[发明专利]用于检测恶意应用及训练检测模型的方法、装置及设备有效
| 申请号: | 201811330064.2 | 申请日: | 2018-11-09 |
| 公开(公告)号: | CN109543409B | 公开(公告)日: | 2021-06-08 |
| 发明(设计)人: | 刘国波 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 深圳市隆天联鼎知识产权代理有限公司 44232 | 代理人: | 刘抗美 |
| 地址: | 518000 广东省深圳*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 用于 检测 恶意 应用 训练 模型 方法 装置 设备 | ||
1.一种用于训练恶意应用检测模型的方法,其特征在于,包括:
基于带有样本标签的应用样本提取样本特征,所述样本标签用于标记所述应用样本的安全状态;
使用所述样本标签与所述提取的样本特征,通过训练以获取所述样本特征与安全状态之间的第一非线性关系模型,所述第一非线性关系模型用于预测待检测应用的安全状态并输出第一预测结果;以及
在确定与部分待检测应用对应的第一预测结果错误时,根据改正后的第一预测结果与所述部分待检测应用的样本特征,通过训练以获取所述样本特征与安全状态之间的第二非线性关系模型,在所述第一预测结果指示所述待检测应用的安全状态为安全时,使用所述第二非线性关系模型预测所述待检测应用的安全状态并输出第二预测结果。
2.如权利要求1所述的方法,其特征在于,所述的基于带有样本标签的应用样本提取样本特征,包括:
提取所述应用样本的低维静态特征和/或高维静态特征,
所述低维静态特征包括选自应用权限、组件名称、元数据键值对、应用打包名称、应用所使用的证书信息、和操作码序列中的任意项特征;
所述高维静态特征包括选自应用的加固方式和打包方式中的任意项特征。
3.如权利要求1所述的方法,其特征在于,所述的基于带有样本标签的应用样本提取样本特征,包括:
提取所述应用样本的动态特征,所述动态特征包括选自对预定应用编程接口API的调用和应用的操作行为中的任意项特征。
4.如权利要求1所述的方法,其特征在于,所述的通过训练以获取所述样本特征与安全状态之间的第一非线性关系模型,包括:将所述样本标签与所述提取的样本特征作为输入,使用梯度提升决策树GBDT算法进行训练得到所述第一非线性关系模型,
所述的通过训练以获取所述样本特征与安全状态之间的第二非线性关系模型,包括:将所述改正后的第一预测结果与所述部分待检测应用的样本特征作为输入,使用GBDT算法进行训练得到所述第二非线性关系模型。
5.如权利要求1-4任一项所述的方法,其特征在于,还包括:
通过获取人工反馈结果和对比所述第二预测结果中的至少一种方式,验证所述第一预测结果的正确性。
6.一种用于检测恶意应用的方法,其特征在于,包括:
基于待检测应用提取样本特征;
将所述样本特征输入第一非线性关系模型,获取第一预测结果;以及
在所述第一预测结果指示所述待检测应用的安全状态为安全时,将所述样本特征输入第二非线性关系模型以获取第二预测结果,
其中,所述的第一非线性关系模型和第二非线性关系模型基于权利要求1-5任一项所述的用于训练恶意应用检测模型的方法训练得到。
7.如权利要求6所述的方法,其特征在于,还包括:
在所述第一预测结果指示所述待检测应用的安全状态为病毒时,输出所述第一预测结果并产生告警提示。
8.如权利要求6或7所述的方法,其特征在于,还包括:
通过获取人工反馈结果和对比所述第二预测结果中的至少一种方式,验证所述第一预测结果的正确性;以及
在确定所述第一预测结果错误时,提供与所述样本特征和改正后结果对应的反馈,以更新所述第二非线性关系模型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811330064.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种恶意软件识别方法和系统
- 下一篇:一种基于语义映射关联的恶意代码检测方法
