[发明专利]训练用于检测恶意容器的机器学习模型的系统和方法

权利要求书

1.一种用于对检测恶意容器文件的机器学习模型进行训练的计算机实现的方法，包括：

从恶意容器文件选择多个对象，其中，容器文件为包含至少两个或更多个对象的文件，所述至少两个或更多个对象构成所述容器文件的逻辑上独立的数据区域；

确定用于从所述恶意容器文件选择的每个对象的至少一个参数，其中，所述至少一个参数表征各自的所述对象与在所述容器文件中的至少一个其它对象的函数关系；

基于确定的所述至少一个参数生成与所述恶意容器文件相关联的第一卷积，其中，所述第一卷积包括多维矢量，其中，所述多维矢量的每个元素对应于在确定的所述参数之中的所述每个元素自身的唯一参数，同时所述元素的值对应于确定了所述参数的对象的数量；

基于从安全容器文件所选的对象的确定的参数生成与所述安全容器文件相关联的第二卷积；以及

基于与所述恶意容器文件相关联的所述第一卷积和与所述安全容器文件相关联的所述第二卷积来修改机器学习模型，其中，所述机器学习模型被配置成计算被分析的容器文件的危害程度。

2.如权利要求1所述的方法，还包括：

将所述机器学习模型应用于目标容器文件以计算所述目标容器文件的危害程度，其中，计算的所述目标容器文件的所述危害程度是表征被分析的所述目标容器文件为恶意的概率的数值。

3.如权利要求2所述的方法，还包括：

响应于确定了计算的所述危害程度在预定阈值范围内，再训练所述机器学习模型，使得利用再训练的所述机器学习模型计算的所述危害程度高于利用原始的所述机器学习模型计算的所述危害程度。

4.如权利要求2所述的方法，还包括：

基于计算的所述危害程度来调度防病毒应用程序以执行所述目标容器文件的防病毒扫描。

5.如权利要求1所述的方法，其中，所述恶意容器文件为PDF文档、软件发行版和包含由存档器软件打包的多个文件的文件存档中的一者。

6.如权利要求1所述的方法，其中，从所述容器文件选择的所述对象为可执行文件、脚本、媒体数据、和另一容器文件中的至少一者。

7.如权利要求1所述的方法，其中，至少一个所选对象的确定的所述参数包括以下项中的至少一者：所述所选对象的类型、所述所选对象的大小、和所述所选对象在所述容器文件中包含的全部对象之中的索引。

8.如权利要求1所述的方法，其中，使用第二机器学习模型执行所述确定用于从所述恶意容器文件选择的每个对象的至少一个参数，其中，所述第二机器学习模型包括用于确定所述对象的所述参数的规则集合，使得每个确定的参数提高将目标容器文件分类为恶意的概率。

9.一种用于对检测恶意容器文件的机器学习模型进行训练的系统，所述系统包括：

存储设备，所述存储设备被配置成存储容器文件组；

硬件处理器，所述硬件处理器被配置成：

从恶意容器文件选择多个对象，其中，容器文件为包含至少两个或更多个对象的文件，所述至少两个或更多个对象构成所述容器文件的逻辑上独立的数据区域；

确定用于从所述恶意容器文件选择的每个对象的至少一个参数，其中，所述至少一个参数表征各自的所述对象与在所述容器文件中的至少一个其它对象的函数关系；

基于确定的所述至少一个参数生成与所述恶意容器文件相关联的第一卷积，其中，所述第一卷积包括多维矢量，其中，所述多维矢量的每个元素对应于在确定的所述参数之中的所述每个元素自身的唯一参数，同时所述元素的值对应于确定了所述参数的对象的数量；

基于从安全容器文件所选的对象的确定的参数生成与所述安全容器文件相关联的第二卷积；以及

基于与所述恶意容器文件相关联的所述第一卷积和与所述安全容器文件相关联的所述第二卷积来修改机器学习模型，其中，所述机器学习模型被配置成计算被分析的容器文件的危害程度。