[发明专利]使用机器学习来检测恶意文件的系统和方法

说明书

本发明公开了使用机器学习来检测恶意文件的系统和方法。示例性方法包括：基于规则选择被分析的对象中的一个或多个数据块；对所述一个或多个数据块进行静态分析以确定所述一个或多个数据块的特征集；基于所述特征集和用于检测恶意对象的模型来确定所述对象的危害程度，其中，所述模型已经用机器学习的方法在至少一个安全对象和一个恶意对象上训练过；当所述危害程度不超过预定的危害阈值时，识别所述对象为安全的；以及，当所述一个或多个数据块的所述危害程度超过所述预定的危害阈值时，将所述对象识别为恶意的。

技术领域

本发明大体上涉及防病毒技术，并且更具体地涉及使用机器学习来检测恶意文件的方法和系统。

背景技术

最近十年中计算机技术的迅速发展，以及各种计算设备的广泛分布(个人电脑、笔记本电脑、平板电脑、智能手机等)，已成为在各个活动领域使用这些设备的强大动力，也带来了大量的问题(从上网到银行转账和电子文档的传输)。随着计算机设备数量的增长，以及运行在这些设备上的软件的发展，恶意程序的数量也在快速增长。

目前，存在大量的各种类型的恶意程序。其中，一些程序从这些设备的用户那里窃取个人数据和机密数据(比如登录名和密码、银行信息、电子文档)。另一些程序通过从用户的设备中形成所谓的僵尸网络来进行攻击，比如拒绝服务(分布式拒绝服务(DistributedDenial of Service，DDoS))，或者通过在其他计算机或计算机网络上使用暴力的方法来对密码进行分类。还有一些程序通过侵入广告、付费订阅、发送短信到收费号码等方式向用户提供付费内容。

被称为防病毒程序的专门程序用于对抗恶意程序，包括检测恶意程序、防止感染，以及恢复已被恶意程序感染的计算机设备的工作能力。防病毒程序使用各种技术来检测全部种类的恶意程序，例如：

·静态分析——基于被分析程序的组成文件中包含的数据，对危害程序的分析，包括对被分析程序工作的运行或仿真，可以在统计分析中使用：

ο签名分析——搜索被分析程序的特定代码段与来自恶意程序签名数据库的已知代码(签名)的对应关系；

ο白名单和黑名单——在恶意程序(黑名单)的校验和数据库或者安全程序(白名单)的校验和数据库中，搜索被分析程序(或其中的某些部分)的计算校验和；

·动态分析——基于被分析程序工作的执行或仿真过程中所获得的数据，对危害程序的分析，可以在动态分析中使用：

ο启发式分析——对被分析程序工作的仿真、仿真日志(包含API函数调用的数据，传输的参数，被分析程序的代码段，等等)的创建，以及搜索所创建日志数据与来自恶意程序行为特征数据库的数据之间的对应关系；

ο主动保护——拦截对被分析的启动程序的API函数的调用、对被分析程序行为日志(包含API函数调用的数据，传输的参数，被分析程序的代码段，等等)的创建、以及搜索所创建日志的数据与来自恶意程序调用数据库的数据之间的对应关系。

静态分析和动态分析各有利弊。静态分析对执行分析的计算机设备的资源的要求较低，因为它不需要执行或仿真被分析程序，统计分析在所作分析的速度方面更有效率，但同时就所做分析的质量而言不太有效，即检测出恶意程序检测的百分比较低，且假警报(例如宣布一个经防病毒程序分析的文件是恶意的结论，但实际上该文件是安全的)的百分比较高。因为使用执行或仿真被分析程序工作过程中获得的数据，所以动态分析在所作分析的速度方面效率较低，并且对执行分析的计算机设备资源的要求较高，但另一方面完成分析的质量更为有效。现代防病毒程序采用了一种综合分析，包括了静态分析和动态分析两者的元素。