[发明专利]恶意代码的检测模型处理方法、检测方法和装置

说明书

本申请涉及一种恶意代码的检测模型处理方法、检测方法和装置。该方法包括：参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，生成代码训练样本的样本行为特征组；基于样本行为特征组和样本标签，训练检测模型。由于通常只有恶意代码在执行过程中才会产生攻击性质的恶意代码行为，也即代码行为是否恶意可以直接反映产生代码行为的代码是否为恶意，从而基于代码行为通过检测模型进行检测，不会像代码的文件特征那样被绕过，从而可以提高检测模型的训练效果，进而提高后续恶意代码的检测准确率。另外，检测模型的迭代训练过程和检测数据作为增量存储至样本数据库均是自动化部署的，从而提升了效率，节省了人力成本。

技术领域

本申请涉及计算机安全技术领域，特别是涉及一种恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着计算机技术的快速发展，计算机技术已经渗透到生活中的各方各面。随之而来的，计算机安全也成为了重要问题。其中，计算机设备上运行的恶意代码已经给计算机安全造成极大挑战。由此，需要对计算机设备上运行的恶意代码进行检测。

在相关技术中，主要是通过文件特征检测实现恶意代码检测。进行文件特征检测时，是确定待测代码文件的结构特征，从而检测该结构特征是否存在于预先建立的恶意代码特征库中，若是，则确定待侧代码文件记载有恶意代码。然而，通过文件特征检测进行恶意代码检查，容易发生漏检，检测恶意代码的准确性较低。

发明内容

基于此，有必要针对上述技术问题，提供一种检测恶意代码准确性高的恶意代码的检测模型处理方法、检测方法、装置、计算机设备、存储介质和计算机程序产品。

一方面，本申请提供了一种恶意代码的检测模型处理方法，该方法包括：

获取代码训练样本的样本行为记录集合，样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；

获取目标行为类型特征集，目标行为类型特征集包括用于训练检测模型的代码行为类型；

参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，确定属于目标行为类型特征集的样本行为类型；

基于属于目标行为类型特征集的样本行为类型，生成代码训练样本的样本行为特征组；

获取用于表征代码训练样本的恶意属性的样本标签，基于样本行为特征组和样本标签，训练检测模型。

在其中一个实施例中，更新终止条件包括经过代码行为类型的更新处理后的行为类型特征集种群中存在检测效果评价值大于预设阈值的行为类型特征集。

在其中一个实施例中，更新处理包括：不同代码行为类型之间的聚合、删减代码行为类型、增加代码行为类型、拆解代码行为类型或者变更代码行为类型中至少一种。

在其中一个实施例中，样本行为特征组具有与目标行为类型特征集中的代码行为类型一一对应的特征位；样本行为特征组中，与属于目标行为类型特征集的样本行为类型对应的特征位为第一值，样本行为特征组中除去值为第一值特征位剩余的特征位为第二值。

另一方面，本申请还提供了一种恶意代码的检测模型处理装置，该装置包括：

第一获取模块，用于获取代码训练样本的样本行为记录集合，样本行为记录集合记录有相应的代码训练样本在运行后产生的样本代码行为；

第二获取模块，用于获取目标行为类型特征集，目标行为类型特征集包括用于训练检测模型的代码行为类型；

确定模块，用于参考目标行为类型特征集，基于样本行为记录集合所记录样本代码行为的代码行为类型，确定属于目标行为类型特征集的样本行为类型；