[发明专利]恶意软件检测方法、装置和计算机存储介质

权利要求书

1.一种恶意软件检测方法，其特征在于，所述恶意软件检测方法包括以下步骤：

收集终端运行软件时显示的用户界面的截图；

提取所述截图的图像特征，生成特征向量；

根据预设机器学习模型对所述特征向量进行推理，获得所述截图对应的标签；

根据所述标签判定所述运行软件是否为恶意软件。

2.如权利要求1所述的恶意软件检测方法，其特征在于，所述收集终端运行软件时显示的用户界面的截图的步骤之前，还包括：

获取训练数据集；其中，所述训练数据集包括恶意软件和正常软件运行时终端屏幕截图，每个截图至少具有一个标签；

对所述训练数据集中的每一个截图执行以下操作：

识别对应数量个图像特征区域；

将所述对应数量个图像特征区域转化为特征向量；

利用预设机器学习算法、所述特征向量以及所述特征向量的标签，训练预设机器学习模型；其中，所述特征向量的标签为所述特征向量对应截图的标签。

3.如权利要求2所述的恶意软件检测方法，其特征在于，所述根据所述标签判定所述运行软件是否为恶意软件，包括：

当所述标签为恶意软件标识或恶意软件家族时，判定所述运行软件为恶意软件；

或当所述标签为正常软件时，判定所述运行软件为正常软件。

4.如权利要求3所述的恶意软件检测方法，其特征在于，所述当所述标签为恶意软件标识或恶意软件家族时，判定所述运行软件为恶意软件的步骤之后，还包括：

终端发出预设警告提示用户所述运行软件为恶意软件。

5.如权利要求2所述的恶意软件检测方法，其特征在于，所述收集终端运行软件时显示的用户界面的截图的步骤之后，还包括：

终端通过用户接口将所述截图上传至预设服务器；

预设服务器提取所述截图的图像特征，生成特征向量；

预设服务器根据所述预设机器学习模型对所述特征向量进行推理，获得所述截图对应的标签；

预设服务器返回所述标签至终端；

终端根据所述标签判定所述运行软件是否为恶意软件；

当所述运行软件为恶意软件时，终端发出预设警告提示用户所述运行软件为恶意软件。

6.如权利要求2所述的恶意软件检测方法，其特征在于，所述利用预设机器学习算法、所述特征向量以及所述特征向量的标签，训练预设机器学习模型的步骤之后，还包括：

收集截图序列数据集；其中，获取一个软件数据集，软件数据集包括多个软件，软件数据集中每个软件至少具有一个标签；对软件数据集中每个软件收集终端用户界面至少两张截图形成软件截图序列，所有软件的截图序列构成截图序列数据集；

根据所述截图序列数据集生成标签序列集；

收集终端运行软件时显示的用户界面的至少两张截图，生成截图序列；

提取所述截图序列中的每张图像特征，生成每张图像对应的特征向量；根据所有的特征向量生成图像序列特征向量序列；

根据预设机器学习模型推理所述图像序列特征向量序列，获得所述截图序列对应的标签序列；

在所述标签序列集中搜索与所述标签序列相同的标签序列对应的标签；

根据所述标签判定所述运行软件是否为恶意软件；

当所述运行软件为恶意软件时，终端发出预设警告提示用户所述运行软件为恶意软件。

7.如权利要求6所述的恶意软件检测方法，其特征在于，所述根据所述截图序列数据集生成标签序列集，包括：

对所述截图序列数据集中每一个软件截图序列执行以下操作:

提取一个截图序列中的每张图像特征，生成每张图像对应的特征向量；根据所有的特征向量生成图像序列特征向量序列；

根据预设机器学习模型推理所述图像序列特征向量序列，获得所述软件截图序列对应的标签序列；

根据所述标签序列赋予对应软件的标签；

当所有软件截图序列都获得标签序列和软件对应的标签时，将所述所有软件截图序列的标签序列以及所述软件对应的标签，构成标签序列集。