[发明专利]恶意代码的检测模型处理方法、检测方法和装置

权利要求书

1.一种恶意代码的检测模型处理方法，其特征在于，所述方法包括：

获取代码训练样本的样本行为记录集合，所述样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；

获取目标行为类型特征集，所述目标行为类型特征集包括用于训练检测模型的代码行为类型；

参考所述目标行为类型特征集，基于所述样本行为记录集合所记录样本代码行为的代码行为类型，确定属于所述目标行为类型特征集的样本行为类型；

基于属于所述目标行为类型特征集的样本行为类型，生成所述代码训练样本的样本行为特征组；

获取用于表征所述代码训练样本的恶意属性的样本标签，基于所述样本行为特征组和所述样本标签，训练所述检测模型。

2.根据权利要求1所述的方法，其特征在于，所述获取代码训练样本的样本行为记录集合，包括：

在封闭的行为感知环境下运行所述代码训练样本，所述行为感知环境被配置为对所述代码训练样本运行后产生的样本代码行为进行记录；

基于所述行为感知环境所记录的所述样本代码行为，构成所述代码训练样本的样本行为记录集合。

3.根据权利要求1所述的方法，其特征在于，所述目标行为类型特征集是通过目标行为类型特征集构建步骤获得的，所述目标行为类型特征集构建步骤包括：

获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；

确定所述多个代码样本中恶意代码样本和非恶意代码样本各自的出现概率，根据各自的出现概率，计算代码样本的信息熵；

确定所述初始行为类型特征集中每个代码行为类型的条件熵；

根据所述信息熵和所述每个代码行为类型的条件熵，确定所述每个代码行为类型的信息增益值；信息增益值用于指示相应的代码行为类型对恶意代码检测的贡献程度；

从所述初始行为类型特征集中，选取按信息增益值降序排序时前预设数量个信息增益值对应的代码行为类型，构建所述目标行为类型特征集。

4.根据权利要求3所述的方法，其特征在于，所述确定所述初始行为类型特征集中每个代码行为类型的条件熵，包括：

针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为，获取所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合的第一数量、及未记录所述目标代码行为的样本行为记录集合的第二数量；

在所述多个样本行为记录集合中记录有所述目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第三数量和非恶意代码样本的第四数量；

在所述多个样本行为记录集合中未记录所述目标代码行为的样本行为记录集合所对应的代码样本中，确定恶意代码样本的第五数量和非恶意代码样本的第六数量；

根据所述第一数量、第二数量、第三数量、第四数量、第五数量和所述第六数量，计算所述任一代码行为类型的条件熵。

5.根据权利要求1所述的方法，其特征在于，所述目标行为类型特征集是通过目标行为类型特征集构建步骤获得的，所述目标行为类型特征集的构建步骤包括：

获取初始行为类型特征集和多个代码样本相应的多个样本行为记录集合；

针对所述初始行为类型特征集中每个代码行为类型对应的目标代码行为，参考所述多个样本行为记录集合中各自记录的样本代码行为，在所述多个代码样本中，确定样本行为记录集合中记录有所述目标代码行为的代码样本，并作为目标代码样本；

计算所述目标代码样本中的非恶意代码样本在所述多个代码样本中非恶意代码样本中的第一占比；

计算所述目标代码样本中的恶意代码样本在所述多个代码样本中恶意代码样本中的第二占比；

根据所述第一占比和所述第二占比，获取每个代码行为类型对恶意代码检测的贡献程度；

根据每一代码行为类型对恶意代码检测的贡献程度，对所述初始行为类型特征集进行筛选，获得所述目标行为类型特征集。