[发明专利]使用机器学习来检测恶意文件的系统和方法

权利要求书

1.一种用于检测安全数据对象和恶意数据对象的方法，包括：

基于包括被分析的对象的参数和在先前的搜索中选择的数据块的特征的标准，处理器使用所训练的分析模型搜索要从所述对象中选择的一个或多个数据块以用于进行恶意软件分析，其中，所述所训练的分析模型是用于搜索以增加将所述对象分类为恶意的概率的规则集，以及所述规则集取决于针对所述在先前的搜索中选择的数据块所确定的特征；

所述处理器使用所述所训练的分析模型选择所述对象中的所述一个或多个数据块；

所述处理器对所选择的所述一个或多个数据块进行静态分析，以确定所述一个或多个数据块的特征集；

所述处理器基于所述特征集和用于检测恶意对象的检测模型来确定所述对象的危害程度，其中，所述检测模型已经通过机器学习的方法在至少一个安全对象和一个恶意对象上训练过；

当所述危害程度不超过预定的危害阈值时，所述处理器将所述对象识别为安全的；以及

当所述一个或多个数据块的危害程度超过所述预定的危害阈值时，所述处理器将所述对象识别为恶意的。

2.根据权利要求1所述的方法，还包括：

如果所述对象被识别为恶意的，则重新训练所述用于检测安全对象和恶意对象的检测模型。

3.根据权利要求1所述的方法，其中，选择所述一个或多个数据块包括：

计算所述一个或多个数据块的参数，所述参数包括以下各项中的一个或多个：数据块的大小、数据块在所述对象中的位置、以及所述对象的类型。

4.根据权利要求1所述的方法，其中，所述特征集包括以下各项中的一个或多个：供选择的数据块的参数、包含在数据块中的数据的类型、数据块与在先前的搜索中选择的数据块之间的逻辑或功能关系、以及危害系数。

5.根据权利要求4所述的方法，其中，所述对象所执行的每个命令与相应权重相关联，以及所述危害系数被计算为权重的总和。

6.一种检测恶意文件的系统，所述系统包括：

硬件处理器，所述硬件处理器被配置为：

基于包括被分析的对象的参数和在先前的搜索中选择的数据块的特征的标准，使用所训练的分析模型搜索要从所述对象中选择的一个或多个数据块以用于进行恶意软件分析，其中，所述所训练的分析模型是用于搜索以增加将所述对象分类为恶意的概率的规则集，以及所述规则集取决于针对所述在先前的搜索中选择的数据块所确定的特征；

使用所述所训练的分析模型选择所述对象中的所述一个或多个数据块；

对所述一个或多个数据块进行静态分析，以确定所述一个或多个数据块的特征集；

基于所述特征集和用于检测恶意对象的检测模型来确定所述对象的危害程度，其中，所述检测模型已经通过机器学习的方法在至少一个安全对象和一个恶意对象上训练过；

当所述危害程度不超过预定的危害阈值时，识别所述对象为安全的，其中，对所述对象的所有数据块进行静态分析；以及

当所述一个或多个数据块的危害程度超过所述预定的危害阈值时，将所述对象识别为恶意的。

7.根据权利要求6所述的系统，其中，所述硬件处理器还被配置为：

如果所述对象被识别为恶意的，则重新训练所述用于检测恶意对象的检测模型。

8.根据权利要求6所述的系统，其中，所述硬件处理器还被配置为通过以下方式来选择所述一个或多个数据块：

计算所述一个或多个数据块的参数，所述参数包括以下各项中的一个或多个：数据块的大小、数据块在所述对象中的位置、以及所述对象的类型。

9.根据权利要求6所述的系统，其中，所述特征集包括以下各项中的一个或多个：供选择的数据块的参数、包含在数据块中的数据的类型、数据块与在先前的搜索中选择的数据块之间的逻辑或功能关系、以及危害系数。

10.根据权利要求9所述的系统，其中，所述对象所执行的每个命令与相应权重相关联，以及所述危害系数被计算为权重的总和。