[发明专利]训练用于检测恶意容器的机器学习模型的系统和方法

说明书

本发明涉及训练用于检测恶意容器的机器学习模型的系统和方法，特别公开了用于训练和再训练用于检测来自容器文件的恶意活动的模型的系统和方法，所述容器文件包含构成逻辑上独立的数据区域的至少两个或更多个对象。确定从至少一个安全容器和至少一个恶意容器选择的每个对象的参数，所述参数唯一地表征所述对象与至少一个所选对象的函数关系。基于确定的对象的参数而分别针对每个容器形成卷积，所述卷积用于训练用于检测恶意容器文件的机器学习模型。

技术领域

本发明涉及防病毒技术，更具体地涉及训练和教导用于检测恶意容器的机器学习模型的系统和方法。

背景技术

计算机技术在近十年的快速发展以及各种计算设备(个人计算机、笔记本、平板电脑、智能手机等)的广泛使用已成为这些设备在各个活动领域中的使用以及解决大量问题(从因特网冲浪到银行转账和电子文档)的强大动力。随着计算设备和在这些设备上运行的软件的数量的增长，恶意程序的数量也以快节奏增长。

目前，存在大量的恶意程序。一些恶意程序从所述用户的设备窃取关于用户的个人和机密信息(诸如登录名和密码、银行信息、电子文档)。另一些恶意程序将用户的设备变为所谓的僵尸网络进行攻击(诸如分布式拒绝服务(Distributed Denial of Service，DDoS)攻击)，或在其它计算机或计算机网络上通过暴力破解方法整理密码。其它的另一些恶意程序通过侵入式广告、付费订阅、将SMS发送到长途号码等等将付费内容推荐给用户。

使用专业程序或防病毒应用处理恶意程序，包括检测恶意程序、防止感染、和恢复感染有恶意程序的计算机系统。防病毒程序采用各种各样的技术检测一系列的恶意程序，诸如静态分析和动态分析。静态分析指的是基于在组成被分析程序的文件中包含的数据对程序进行危害分析，排除被分析程序的工作的发起或仿真，在此期间，静态分析可以采用(i)签名分析，即，搜索被分析程序的特定代码区段与来自恶意程序的签名的数据库的已知代码(签名)的对应关系；以及(ii)白名单和黑名单，即，在恶意程序(黑名单)的校验和的数据库或安全程序(白名单)的校验和的数据库中搜索来自被分析程序(或其部分)的计算的校验和。动态分析指的是基于在被分析程序的工作的执行或仿真的过程中获得的数据对程序进行危害性分析，在此期间，动态分析可以采用(i)启发式分析，即，被分析程序的工作的仿真、创建仿真日志(包含关于API函数调用的数据、传输的参数、被分析程序的代码区段等)、以及搜索来自如此创建的日志的数据与来自恶意程序的仿真签名的数据库的数据的对应关系；以及(ii)主动防御，即，拦截发起的被分析程序的API函数调用、创建关于被分析程序的工作的日志(包含关于API函数调用的数据、传输的参数、被分析程序的代码区段等)、以及搜索来自如此创建的日志的数据与来自恶意程序的调用的数据库的数据的对应关系。

静态分析和动态分析均具有其优势和劣势。静态分析对其上进行分析的计算机系统的资源的需求较小，以及由于它不需要被分析程序的执行或仿真，因此静态分析较快速，但效率较低，即，它具有恶意程序的检测的较低百分比和假警报的较高百分比(即，将由防病毒程序资源分析的文件判断为有害的，而被分析文件为安全的)。由于动态分析使用在被分析程序的工作的执行或仿真期间获得的数据，因此动态分析较慢且对其上进行分析的计算机系统的资源的需求较大，但是它也更为有效。现今的防病毒程序采用复杂的分析，包括静态分析和动态分析二者的要素。

防病毒扫描的主要问题迄今为止保留分布计算资源的任务以在被分析程序之间执行前述扫描。给定大量的被分析程序和受限的计算资源，如下至少是可能的：(i)被分析程序的防病毒扫描的质量的总体降低(例如，单独使用静态分析，排除动态分析)；(ii)任意排除被分析程序的一部分的防病毒扫描，在这些程序中可能有恶意程序(例如，等待防病毒扫描的程序的队列总计为N，而计算资源仅足以执行MN个程序的防病毒扫描，从而最后N-M个程序将排除防病毒扫描)；(iii)如果针对被分析程序保持防病毒扫描的平均质量，则用于扫描安全程序的质量高和用于扫描恶意程序的质量低(例如，通过静态分析和动态分析来分析安全程序，仅通过静态分析来分析恶意程序)等等，这又导致第一种和第二种错误。