[发明专利]一种识别恶意文件类别的方法及计算设备

权利要求书

1.一种识别恶意文件类别的方法，所述方法适于在计算设备中执行，所述方法包括步骤：

对待识别的恶意文件进行预处理，以生成预处理文件；

采用预定方式提取出预处理文件的至少一个特征；

对所述至少一个特征进行处理，生成第一数目个第一特征向量；以及

将所述第一数目个第一特征向量输入到预设分类模型中，以识别出所述待识别的恶意文件的类别；

其中，所述预设分类模型采用神经网络结构，包括依次相连的第一处理模块、特征处理模块和第二处理模块，其中，所述第一处理模块包括第一数目个第一子处理模块，每个第一子处理模块包括一个全连接层，每个第一子处理模块适于对一个对应的第一特征向量进行处理以输出一个中间特征向量；所述特征处理模块适于将所述第一子处理模块输出的第一数目个中间特征向量与至少一个第一特征向量进行组合以到第二特征向量，并输入到第二处理模块；以及所述第二处理模块包括一个全连接层和分类处理层，适于基于输入的第二特征向量，识别出所述待识别的恶意文件的类别，其中，所述第一数目为4。

2.如权利要求1所述的方法，还包括通过训练生成预设分类模型的步骤，包括：

获取经过标注的恶意文件作为训练样本，所述训练样本具有相应的标注数据，所述标注数据指示该训练样本的类别；

生成各训练样本的第一数目个第一特征向量；

将所述各训练样本的第一数目个第一特征向量输入预训练的分类模型中进行处理，以输出指示该训练样本类别的索引值；以及

根据所述标注数据对所述预训练的分类模型进行模型训练，并在满足预定条件时训练结束，得到训练后的分类模型作为预设分类模型，

其中，分类模型包括依次相连的第一处理模块、特征处理模块和第二处理模块。

3.如权利要求2所述的方法，其中，所述通过训练生成预设分类模型的步骤还包括：

在所述第一处理模块和所述第二处理模块中，在各全连接层之后还包括优化处理层，适于以预定概率随机放弃所述分类模型中的至少一个节点来训练所述模型。

4.如权利要求1-3中任一项所述的方法，其中，所述对待识别的恶意文件进行预处理、以生成预处理文件的步骤包括：

对待识别的恶意文件进行文件脱壳处理，以得到第一预处理文件；以及

对所述第一预处理文件进行反汇编处理，以得到第二预处理文件。

5.如权利要求4所述的方法，其中，所述采用预定方式提取出预处理文件的至少一个特征的步骤包括：

获取所述第一预处理文件的文件大小；

计算所述第一预处理文件的文件熵；以及

结合所述文件大小和文件熵生成第一特征。

6.如权利要求4所述的方法，其中，所述采用预定方式提取出预处理文件的至少一个特征的步骤还包括：

提取所述第一预处理文件的文件头信息，作为第二特征。

7.如权利要求4所述的方法，其中，所述采用预定方式提取出预处理文件的至少一个特征的步骤还包括：

提取所述第一预处理文件调用的应用程序编程接口，作为第三特征。

8.如权利要求7所述的方法，其中，所述采用预定方式提取出预处理文件的至少一个特征的步骤还包括：

基于N-Gram模型提取出第一预处理文件的4-Gram特征，并计算各4-Gram特征的信息增益；以及

按照信息增益从大到小的顺序从所述4-Gram特征中选取至少一个4-Gram特征来组成第四特征。

9.如权利要求8所述的方法，其中，所述采用预定方式提取出预处理文件的至少一个特征的步骤还包括：

基于N-Gram模型提取出第二预处理文件的5-Gram特征，作为第五特征。