[发明专利]一种恶意软件检测模型训练、恶意软件检测方法及装置

权利要求书

1.一种恶意软件检测模型训练方法，其特征在于，包括：

获取软件样本库，所述软件样本库中包括多个恶意软件；

对所述软件样本库中的恶意软件进行分析，得到各恶意软件对应的训练合成行为图；

对所述训练合成行为图添加第一标签；

根据所述训练合成行为图获取一个或多个训练公共行为图，各所述训练公共行为图分别对应一个恶意软件家族，对所述训练公共行为图添加第二标签；

将所述训练合成行为图和所述训练公共行为图输入到图匹配模型中，得到所述训练合成行为图与所述训练公共行为图的第一相似系数；

确定所述第一标签与所述第二标签的第二相似系数，对所述第一相似系数和所述第二相似系数作差，若所述第一相似系数和所述第二相似系数的差值小于预设相似系数，则将当前的图匹配模型确定为恶意软件检测模型。

2.根据权利要求1所述的恶意软件检测模型训练方法，其特征在于，对所述软件样本库中的恶意软件进行分析，得到各恶意软件对应的训练合成行为图，包括：

对所述软件样本库中的恶意软件进行反编译，得到反编译代码和清单配置文件；

根据所述反编译代码生成训练基本行为图；

根据所述反编译代码和所述清单配置文件生成测试脚本，利用所述测试脚本对所述恶意软件进行动态测试，得到动态运行信息；

通过所述动态运行信息和所述训练基本行为图生成所述训练合成行为图。

3.根据权利要求1所述的恶意软件检测模型训练方法，其特征在于，所述训练合成行为图包括一个或多个极大连通子图，所述极大连通子图包括一个或多个边，

根据所述训练合成行为图获取一个或多个训练公共行为图，包括：

根据所述第一标签对所述训练合成行为图进行分类组合，得到一个或多个训练合成行为图集合；

确定各训练合成行为图集合中各极大连通子图的边的权值；

基于各训练合成行为图集合中各极大连通子图的边的权值，分别确定与各训练合成行为图集合相对应的训练公共行为图。

4.根据权利要求3所述的恶意软件检测模型训练方法，其特征在于，基于训练合成行为图集合中各极大连通子图的边的权值，确定与训练合成行为图集合相对应的训练公共行为图，包括：

根据训练合成行为图集合中各极大连通子图的边的权值，确定各极大连通子图的边平均权值，以及训练合成行为图集合的子图间权值平均值，所述子图间权值平均值为所述训练合成行为图集合中极大连通子图的边平均权值的均值；

将边平均权值大于所述子图间权值平均值的极大连通子图中，权值小于预设值的边进行删除，形成中间图；

将边的权值的和最大的中间图确定为所述训练合成行为图集合对应的训练公共行为图。

5.根据权利要求1所述的恶意软件检测模型训练方法，其特征在于，还包括：

若所述第一相似系数和所述第二相似系数的差值大于或等于预设相似系数，则利用反向传播算法对所述图匹配模型进行优化训练，返回将所述训练合成行为图和所述训练公共行为图输入到图匹配模型中，得到所述训练合成行为图与所述训练公共行为图的第一相似系数的步骤，直到所述第一相似系数和所述第二相似系数的差值小于预设相似系数。

6.一种恶意软件检测方法，其特征在于，包括：

获取待检测软件的合成行为图；

将所述合成行为图和恶意软件的公共行为图输入到恶意软件检测模型中，计算所述合成行为图和所述公共行为图的相似度，若所述相似度大于预设相似度，则判定所述待检测软件为恶意软件，所述恶意软件检测模型通过如权利要求1-5中任一项所述的恶意软件检测模型训练方法确定。

7.根据权利要求6所述的恶意软件检测方法，其特征在于，获取待检测软件的合成行为图，包括：

对待检测软件进行反编译，得到待检测软件的反编译代码；

根据所述待检测软件的反编译代码生成控制流图；

根据所述控制流图得到所述待检测软件的基本行为图；

对待检测软件进行动态分析收集所述待检测软件的动态运行信息，将所述待检测软件的动态运行信息加入到所述基本行为图中，得到所述合成行为图。