基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置制造方法
【專利摘要】本申請(qǐng)實(shí)施例公開了一種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置��,所述方法包括:分析輸入的未知程序��,提取所述未知程序中的PE文件的結(jié)構(gòu)特征���;根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類�����;根據(jù)所述粗分類的結(jié)果���,將所述未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷���;輸出所述未知程序的識(shí)別結(jié)果�,所述識(shí)別結(jié)果為惡意程序或非惡意程序���。本申請(qǐng)采用機(jī)器學(xué)習(xí)技術(shù)��,通過對(duì)大量程序樣本進(jìn)行PE文件的結(jié)構(gòu)特征提取及分析����,得到基于PE文件的結(jié)構(gòu)特征的識(shí)別惡意程序的模型,通過該模型的使用可以節(jié)省大量的人力���,提高對(duì)惡意程序的識(shí)別效率����。
【專利說(shuō)明】基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置
[0001]本發(fā)明專利申請(qǐng)是申請(qǐng)日為2010年12月31日�、申請(qǐng)?zhí)枮?01010620959.7、名稱
為“基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置”的中國(guó)發(fā)明專利申請(qǐng)的分案申請(qǐng)����。
【技術(shù)領(lǐng)域】
[0002]本申請(qǐng)涉及計(jì)算機(jī)【技術(shù)領(lǐng)域】,特別是涉及一種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置�����。
【背景技術(shù)】
[0003]惡意程序是一類特殊的程序����,它們通常在用戶不知曉也未授權(quán)的情況下潛入到用戶的計(jì)算機(jī)系統(tǒng)中��,對(duì)用戶系統(tǒng)改進(jìn)型攻擊�。惡意程序可以包括病毒����、后門程序、木馬程序�、宏病毒、引導(dǎo)區(qū)病毒���、腳本病毒等�����。在查殺惡意病毒之前���,首先要對(duì)惡意程序進(jìn)行識(shí)別,以查殺病毒為例�����,現(xiàn)有技術(shù)中主要通過字符串特征碼和簡(jiǎn)單的人工總結(jié)進(jìn)行查殺�,所查殺的病毒也均是已知的病毒,難以對(duì)新型病毒進(jìn)行查殺����。
[0004]發(fā)明人在對(duì)現(xiàn)有技術(shù)的研究過程中發(fā)現(xiàn),現(xiàn)有技術(shù)基本上采用字符串特征碼和人工規(guī)則的啟發(fā)式通殺��,這種識(shí)別惡意程序的方式嚴(yán)重依賴于病毒分析師的能力����,需要分析師針對(duì)已有樣本進(jìn)行人工分析,找出相應(yīng)的特征���,因此需要大量經(jīng)驗(yàn)豐富的人員才能滿足解決問題的需求���,并且由于技術(shù)復(fù)雜,人工處理的結(jié)果將導(dǎo)致效率低效�;現(xiàn)有技術(shù)中只能處理已知的問題,不能對(duì)可能發(fā)生的問題進(jìn)行防范��,因此具有一定的滯后性�����;由于現(xiàn)有技術(shù)基于簡(jiǎn)單的特征或規(guī)則進(jìn)行查殺�,因此很容易被病毒作者免殺。
【發(fā)明內(nèi)容】
[0005]本申請(qǐng)實(shí)施例提供了一種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置�,以解決現(xiàn)有技術(shù)中在識(shí)別惡意程序時(shí)效率不高���,具有滯后性的問題。
[0006]為了解決上述技術(shù)問題�����,本申請(qǐng)實(shí)施例公開了如下技術(shù)方案:
[0007]—種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法��,包括:
[0008]分析輸入的未知程序�����,提取所述未知程序中的PE文件的結(jié)構(gòu)特征���;
[0009]根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類���;
