[发明专利]一种恶意代码的检测方法、装置及计算机可读存储介质

权利要求书

1.一种恶意代码的检测方法，用于检测二进制恶意代码的所属类别，其特征在于，包括：

获取待检测恶意代码文件的运行信息，所述运行信息包括所述待检测恶意代码文件的API调用信息、或API调用信息和DLL调用信息；

将所获取的所述运行信息输入预先利用异构网络的特征训练的恶意代码检测模型，所述恶意代码检测模型输出所述待检测恶意代码文件所述的类别；

其中，所述恶意代码检测模型包括词向量模型和分类模型，通过如下步骤训练所述恶意代码检测模型：

S1，获取预定数量的恶意代码文件样本作为训练集；

S2，提取所述恶意代码文件样本的运行信息，所述恶意代码文件样本的运行信息包括所述待检测恶意代码文件的API调用信息、或API调用信息和DLL调用信息；

S3，根据提取的所述运行消息构建异构网络，所述异构网络的节点包括所述恶意代码文件样本的文件名和API、或所述多个待检测恶意代码文件的文件名、API和DLL；

S4，根据预定的多个不同的异构网络范式，获得所述异构网络针对每一异构网络范式的关系邻接矩阵，并根据每一关系邻接矩阵，获得所述恶意代码文件样本中每一样本针对每一异构网络范式在所述异构网络中的随机游走向量，所述随机游走向量示出选定节点与其周围节点之间的关联关系，其中，所述异构网络范式定义了节点之间的关系；

S5，利用所述文件样本针对每一异构网络范式获得的随机游走信息来构建及训练与每一异构网络范式对应的词向量模型和分类模型，所述词向量模型的输入为对应的随机游走向量，所述词向量模型的输出为经过处理后的随机游走特征向量，所述分类模型的输入为随机游走特征向量，所述分类模型的输出为对应词向量模型的分类结果；

S6，对所获得的与多个分类模型对应的多个分类结果进行主角度加权，来确定所述待检测恶意代码文件所属的类别。

2.根据权利要求1所述的方法，其特征在于，所述恶意代码文件样本为可执行文件，所述步骤S2中，通过沙箱解析所述可执行文件来获取所述运行信息。

3.根据权利要求2所述的方法，其特征在于，

所述恶意代码文件样本的运行信息还包括如下信息中的一个或多个：文件的共现概率、网络调用信息；

所述异构网络还指示了所述恶意代码文件样本之间的如下关联信息中的一个或多个：共现关联信息和网络关联信息；

所述异构网络的节点还包括如下中的一个或多个：所述多个恶意代码文件样本出现的文件夹、出现的压缩包、访问的网站、产生的网络请求。

4.根据权利要求3所述的方法，其特征在于，所述不同的异构网络范式包括如下范式MID1到MID4中的一个或多个：

如图5所示

其中，F表示待检测的恶意代码文件；A表示API；D表示DLL；I表示API关联的包含关系；B表示DLL关联的属于关系。

5.根据权利要求4所述的方法，其特征在于，所述异构网络范式MID3对应的关系邻接矩阵为i*j阶，其中i表示恶意代码文件样本的总数量，j表示所有API的总数量；该i*j阶矩阵中的每一个元素的值指示了列对应的API在行对应的恶意代码文件样本中出现的次数；

其中，针对所述MID3获得恶意代码文件样本的随机游走信息包括：

S7，所述恶意代码文件样本在所述关系邻接矩阵中按照行游走，遇到元素值不为零的列时，得到与所述文件样本关联的第一API，再按列游走，直到遇到元素值不为零的行，得到与所述第一API关联的第二文件样本，获得第一组包含F→A→F的向量；

S8，以所述第二文件样本为初始文件，转入执行所述S7，得到与所述第二文件样本关联的第二API和与所述第二API关联的第三文件样本，获得第二组包含F→A→F的向量；

所述第三文件样本继续游走，循环执行所述S6和S7，直到获得预定数量的F→A→F向量。

6.根据权利要求1所述的方法，其特征在于，所述步骤S4包括将每一文件样本反复进行随机游走，直至达到预定的游走次数。