[发明专利]一种恶意软件检测模型训练、恶意软件检测方法及装置

说明书

本发明提供一种恶意软件检测模型训练、恶意软件检测方法及装置，恶意软件检测模型训练方法包括：获取多个恶意软件；确定各恶意软件对应的训练合成行为图；对训练合成行为图添加第一标签；根据训练合成行为图获取一个或多个训练公共行为图，各训练公共行为图分别对应一个恶意软件家族，对训练公共行为图添加第二标签；将训练合成行为图和训练公共行为图输入到图匹配模型中得到第一相似系数；若第一相似系数和第二相似系数的差值小于预设相似系数，将当前的图匹配模型确定为恶意软件检测模型。本发明通过提取训练公共行为图缩小了在检测恶意软件时的检测范围，提高了恶意软件检测模型的检测速度，以及检测结果的准确性。

技术领域

本发明属于安全监测技术领域，具体涉及到一种恶意软件检测模型训练、恶意软件检测方法及装置。

背景技术

随着移动互联网的不断发展，在电力行业，电力移动终端的数量不断增长，但同时，恶意软件的快速增长给电力移动终端用户带来了巨大的危害,包括资费消耗、隐私窃取以及远程控制等，而电力行业等关键领域的工业控制系统作为关乎国计民生的重要基础设施，一直以来都是网络安全攻击的重点，极易成为网络战的首要目标，因此需要一种快速高效的恶意软件检测方法来对电力移动互联终端进行安全防护。

目前恶意软件检测技术可以分为静态分析技术，动态分析技术以及基于机器学习的分析技术三类。

静态分析方法是对整个App的代码和资源进行分析，能达到很高的代码覆盖率，但是，由于并不真正执行应用程序，该方法无法得到软件的真实执行路径和执行上下文，且无法避免代码混淆以及动态代码的加载带来的干扰。

动态分析是根据App运行时的行为来分析其恶意行为，通常App在Android的虚拟机或者一台真实的物理机上运行，动态分析技术能够避免代码混淆以及动态代码的加载带来的干扰，但是该方法存在代码覆盖率不高、分析时间长、效率低的问题。

基于机器学习的恶意软件检测方法的基本原理是通过程序分析等技术提取不同的特征描述待分析样本的不同行为，然后每一个特征样本均用一个固定维度向量表示，最后借助于现有的机器学习算法对已知特征样本进行训练并构建分类器，从而能够对未知样本进行预测判断，但是，现有的特征提取大多直接分析软件本身，导致基于字符串形式存在的特征容易被现有的混淆技术所篡改,从而绕过恶意软件检测，因此，通过传统的机器学习算法无法实现对恶意软件的准确检测。

发明内容

因此，针对现有技术中的问题，本发明提供一种恶意软件检测模型训练、恶意软件检测方法及装置，用以解决现有技术中存在的问题。

第一方面，本发明提供一种恶意软件检测模型训练方法，包括：获取软件样本库，软件样本库中包括多个恶意软件；对软件样本库中的恶意软件进行分析，得到各恶意软件对应的训练合成行为图；对训练合成行为图添加第一标签；根据训练合成行为图获取一个或多个训练公共行为图，各训练公共行为图分别对应一个恶意软件家族，对训练公共行为图添加第二标签；将训练合成行为图和训练公共行为图输入到图匹配模型中，得到训练合成行为图与训练公共行为图的第一相似系数；确定第一标签与第二标签的第二相似系数，对第一相似系数和第二相似系数作差，若第一相似系数和第二相似系数的差值小于预设相似系数，则将当前的图匹配模型确定为恶意软件检测模型。

可选的，在本发明提供的恶意软件检测模型训练方法中，对软件样本库中的恶意软件进行分析，得到各恶意软件对应的训练合成行为图，包括：对软件样本库中的恶意软件进行反编译，得到反编译代码和清单配置文件；根据反编译代码生成训练基本行为图；根据反编译代码和清单配置文件生成测试脚本，利用测试脚本对恶意软件进行动态测试，得到动态运行信息；通过动态运行信息和训练基本行为图生成训练合成行为图。