[0010]根據(jù)所述粗分類的結(jié)果,將所述未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�����;
[0011]輸出所述未知程序的識(shí)別結(jié)果����,所述識(shí)別結(jié)果為惡意程序或非惡意程序����。
[0012]所述PE文件的結(jié)構(gòu)特征包括至少一種下述特征:PE文件頭特征�����、PE標(biāo)準(zhǔn)頭特征���、PE可選頭特征、數(shù)據(jù)目錄特征���、常用節(jié)表特征�。
[0013]當(dāng)包括多個(gè)訓(xùn)練模型時(shí)����,所述將未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷包括:
[0014]將未知程序分別輸入一個(gè)或多個(gè)已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷;[0015]根據(jù)預(yù)先設(shè)置的每種PE文件的結(jié)構(gòu)特征分類在每個(gè)訓(xùn)練模型中的權(quán)重�����,將每個(gè)訓(xùn)練模型及相應(yīng)的決策機(jī)對(duì)所述未知程序進(jìn)行判斷的結(jié)果進(jìn)行加權(quán)計(jì)算��;
[0016]所述輸出未知程序的識(shí)別結(jié)果具體為:根據(jù)所述加權(quán)計(jì)算的結(jié)果輸出對(duì)所述位置程序的識(shí)別結(jié)果���。
[0017]還包括:
[0018]輸入提取到的海量程序���,所述海量程序中包括惡意程序和非惡意程序�;
[0019]從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征�,并對(duì)所提取的PE文件的結(jié)構(gòu)特征進(jìn)行分類;
[0020]根據(jù)所述分類的結(jié)果��,將不同類別的PE文件的結(jié)構(gòu)特征使用不同的決策機(jī)進(jìn)行訓(xùn)練�����,生成用于識(shí)別惡意程序的訓(xùn)練模型或訓(xùn)練模型集合����。
[0021]所述從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征包括:
[0022]分析每個(gè)程序文件,從所述程序文件中抽取預(yù)先定義的PE文件的結(jié)構(gòu)特征���;
[0023]根據(jù)所抽取的PE文件的結(jié)構(gòu)特征生成特征向量�����,以及每個(gè)特征向量的黑白屬性����。
[0024]所述不同的決策機(jī)使用相同或不同的方式對(duì)特征進(jìn)行訓(xùn)練,包括:使用支持向量機(jī)的決策機(jī)進(jìn)行訓(xùn)練���,或使用決策樹的決策機(jī)進(jìn)行訓(xùn)練����。
[0025]一種基于機(jī)器學(xué)習(xí)的程序識(shí)別裝置��,包括:
[0026]提取單元�,用于分析輸入的未知程序���,提取所述未知程序中的PE文件的結(jié)構(gòu)特征�;
[0027]分類單元����,用于根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類;
[0028]判斷單元�,用于根據(jù)所述粗分類的結(jié)果,將所述未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�;
[0029]輸出單元,用于輸出所述未知程序的識(shí)別結(jié)果����,所述識(shí)別結(jié)果為惡意程序或非惡意程序���。
[0030]所述提取單元具體用于,提取所述未知程序中的至少一種下述特征:PE文件頭特征���、PE標(biāo)準(zhǔn)頭特征�、PE可選頭特征����、數(shù)據(jù)目錄特征、常用節(jié)表特征����。
[0031]所述判斷單元包括:
[0032]程序輸入單元,用于當(dāng)包括多個(gè)訓(xùn)練模型時(shí)�,將未知程序分別輸入多個(gè)已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷;
[0033]加權(quán)計(jì)算單元���,用于根據(jù)預(yù)先設(shè)置的每種PE文件的結(jié)構(gòu)特征分類在每個(gè)訓(xùn)練模型中的權(quán)重����,將每個(gè)訓(xùn)練模型及相應(yīng)的決策機(jī)對(duì)所述未知程序進(jìn)行判斷的結(jié)果進(jìn)行加權(quán)計(jì)算���;
