[发明专利]恶意软件识别方法、装置、设备及计算机可读存储介质

说明书

本发明涉及智能决策技术，揭露一种恶意软件识别方法，包括：对包含正常软件和恶意软件的样本集进行特征项提取、关联特征项分析及有效特征筛选得到有效特征集，根据所述有效特征集构建基于不同分类算法的分类器，利用所述样本集对每个所述分类器进行恶意软件识别的训练，选择训练完成后的精准率及召回率对应的调和值最高的分类器作为目标分类器，利用所述目标分类器对待检测软件进行恶意软件识别。本发明还提出一种恶意软件识别装置、设备以及计算机可读存储介质。本发明可以解决恶意软件伪装或变形后不易识别的问题，提升了恶意软件识别的效率和准确性。

技术领域

本发明涉及智能决策技术领域，尤其涉及一种恶意软件识别方法、装置、设备及计算机可读存储介质。

背景技术

恶意软件是指通过网络传播侵入到目标主机，窃取数据或者破坏目标主机设备和网络系统正常运行的程序。

传统的恶意软件防御措施主要是采用整体签名方法，即对待检测软件的代码进行分析，并利用哈希函数对所述待检测软件进行哈希值计算，并将计算得到的哈希值作为所述待检测软件的签名，根据两个软件的签名完全相同，则表示两个软件是同一款软件的原则，将待检测软件的签名与预设的数据库中的恶意软件签名进行匹配，以此判断待测软件是否是已知的恶意软件。

当前越来越多的恶意软件通过改变代码不断的伪装或者变形，导致在对恶意软件进行签名检测时，会生成一个全新的签名，这样就可以躲避杀毒软件、电子邮件过滤、沙盒等基于整体签名的防御措施，因此传统的整体签名方法依赖既有的恶意软件签名数据，无法检测到变形的以及未知的恶意软件。

发明内容

本发明提供一种恶意软件识别方法、装置、设备及计算机可读存储介质，其主要目的在于本发明可以解决恶意软件伪装或变形后不易识别的问题，提升了恶意软件识别的效率和准确性。

为实现上述目的，本发明提供的一种恶意软件识别方法，包括：

获取包含正常软件和恶意软件的样本集，提取所述样本集的软件运行特征的特征项；

对所述特征项进行关联分析得到关联特征项；

对所述样本集的特征项及所述关联特征项做有效特征筛选，得到有效特征集；

根据所述有效特征集，构造基于不同分类算法的分类器；

利用所述样本集分别对每个所述分类器进行恶意软件识别的训练，直到所述训练满足预设条件时，退出所述训练，得到每个所述分类器的识别结果；

利用所述识别结果及所述样本集的真实结果，计算得到每个所述分类器的精准率及召回率之间的调和值，选择所述调和值最高的分类器作为目标分类器；

利用所述目标分类器对待检测软件进行恶意软件识别。

可选的，所述获取包含正常软件和恶意软件的样本集，包括：

获取用于训练的包含正常软件和恶意软件的软件集；

依次提取所述软件集中每种软件的程序文件；

汇集所述程序软件作为所述样本集。

可选的，所述提取所述样本集的软件运行特征的特征项，包括：

获取所述样本集中每个样本对应的程序文件的文件类型；

在预设的特征标签集中，查询每种所述文件类型对应的特征标签，得到所述文件类型对应的样本的特征标签；

依次利用每个样本的特征标签对相应的样本进行标注得到标注条目；

汇集所有标注条目得到所述样本集的特征项。

可选的，所述对所述特征项进行关联分析得到关联特征项，包括：