[发明专利]一种恶意软件组织识别方法及设备

权利要求书

1.一种恶意软件组织识别方法，其特征在于，包括：

获取待识别的当前恶意软件样本；

对当前恶意软件样本进行预处理，提取当前恶意软件样本的属性信息和特征表示向量，并存储到样本特征数据集中；

根据当前恶意软件样本的特征表示向量，使用预先训练好的恶意软件组织识别模型进行识别，获得当前恶意软件样本的组织识别结果；

根据所述样本特征数据集中的各个恶意软件样本的属性信息，将所述样本特征数据集中的各个恶意软件样本划分为新样本数据集和旧样本数据集；

根据所述新样本数据集和所述旧样本数据集，检测当前恶意软件样本是否发生概念偏移；

当检测到发生概念偏移时，将当前恶意软件样本的组织识别结果更新到所述样本特征数据集中，以采用更新后样本特征数据集重新训练所述恶意软件组织识别模型；

所述对当前恶意软件样本进行预处理，提取当前恶意软件样本的属性信息和特征表示向量，包括：

获取当前恶意软件样本的唯一标识信息以及首次提交日期，作为当前恶意软件样本的属性信息；其中，通过将待识别的当前恶意软件样本提交至可疑文件分析服务网站，得到的当前恶意软件样本首次提交日期；

对当前恶意软件样本进行反汇编和反编译，生成当前恶意软件样本C++规范的源代码；

将所述源代码按照预设的文本符号替换表进行替换，生成替换后的伪码文本；

对替换后的伪码文本进行分词处理，得到当前恶意软件样本的特征表示向量；

所述根据所述新样本数据集和所述旧样本数据集，检测当前恶意软件样本是否发生概念偏移，包括：

统计所述新样本数据集和所述旧样本数据集中属于拒绝对恶意样本进行组织分类情况的拒绝概率；

当所述拒绝概率超出预设的拒绝概率阈值时，确定当前恶意软件样本发生概念偏移；

当所述拒绝概率未超出预设的拒绝概率阈值时，确定当前恶意软件样本未发生概念偏移；

所述根据所述样本特征数据集中的各个恶意软件样本的属性信息，将所述样本特征数据集中的各个恶意软件样本划分为新样本数据集和旧样本数据集，包括：

检查所述样本特征数据集中的各个恶意软件样本的首次提交日期是否晚于所述恶意软件组织识别模型的上一次训练日期；

若是，则将所述样本特征数据中相应恶意软件样本划分到新样本数据集；

若否，则将所述样本特征数据中相应恶意软件样本划分到旧样本数据集。

2.如权利要求1所述的恶意软件组织识别方法，其特征在于，所述根据所述新样本数据集和所述旧样本数据集，检测当前恶意软件样本是否发生概念偏移，包括：

对所述新样本数据集和所述旧样本数据集进行曼-惠特尼U检验，得到校验值；

当所述校验值大于等于预设的临界值时，确定当前恶意软件样本未发生概念偏移；

当所述校验值小于预设的临界值时，确定当前恶意软件样本发生概念偏移。

3.如权利要求1所述的恶意软件组织识别方法，其特征在于，所述根据当前恶意软件样本的特征表示向量，使用预先训练好的恶意软件组织识别模型进行识别，获得当前恶意软件样本的组织识别结果，包括：

将当前恶意软件样本的特征表示向量输入到所述恶意软件组织识别模型进行识别，得到当前恶意软件样本的组织识别结果；

将当前恶意软件样本的特征表示向量输入到预先构建的各个组织的子学习器中，获得当前恶意软件样本被各个组织的子学习器接受的概率；

根据各个组织的子学习器的接受样本概率阈值以及当前恶意软件样本被各个组织的子学习器接受的概率，判断各个组织的子学习器是否接受当前恶意软件样本属于相应组织；

当存在一个组织的子学习器接受当前恶意软件样本属于相应组织时，确定将当前恶意软件样本分类到相应组织识别结果对应的组织中；

当不存在任何一个或者存在至少两个组织的子学习器接受当前恶意软件样本属于相应组织时，拒绝对当前恶意软件样本进行组织分类。