[0034]所述輸出單元����,具體用于根據(jù)所述加權(quán)計(jì)算的結(jié)果輸出對(duì)所述位置程序的識(shí)別結(jié)
果O
[0035]還包括:
[0036]輸入單元,用于輸入提取到的海量程序�����,所述海量程序中包括惡意程序和非惡意程序�����;
[0037]提取單元�,用于從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征�����;
[0038]分類單元�,用于對(duì)所提取的PE文件的結(jié)構(gòu)特征進(jìn)行分類;
[0039]生成單元��,用于根據(jù)所述分類的結(jié)果�����,將不同類別的PE文件的結(jié)構(gòu)特征使用不同的決策機(jī)進(jìn)行訓(xùn)練,生成用于識(shí)別惡意程序的訓(xùn)練模型或訓(xùn)練模型集合�。
[0040]所述提取單元包括:
[0041]結(jié)構(gòu)特征抽取單元,用于分析每個(gè)程序文件�����,從所述程序文件中抽取預(yù)先定義的PE文件的結(jié)構(gòu)特征��;
[0042]向量屬性生成單元�,用于根據(jù)所抽取的PE文件的結(jié)構(gòu)特征生成特征向量,以及每個(gè)特征向量的黑白屬性��。
[0043]由上述實(shí)施例可以看出����,本申請(qǐng)實(shí)施例基于PE文件的結(jié)構(gòu)特征識(shí)別未知程序的類型時(shí),分析輸入的未知程序���,提取未知程序中的PE文件的結(jié)構(gòu)特征�����,根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類����,根據(jù)粗分類的結(jié)果,將未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�����,輸出未知程序的識(shí)別結(jié)果�����。本申請(qǐng)采用機(jī)器學(xué)習(xí)技術(shù)�����,通過對(duì)大量程序樣本進(jìn)行PE文件的結(jié)構(gòu)特征提取及分析�,得到基于PE文件的結(jié)構(gòu)特征的識(shí)別惡意程序的模型,通過該模型的使用可以節(jié)省大量的人力�,提高對(duì)惡意程序的識(shí)別效率;并且�����,在基于對(duì)海量程序進(jìn)行數(shù)據(jù)挖掘的基礎(chǔ)上����,基于PE文件的結(jié)構(gòu)可以發(fā)現(xiàn)程序的內(nèi)在規(guī)律�,對(duì)未發(fā)生的惡意程序進(jìn)行預(yù)防����,使得惡意程序難以被免殺��。
【專利附圖】
【附圖說(shuō)明】
[0044]為了更清楚地說(shuō)明本申請(qǐng)實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見地�����,對(duì)于本領(lǐng)域普通技術(shù)人員而言��,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其他的附圖��。
[0045]圖1為本申請(qǐng)生成識(shí)別程序類型的模型的實(shí)施例流程圖��;
[0046]圖2為本申請(qǐng)實(shí)施例生成識(shí)別程序類型的模型應(yīng)用實(shí)例示意圖�����;
[0047]圖3為本申請(qǐng)基于機(jī)器學(xué)習(xí)的程序識(shí)別方法的實(shí)施例流程圖��;
[0048]圖4為本申請(qǐng)實(shí)施例對(duì)程序類型進(jìn)行識(shí)別的應(yīng)用實(shí)例示意圖��;
[0049]圖5為本申請(qǐng)基于機(jī)器學(xué)習(xí)的程序識(shí)別裝置的第一實(shí)施例框圖��;
[0050]圖6為本申請(qǐng)基于機(jī)器學(xué)習(xí)的程序識(shí)別裝置的第二實(shí)施例框圖����。
【具體實(shí)施方式】
[0051 ] 本申請(qǐng)如下實(shí)施例提供了 一種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法及裝置。本申請(qǐng)采用MLD (Machine Learning Detection機(jī)器學(xué)習(xí)識(shí)別)技術(shù),通過對(duì)大量程序樣本進(jìn)行分析�,提取其中的PE文件結(jié)構(gòu)特征,得到識(shí)別惡意程序的模型����,通過該模型基于PE文件結(jié)構(gòu)特征,可以提高對(duì)惡意程序的識(shí)別效率��,對(duì)未發(fā)生的惡意程序進(jìn)行預(yù)防�����,使得惡意程序難以被免殺��。
