[发明专利]一种识别恶意文件类别的方法及计算设备

说明书

本发明公开了一种识别恶意文件类别的方法及用于执行该方法的计算设备。其中，该方法包括步骤：对待识别的恶意文件进行预处理，以生成预处理文件；采用预定方式提取出预处理文件的至少一个特征；对至少一个特征进行处理，生成第一数目个第一特征向量；以及将第一数目个第一特征向量输入到预设分类模型中，以识别出待识别的恶意文件的类别。

技术领域

本发明涉及计算机技术领域，尤其涉及一种识别恶意文件类别的方法及计算设备。

背景技术

恶意文件指在计算机系统上执行恶意任务的病毒、蠕虫、木马程序，以及可能导致计算机使用者信息外泄的广告程序、间谍程序、后门程序等。恶意文件通常通过网络进行传播，随着近些年网络的普及，恶意文件也愈发地泛滥，且新恶意文件的数量剧增，严重危害着网络安全。因此，通过识别恶意文件的类型来对恶意文件进行主动防御，甚至查杀恶意文件，就变得越来越重要。

现有的技术方案大都采用静态特征匹配技术来进行恶意文件的检测和分类。通过采集各种恶意文件样本并提取其特征码来建立特征库，在检测时通过比较待检测文件的特征码与特征库中特征码的一致性，来判断待检测文件是否属于该恶意文件样本所在的类别。但现有方案对于变异或新型恶意文件(例如目前广泛传播的变形病毒、多态病毒等)很难检测出来，且误判率高；另外，随着特征库的增大，其检测效率也会大大降低。

鉴于上述原因，亟需一种能够快速准确地识别恶意文件类别的方案。

发明内容

为此，本发明提供了一种识别恶意文件类别的方案，以力图解决或至少缓解上面存在的至少一个问题。

根据本发明的一个方面，提供了一种识别恶意文件类别的方法，该方法适于在计算设备中执行，包括步骤：对待识别的恶意文件进行预处理，以生成预处理文件；采用预定方式提取出预处理文件的至少一个特征；对至少一个特征进行处理，生成第一数目个第一特征向量；以及将第一数目个第一特征向量输入到预设分类模型中，以识别出待识别的恶意文件的类别。

可选地，在根据本发明的方法中，预设分类模型包括依次相连的第一处理模块、特征处理模块和第二处理模块，其中，第一处理模块包括第一数目个第一子处理模块，每个第一子处理模块包括一个全连接层，每个第一子处理模块适于对一个对应的第一特征向量进行处理以输出一个中间特征向量；特征处理模块适于将第一子处理模块输出的第一数目个中间特征向量与至少一个第一特征向量进行组合以到第二特征向量，并输入到第二处理模块；以及第二处理模块包括一个全连接层和分类处理层，适于基于输入的第二特征向量，识别出待识别的恶意文件的类别。

可选地，在根据本发明的方法中，还包括通过训练生成预设分类模型的步骤，包括：获取经过标注的恶意文件作为训练样本，训练样本具有相应的标注数据，且标注数据指示该训练样本的类别；生成各训练样本的第一数目个第一特征向量；将各训练样本的第一数目个第一特征向量输入预训练的分类模型中进行处理，以输出指示该训练样本类别的索引值；以及根据标注数据对预训练的分类模型进行模型训练，并在满足预定条件时训练结束，得到训练后的分类模型作为预设分类模型，其中，分类模型包括依次相连的第一处理模块、特征处理模块和第二处理模块。

可选地，在根据本发明的方法中，通过训练生成预设分类模型的步骤还包括：在第一处理模块和第二处理模块中，在各全连接层之后还包括优化处理层，适于以预定概率随机放弃该分类模型中的至少一个节点来训练模型。

可选地，在根据本发明的方法中，对待识别的恶意文件进行预处理、以生成预处理文件的步骤包括：对待识别的恶意文件进行文件脱壳处理，以得到第一预处理文件；以及对第一预处理文件进行反汇编处理，以得到第二预处理文件。

可选地，在根据本发明的方法中，采用预定方式提取出预处理文件的至少一个特征的步骤包括：采用预定方式来提取第一特征和/或第二特征和/或第三特征和/或第四特征和/或第五特征的步骤，并且还包括对所提取的特征进行归一化处理的步骤。