[发明专利]一种增量更新的恶意软件检测方法及系统

权利要求书

1.一种增量更新的恶意软件检测方法，其特征在于，包括：

获取应用程序产生的TCP流，提取TCP流的统计特征；

将TCP流的统计特征输入至增量更新的检测模型中，输出应用程序是否为恶意应用程序；

其中，增量更新的检测模型的训练过程为：

使用训练集Train1和测试集Test1对初始化模型进行训练和测试；

将增量数据集划分临时训练集Temp和测试集I-Test；其中，增量数据集、训练集Train1和测试集Test1均由正常应用程序及恶意应用程序所产生的TCP流的统计特征构成；

使用临时训练集Temp训练临时模型；其中，临时模型和初始化模型均由设定数量的决策树模型构成；

使用测试集I-Test分别对初始化模型和临时模型进行测试，通过精确度来筛选初始化模型和临时模型中决策树模型，最终组成最新的检测模型；

其中，训练初始化模型的过程为：

设定训练决策树模型的个数为n；

使用训练集Train1有放回的随机抽取m次，m表示训练集的样本个数；

使用随机抽取的m个数据样本训练决策树模型；

判断训练出的决策树模型个数是否等于设定的阈值n；

若等于，则n个决策树模型组成初始化模型，训练完成，否则继续利用随机抽取的数据样本训练决策树模型，直至训练出的决策树模型个数为n；

使用测试集Test1测试的初始化模型精确度；

其中，训练临时模型的过程为：

设定训练决策树模型的个数为n；

使用临时训练集Temp有放回的随机抽取k次，k表示训练集的样本个数；

使用随机抽取的k个数据样本训练决策树模型；

判断训练出的决策树模型个数是否等于步骤设定的阈值n；

若等于则n个决策树模型组成临时模型，训练完成，否则继续利用随机抽取的数据样本训练决策树模型，直至训练出的决策树模型个数为n；

通过精确度对初始化模型和临时模型中每个决策树模型进行排序；

在组成最新的检测模型的过程中，删除初始化模型和临时模型中的精确度排名后设定位数的决策树模型，将初始化模型和临时模型中剩余的决策树模型组成最新的检测模型。

2.如权利要求1所述的增量更新的恶意软件检测方法，其特征在于，正常应用程序或恶意应用程序所产生的TCP流的统计特征的提取过程为：

使用tshark命令过滤获取正常应用程序或恶意应用程序产生TCP流；

使用python的scapy库获取正常应用程序或恶意应用程序的TCP流的设定数量的统计特征。

3.如权利要求1所述的增量更新的恶意软件检测方法，其特征在于，使用测试集Test1测试的初始化模型精确度的过程为：

测试集Test1的样本分别输入到初始化模型的每个决策树模型中；

每个决策树模型对测试集的每一个样本得出一个预测标签；

统计预测标签占比，占比大的为初始化模型最终的预测结果。