[0052]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本申請(qǐng)實(shí)施例中的技術(shù)方案�,并使本申請(qǐng)實(shí)施例的上述目的��、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對(duì)本申請(qǐng)實(shí)施例中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明�����。
[0053]參見圖1�,為本申請(qǐng)生成識(shí)別程序類型的模型的第一實(shí)施例流程圖:
[0054]步驟101:輸入提取到的海量程序,該海量程序中包括惡意程序和非惡意程序��。
[0055]步驟102:從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征�,并對(duì)所提取的PE文件結(jié)構(gòu)的特征進(jìn)行分類。[0056]具體的���,分析每個(gè)程序文件�����,從程序文件中抽取預(yù)先定義的PE文件結(jié)構(gòu)的特征�����,
根據(jù)所抽取的PE文件結(jié)構(gòu)的特征生成特征向量�,以及每個(gè)特征向量的黑白屬性����,根據(jù)已知
編譯器的入口指令序列判定編譯生成相應(yīng)程序的編譯器類型�。
[0057]下面具體介紹一下PE文件結(jié)構(gòu):PE文件結(jié)構(gòu)是一個(gè)很復(fù)雜的結(jié)構(gòu)�,其中一些基本
結(jié)構(gòu)包含了大量PE信息,可以基于這些PE新提提取PE文件的結(jié)構(gòu)特征����。
[0058]本申請(qǐng)實(shí)施例中,一種常用PE基本結(jié)構(gòu)如下所示:
[0059]
IMAGE_FILE_HEADER STRUCT
MachineWORD
NuinberOfSections WORD
TimeDateStampDWORD
PointerToSvmbolTable DWORD
NumberOfSymbolsDWORD
SizeOfOptionalHeader WORD
Character isticsWORD
IMAGE—FILE—HEADER ENDS
[0060]
【權(quán)利要求】
1.一種基于機(jī)器學(xué)習(xí)的程序識(shí)別方法����,其特征在于,包括: 分析輸入的未知程序�����,提取所述未知程序中的PE文件的結(jié)構(gòu)特征�����; 根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類��; 根據(jù)所述粗分類的結(jié)果���,將所述未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�����; 輸出所述未知程序的識(shí)別結(jié)果���,所述識(shí)別結(jié)果為惡意程序或非惡意程序。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述PE文件的結(jié)構(gòu)特征包括至少一種下述特征:PE文件頭特征���、PE標(biāo)準(zhǔn)頭特征���、PE可選頭特征、數(shù)據(jù)目錄特征����、常用節(jié)表特征。
3.根據(jù)權(quán)利要求1所述的方法����,其特征在于,當(dāng)包括多個(gè)訓(xùn)練模型時(shí)���,所述將未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷包括: 將未知程序分別輸入一個(gè)或多個(gè)已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�;根據(jù)預(yù)先設(shè)置的每種PE文件的結(jié)構(gòu)特征分類在每個(gè)訓(xùn)練模型中的權(quán)重,將每個(gè)訓(xùn)練模型及相應(yīng)的決策機(jī)對(duì)所述未知程序進(jìn)行判斷的結(jié)果進(jìn)行加權(quán)計(jì)算�����; 所述輸出未知程序的識(shí)別結(jié)果具體為:根據(jù)所述加權(quán)計(jì)算的結(jié)果輸出對(duì)所述位置程序的識(shí)別結(jié)果�。