决策阈值，则将所述目标软件确定为恶意软件。

6.根据权利要求1至5之中任一项所述的方法，其特征在于，还包括：

在达到设定的训练触发条件时，重新训练获得所述目标神经网络模型。

7.一种恶意软件检测装置，其特征在于，包括：

目标软件确定单元，用于确定待检测的目标软件；

目标软件监测单元，用于获得所述目标软件的系统调用名和网络活动事件；

聚合动态特征生成单元，用于将所述目标软件的系统调用名和网络活动事件按照时间戳统一排序，编码生成所述目标软件的聚合动态特征；

输出结果获得单元，用于将所述目标软件的聚合动态特征输入到预先训练获得的基于序列转换器结构的目标神经网络模型中，获得输出结果；

恶意软件判定单元，用于根据所述输出结果，确定所述目标软件是否为恶意软件。

8.根据权利要求7所述的装置，其特征在于，还包括模型训练单元，用于通过以下步骤训练获得所述目标神经网络模型：

获得多个训练样本的聚合动态特征，每个训练样本的聚合动态特征中携带相应训练样本是否为恶意软件的标签；

建立基于序列转换器结构的初始神经网络模型；

基于所述多个训练样本的聚合动态特征，对所述初始神经网络模型进行训练，更新模型参数；

训练完成后，基于所述标签确定训练后的神经网络模型的准确率是否达到设定的准确率阈值；

如果未达到，则重复执行基于所述多个训练样本的聚合动态特征，对所述初始神经网络模型进行训练，更新模型参数的步骤；

如果达到，则将当前训练后的神经网络模型确定为所述目标神经网络模型。

9.根据权利要求7所述的装置，其特征在于，所述恶意软件判定单元，用于：

如果所述输出结果中所述目标软件为恶意软件的概率超过设定决策阈值，则将所述目标软件确定为恶意软件。

10.根据权利要求7至9之中任一项所述的装置，其特征在于，还包括模型重新训练单元，用于：

在达到设定的训练触发条件时，重新训练获得所述目标神经网络模型。