[发明专利]使用经训练的机器学习模型检测恶意文件的系统和方法

说明书

本发明涉及一种使用经训练的机器学习模型检测恶意文件的系统和方法。所述系统可以包括括硬件处理器，所述硬件处理器被配置为：形成至少一个行为模式；计算所有行为模式的卷积；基于所述行为模式，从检测模型数据库中选择至少两个用于检测恶意文件的模型；基于对所述卷积和所述至少两个用于检测恶意文件的模型的分析，计算正在被执行的文件的有害性程度；基于所述有害性程度，形成决策模式；如果形成的所述决策模式与来自之前基于对恶意文件的分析而形成的决策模式数据库的至少一个预定的决策模式之间的相似度超过预定阈值，则将所述正在被执行的文件识别为恶意的。

技术领域

本发明涉及防病毒技术，并且更具体地涉及使用经训练的机器学习模型检测恶意文件的系统和方法。

背景技术

近十年来计算机技术的快速发展以及各种计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛普及，已经成为这些设备在各种活动领域和在大量任务(从网上冲浪到银行转账和电子文件交易)中的使用的强有力的推动力。在计算设备和在这些设备上运行的软件的数量增长的同时，恶意程序的数量也已快速增加。

目前，存在大量各种各样的恶意程序。它们中的一些恶意程序从设备的用户窃取个人数据和机密数据(例如登录名和密码、银行信息、电子文档)。另一些恶意程序则使用户设备形成所谓的僵尸网络，用于如拒绝服务(DDoS)(Distributed Denial of Service，分布式拒绝服务)的攻击，或者通过其它计算机或计算机网络上的暴力破解方法对密码进行破译。还有一些恶意程序通过侵入式广告、付费订阅、向收费号码发送SMS等向用户呈现付费内容。

被称为防病毒程序的专用程序用于对抗恶意程序，所述对抗恶意程序包括检测恶意程序、防止感染、以及恢复已被恶意程序感染的计算设备的工作能力。防病毒程序采用各种技术来检测各种恶意程序，所述技术例如：

·静态分析——基于构成正在被分析程序的文件中包含的数据(其中，可以在统计分析期间使用该数据)，对程序进行有害性分析，包括正在被分析程序的运行或正在被分析程序的工作的仿真：

ο签名分析——从恶意程序签名数据库中搜索正在被分析程序的特定代码段与已知代码(签名)的对应关系；

ο白名单和黑名单——在恶意程序(黑名单)的校验和数据库或安全程序(白名单)的校验和数据库中搜索正在被分析程序(或正在被分析程序的一部分)的计算校验和；

·动态分析——基于在正在被分析程序的执行或正在被分析程序的工作的仿真过程中获得的数据(其中，可以在动态分析期间使用该数据)，对程序进行有害性分析：

ο启发式分析——对正在被分析程序的工作进行仿真，创建仿真日志(包含关于API函数调用的数据、传输的参数、正在被分析程序的代码段等)以及搜索创建的日志的数据与来自恶意程序的行为签名数据库的数据之间的对应关系；

ο主动保护——拦截已启动的正在被分析程序的API函数调用，创建正在被分析程序的行为的日志(包含关于API函数调用的数据、传输的参数、正在被分析程序的代码段等)以及搜索创建的日志的数据与来自恶意程序的调用数据库的数据之间的对应关系。

静态分析和动态分析都有其优缺点。静态分析对正在被分析的计算设备的资源要求较低，并且由于静态分析不使用正在被分析程序的执行或仿真，因此统计分析更快，但同时效率更低，即，静态分析具有较低的恶意程序检测百分比和较高的误报(即，作出判定：由防病毒程序分析的文件是恶意的，反之其是安全的)百分比。动态分析，由于其使用在正在被分析程序的工作的执行或仿真期间获得的数据，因此速度较慢并且对正在被分析的计算设备的资源提出了较高的要求，但另一方面动态分析也更有效。现代防病毒程序采用全面的分析，包括静态分析和动态分析两者的要素。