[发明专利]一种恶意软件检测方法、装置、计算机设备及存储介质在审
| 申请号: | 202111582120.3 | 申请日: | 2021-12-22 |
| 公开(公告)号: | CN114282216A | 公开(公告)日: | 2022-04-05 |
| 发明(设计)人: | 徐会军;郑磊;王晓燕;韩鹏军;王璇;牛月坤;曹慧;郭俊才;郭家豪 | 申请(专利权)人: | 国能信息技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06K9/62;G06N20/00 |
| 代理公司: | 北京聿宏知识产权代理有限公司 11372 | 代理人: | 陈超德;吴昊 |
| 地址: | 100011 北京市东城*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 恶意 软件 检测 方法 装置 计算机 设备 存储 介质 | ||
1.一种恶意软件检测方法,其特征在于,包括:
基于多级签名匹配算法从预设签名库中对待测应用软件进行数字签名匹配;
若匹配成功,则确定所述待测应用软件为疑似恶意软件;
响应于所述待测应用软件为疑似恶意软件,基于预设机器学习模型得到所述待测应用软件的属性特征对应的软件确定所述待测应用软件是否为恶意软件的第一判定结果。
2.根据权利要求1所述的恶意软件检测方法,其特征在于,所述基于预设机器学习模型得到所述待测应用软件的属性特征对应的软件确定所述待测应用软件是否为恶意软件的第一判定结果包括:
提取所述待测应用软件的系统权限、四大组件、API调用接口和程序关键信息作为属性特征;
将所述属性特征输入至预先基于随机森林算法构建的机器学习模型中,得到所述待测应用软件的分类结果,所述分类结果包括恶意软件和安全软件。
3.根据权利要求2所述的恶意软件检测方法,其特征在于,还包括:
对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果。
4.根据权利要求3所述的恶意软件检测方法,其特征在于,所述对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果包括:
比较所述待测应用软件的底层数据流与预设安全软件的底层数据流之间的相似性;
基于所述相似性判断所述待测应用软件是否为恶意软件。
5.根据权利要求4所述的恶意软件检测方法,其特征在于,所述基于所述相似性判断所述待测应用软件是否为恶意软件包括:
响应于所述待测应用软件的底层数据流与预设安全软件的底层数据流具有相似性,则所述待测应用软件为安全软件;
响应于所述待测应用软件的底层数据流与预设安全软件的底层数据流不具有相似性,则所述待测应用软件为恶意软件。
6.根据权利要求3所述的恶意软件检测方法,其特征在于,所述对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果包括:
响应于所述第一判定结果为恶意软件且所述第二判定结果为恶意软件,确定所述待测应用软件为恶意软件。
7.一种恶意软件检测装置,其特征在于,包括:
签名匹配模块,用于基于多级签名匹配算法从预设签名库中对待测应用软件进行数字签名匹配;
疑似软件确定模块,用于在匹配成功时,确定所述待测应用软件为疑似恶意软件;
恶意软件判定模块,用于响应于所述待测应用软件为疑似恶意软件,基于预设机器学习模型得到所述待测应用软件的属性特征对应的软件确定所述待测应用软件是否为恶意软件的第一判定结果。
8.根据权利要求7所述的恶意软件检测装置,其特征在于,所述恶意软件判定模块,还用于:
对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1至6中任一项所述的方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国能信息技术有限公司,未经国能信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111582120.3/1.html,转载请声明来源钻瓜专利网。
