[发明专利]恶意文件识别方法、装置、计算机设备以及存储介质

权利要求书

1.一种恶意文件识别方法，其特征在于，所述方法包括：

获取待识别文件；

利用预先训练的第一识别模型对待识别文件进行识别，得到所述第一识别模型输出的第一识别结果，所述第一识别模型预先根据多种不同恶意文件类型的恶意文件样本训练得到；

若第一识别结果为表征所述待识别文件为恶意文件的结果，通过预先训练的第二识别模型对所述待识别文件进行识别，得到所述第二识别模型输出的第二识别结果，所述第二识别模型预先根据目标恶意文件类型中的多种不同子类型的恶意文件样本训练得到，所述第二识别结果用于表征所述待识别文件是否为任一所述子类型的恶意文件。

2.根据权利要求1所述的方法，其特征在于，所述第一识别模型包括不同种类的多个识别子模型，所述利用预先训练的第一识别模型对待识别文件进行识别，得到所述第一识别模型输出的第一识别结果，包括：

获取所述待识别文件对应的特征向量；

将所述特征向量输入至所述多个识别子模型中的每个识别子模型，得到所述每个识别子模型针对所述待识别文件输出的参考标签，所述参考标签用于表征所述待识别文件是否为恶意文件；

基于所述每个识别子模型针对所述待识别文件输出的参考标签，确定所述第一识别结果。

3.根据权利要求2所述的方法，其特征在于，所述获取所述待识别文件对应的特征向量，包括：

获取所述待识别文件对应的通用特征以及高层次特征，其中，所述通用特征针对所述待识别文件的基本属性信息提取的特征，所述高层次特征为针对所述待识别文件的基本属性信息进行深层特征提取的特征；

基于所述通用特征以及所述高层次特征，确定所述特征向量。

4.根据权利要求2所述的方法，其特征在于，所述若第一识别结果为表征所述待识别文件为恶意文件的结果，通过预先训练的第二识别模型对所述待识别文件进行识别，得到所述第二识别模型输出的第二识别结果，包括：

若所述第一识别结果为表征所述待识别文件为恶意文件的结果，则将所述待识别文件对应的特征向量输入至预先训练的所述第二识别模型，得到所述第二识别模型输出的第二识别结果。

5.根据权利要求1所述的方法，其特征在于，所述第一识别模型通过以下方式训练得到：

获取第一样本集合，所述第一样本集合包括多个恶意文件样本以及多个安全文件样本，其中，每个所述恶意文件样本被标注有第一标签，每个所述安全文件样本被标注有第二标签，所述多个恶意文件样本中包括多种恶意文件类型的文件，所述第一标签用于表征所述恶意文件样本为恶意文件，所述第二标签用于表征所述安全文件样本不为恶意文件；

基于所述第一样本集合对第一初始模型进行训练，得到所述第一识别模型。

6.根据权利要求5所述的方法，其特征在于，所述基于所述第一样本集合对第一初始模型进行训练，得到所述第一识别模型，包括：

基于第一初始模型，获取所述第一样本集合中每个文件样本对应的第三标签；

基于所述每个文件样本对应的第三标签，以及所述每个文件样本被标注的标签，确定第一损失值；

基于所述第一损失值，对所述第一初始模型进行迭代训练，得到所述第一识别模型。

7.根据权利要求1所述的方法，其特征在于，所述第二识别模型通过以下方式训练得到：

获取第二样本集合，所述第二样本集合包括多个第一文件样本以及多个第二文件样本，其中，所述多个第一文件样本中包括目标恶意文件类型中的多种不同子类型的恶意文件，每个所述第一文件样本被标注有第四标签，每个所述第二文件样本被标注有第五标签，所述第四标签用于表征所述第一文件样本在所述目标恶意文件类型中所属的子类型，所述第五标签用于表征所述第二文件样本不为目标恶意文件类型的恶意文件；

基于所述第二样本集合对第二初始模型进行训练，得到所述第二识别模型。