[发明专利]基于机器学习的恶意文件检测方法及系统在审
| 申请号: | 202110231625.9 | 申请日: | 2021-03-02 |
| 公开(公告)号: | CN112966267A | 公开(公告)日: | 2021-06-15 |
| 发明(设计)人: | 王卓超;于金龙;王智民;王高杰 | 申请(专利权)人: | 北京六方云信息技术有限公司;北京六方云科技有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06N20/00 |
| 代理公司: | 北京润平知识产权代理有限公司 11283 | 代理人: | 肖冰滨;王晓晓 |
| 地址: | 100085 北京市海淀*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 机器 学习 恶意 文件 检测 方法 系统 | ||
1.一种基于机器学习的恶意文件检测方法,其特征在于,所述方法包括:
识别待测文件的文件类型;
提取所述待测文件的特征;
将所述待测文件的特征输入与所述待测文件的文件类型对应的训练好的分类器中分类计算,得到所述待测文件的分类结果。
2.根据权利要求1所述的基于机器学习的恶意文件检测方法,其特征在于,所述识别待测文件的文件类型,包括:
获取待测文件的文件头数据;
根据所述文件头数据识别所述待测文件的文件类型。
3.根据权利要求1所述的基于机器学习的恶意文件检测方法,其特征在于,所述特征包括:所述待测文件的熵序列的统计特征、所述待测文件中每个字符的字符占比以及所述待测文件中的“https”字段个数。
4.根据权利要求3所述的基于机器学习的恶意文件检测方法,其特征在于,所述提取所述待测文件的特征,包括:
将所述待测文件转换为二进制数据;
将所述二进制数据划分为预设长度的数据块;
计算每个所述数据块的信息熵,得到所述待测文件的熵序列;
计算所述熵序列的统计特征;
计算所述待测文件中每个字符的字符占比;
计算所述待测文件中的“https”字段个数。
5.根据权利要求4所述的基于机器学习的恶意文件检测方法,其特征在于,所述统计特征包括:平均值、方差、最大值以及最小值。
6.根据权利要求1所述的基于机器学习的恶意文件检测方法,其特征在于,所述训练好的分类器的训练过程包括:
收集一定数量的训练数据文件;
识别训练数据文件的文件类型;
根据所述文件类型对所述训练数据文件进行分类;
对于每一类训练数据文件:
分析确定该类训练数据文件中的恶意文件和非恶意文件,并进行标记;
提取标记好的该类训练数据文件的特征;
将该类训练数据文件的特征输入分类器进行训练,得到该类训练数据文件对应的训练好的分类器。
7.根据根据权利要求1所述的基于机器学习的恶意文件检测方法,其特征在于,所述分类器包括:GBDT分类器、随机森林分类器以及SVM分类器。
8.一种基于机器学习的恶意文件检测系统,其特征在于,所述系统包括:
文件类型识别单元,用于识别待测文件的文件类型;
特征提取单元,用于提取所述待测文件的特征;
以及文件分类单元,用于将所述待测文件的特征输入与所述待测文件的文件类型对应的训练好的分类器中分类计算,得到所述待测文件的分类结果。
9.根据权利要求8所述的基于机器学习的恶意文件检测系统,其特征在于,所述特征提取单元包括:
文件转换模块,用于将所述待测文件转换为二进制数据;
数据划分模块,用于将所述二进制数据划分为预设长度的数据块;
统计特征计算模块,用于计算每个所述数据块的信息熵,得到所述待测文件的熵序列,并计算所述熵序列的统计特征;
字符占比计算模块,用于计算所述待测文件中每个字符的字符占比;
“https”字段个数计算模块,用于计算所述待测文件中的“https”字段个数。
10.一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行本申请权利要求1-7中任一项所述的基于机器学习的恶意文件检测方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京六方云信息技术有限公司;北京六方云科技有限公司,未经北京六方云信息技术有限公司;北京六方云科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110231625.9/1.html,转载请声明来源钻瓜专利网。
