CN111382428B 恶意软件识别模型训练方法、恶意软件识别方法及装置 （北京奇虎科技有限公司）

本发明公开了一种恶意软件识别模型训练的方法主要包括：获取具有安全性标识的PE文根据所述PE文件中API的调用类型计算所述PE文2根据所述PE文件中API的调用类型计算所述PE基于所述PE文件的转移概率矩阵和安全性标识进行模型训练，获得恶意软件识别模根据所述PE文件中API的调用类型计算所述PE文件的转移基于反编译工具获取所述PE文件中每个函数对应统计所述PE文件的所有控制流图涉及的调用类型的种类数和任意两种调用类型在基根据预先建立的包含API名称和调用类型映射关系的API类型字典，查找获取的API名若所述提取的PE文件进行了加壳处理，则将所述提取的PE文件直接根据所述PE文件的转移概率矩阵和对应的安全性标识进行模型训或者，将所述PE文件的转移概率矩阵转换为一维的特征根据所述待识别PE文件中API的调用类型计算所述待识别PE利用所述待识别PE文件的转移概率矩阵和3识别文件所对应的软件是否为恶意软件，所述恶意软件识别模型是根据1-6中任一项所述直接将所述待识别PE文件的转移概率矩阵输入到所述恶意软件识别模型中进行恶意或者，将所述待识别PE文件的转移概率矩阵转换为获取单元，用于获取具有安全性标识的PE文件，所述安全性训练单元，用于基于所述PE文件的转移概率矩阵和安第二获取模块，用于通过解析所述PE文件中的代码，获统计模块，用于统计所述PE文件的所有控制流图涉及的调用判断模块，用于根据提取的PE文件的静态转储模块，用于当所述提取的PE文件进行了加壳处理时，将所述提取的PE4计算单元，用于根据所述待识别PE文件中API的调用类型计算所述待识别PE文件的转识别单元，用于利用所述待识别PE文件的转移概率矩阵和预先建利要求1-6中任一项所述的恶意软件识别模型训练方一维的特征向量，并将转换得到的特征向量输入到所述恶意软件识别模型中进行恶意识理器加载并执行如权利要求1-6中任一项所述的恶意软件识别模型训练方法，或者加载并执行如权利要求7-8中任一项所述的恶意软件所述指令适于由所述处理器加载并执行如权利要求1-6中任一项所述的恶意软件识别5人工分析筛选特征并实施检测的效率难以满足规模化检测需求，因此基于PE(Portable装置，其目的在于解决现有的恶意软件识别模型需要随着软件变化而不断重新训练的问[0013]统计所述PE文件的所有控制流图涉及的调用类型的种类数和任意两种调用类型[0016]根据预先建立的包含API名称和调用类型映射关系的API类型字典，查找获取的6[0023]若所述提取的PE文件进行了加壳处理，则将所述提取的PE文件放置到沙箱中运[0030]根据所述待识别PE文件中API的调用类型计算所述待识别PE文件的转移概率矩[0032]可选的，利用所述待识别PE文件的转移概率矩阵和预先建立的恶意软件识别模[0033]直接将所述待识别PE文件的转移概率矩阵输入到所述恶意软件识别模型中进行[0037]计算单元，用于根据所述PE文件中API的调用类型计算所述PE文件的转移概率矩7[0040]第一获取模块，用于基于反编译工具获取所述PE文件中每个函数对应的控制流[0057]计算单元，用于根据所述待识别PE文件中API的调用类型计算所述待识别PE文件8[0064]所述指令适于由所述处理器加载并执行如第一方面所述的恶意软件识别模型训该PE文件的转移概率矩阵，最后基于PE文件的转移概率矩阵和安全性标识进行模型训练，码作者也很难通过简单的代码混淆和变形手段绕过[0066]上述说明仅是本发明技术方案的概述，为了能够更清楚9[0078]由于API转移概率矩阵能够捕捉不同功能的系统调用之间的依赖关系，具有较高[0084]反编译工具是指IDAPro(InteractiveDisassemblerProfessional，交互式反汇编器专业版)或R2等通过静态分析可以对PE文件代码段进行逆向分析的工具，PE文件经[0085](2)通过解析所述PE文件中的代码，获取每个控制流图的基本块所包含的API名[0088](3)统计所述PE文件的所有控制流图涉及的调用类型的种类数和任意两种调用类表示第i种调用类型与第j种调用种类型在基本块中先后排列且相邻出现的次数与所述第i[0096]针对加壳PE文件进行内存转储，需要在可控封闭环境(如VMWare或VirtualBox等虚拟机环境)中执行加壳PE文件，在启动加壳PE文件一段时间或检测到加壳PE文件触发网用类型相邻的次数，计算所述转移概率矩阵。更具体的实现方法可参见上述步骤102的详待识别PE文件中API的调用类型计算该待识别PE文件的转移概率矩阵，再利用该待识别PE文件的转移概率矩阵和预先基于大量已知良恶的PE文件的转移概率矩阵建立得到的恶意者也很难通过简单的代码混淆和变形手段绕过恶意所述待识别PE文件所对应的软件是否为恶[0110]计算单元32，用于根据所述PE文件中API的调用类型计算所述PE文件的转移概率[0111]训练单元33，用于基于所述PE文件的转移概率矩阵和安[0113]第一获取模块321，用于基于反编译工具获取所述PE文件中每个函数对应的控制[0116]统计模块324，用于统计所述PE文件的所有控制流图涉及的调用类型的种类数和[0131]计算单元42，用于根据所述待识别PE文件中API的调用类型计算所述待识别PE文待识别PE文件中API的调用类型计算该待识别PE文件的转移概率矩阵，再利用该待识别PE文件的转移概率矩阵和预先基于大量已知良恶的PE文件的转移概率矩阵建立得到的恶意者也很难通过简单的代码混淆和变形手段绕过恶意[0136]存储介质可能包括计算机可读介质中的非永久性存储介质，随机存取存储介质[0140]所述指令适于由所述处理器加载并执行如上所述的恶意[0147]根据所述待识别PE文件中API的调用类型计算所述待识别PE文件的转移概率矩[0157]统计所述PE文件的所有控制流图涉及的调用类型的种类数和任意两种调用类型[0160]根据预先建立的包含API名称和调用类型映射关系的API类型字典，查找获取的[0167]若所述提取的PE文件进行了加壳处理，则将所述提取的PE文件放置到沙箱中运[0174]根据所述待识别PE文件中API的调用类型计算所述待识别PE文件的转移概率矩述待识别文件所对应的软件是否为恶意软件，所述恶意软件识别模型是根据1-7中任一项[0177]直接将所述待识别PE文件的转移概率矩阵输入到所述恶意软件识别模型中进行[0181]计算单元，用于根据所述PE文件中API的调用类型计算所述PE文件的转移概率矩[0184]第一获取模块，用于基于反编译工具获取所述PE文件中每个函数对应的控制流[0201]计算单元，用于根据所述待识别PE文件中API的调用类型计算所述待识别PE文件据A1-A7中任一项所述的恶意软件识别模型[0208]所述指令适于由所述处理器加载并执行如A1-A7中任一项所述的恶意软件识别模[0212]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意软件识别模型训练方实现为用于执行这里所描述的方法的一部分或者全部的设备或