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于�,還包括: 輸入提取到的海量程序,所述海量程序中包括惡意程序和非惡意程序��; 從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征���,并對(duì)所提取的PE文件的結(jié)構(gòu)特征進(jìn)行分類��; 根據(jù)所述分類的結(jié)果���,將不同類別的PE文件的結(jié)構(gòu)特征使用不同的決策機(jī)進(jìn)行訓(xùn)練,生成用于識(shí)別惡意程序的訓(xùn)練模型或訓(xùn)練模型集合���。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于�����,所述從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征包括: 分析每個(gè)程序文件�,從所述程序文件中抽取預(yù)先定義的PE文件的結(jié)構(gòu)特征�; 根據(jù)所抽取的PE文件的結(jié)構(gòu)特征生成特征向量,以及每個(gè)特征向量的黑白屬性���。
6.根據(jù)權(quán)利要求4所述的方法��,其特征在于����,所述不同的決策機(jī)使用相同或不同的方式對(duì)特征進(jìn)行訓(xùn)練�,包括:使用支持向量機(jī)的決策機(jī)進(jìn)行訓(xùn)練,或使用決策樹的決策機(jī)進(jìn)行訓(xùn)練����。
7.一種基于機(jī)器學(xué)習(xí)的程序識(shí)別裝置,其特征在于���,包括: 提取單元��,用于分析輸入的未知程序���,提取所述未知程序中的PE文件的結(jié)構(gòu)特征�����; 分類單元����,用于根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類�; 判斷單元,用于根據(jù)所述粗分類的結(jié)果���,將所述未知程序輸入已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷���; 輸出單元,用于輸出所述未知程序的識(shí)別結(jié)果��,所述識(shí)別結(jié)果為惡意程序或非惡意程序����。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述提取單元具體用于,提取所述未知程序中的至少一種下述特征:PE文件頭特征��、PE標(biāo)準(zhǔn)頭特征�����、PE可選頭特征����、數(shù)據(jù)目錄特征�、常用節(jié)表特征。
9.根據(jù)權(quán)利要求7所述的裝置��,其特征在于��,所述判斷單元包括:程序輸入單元�����,用于當(dāng)包括多個(gè)訓(xùn)練模型時(shí)�,將未知程序分別輸入多個(gè)已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷;加權(quán)計(jì)算單元�,用于根據(jù)預(yù)先設(shè)置的每種PE文件的結(jié)構(gòu)特征分類在每個(gè)訓(xùn)練模型中的權(quán)重����,將每個(gè)訓(xùn)練模型及相應(yīng)的決策機(jī)對(duì)所述未知程序進(jìn)行判斷的結(jié)果進(jìn)行加權(quán)計(jì)算���;所述輸出單元����,具體用于根據(jù)所述加權(quán)計(jì)算的結(jié)果輸出對(duì)所述位置程序的識(shí)別結(jié)果�����。
10.根據(jù)權(quán)利要求8所述的裝置���,其特征在于�����,還包括: 輸入單元�����,用于輸入提取到的海量程序����,所述海量程序中包括惡意程序和非惡意程序; 提取單元,用于從所輸入的每個(gè)程序中提取PE文件的結(jié)構(gòu)特征�; 分類單元,用于對(duì)所提取的PE文件的結(jié)構(gòu)特征進(jìn)行分類����; 生成單元,用于根據(jù)所述分類的結(jié)果����,將不同類別的PE文件的結(jié)構(gòu)特征使用不同的決策機(jī)進(jìn)行訓(xùn)練,生成用于識(shí)別惡意程序的訓(xùn)練模型或訓(xùn)練模型集合�����。
11.根據(jù)權(quán)利要求10所述的裝置����,其特征在于����,所述提取單元包括: 結(jié)構(gòu)特征抽取單元,用于分 析每個(gè)程序文件��,從所述程序文件中抽取預(yù)先定義的PE文件的結(jié)構(gòu)特征�; 向量屬性生成單元���,用于根據(jù)所抽取的PE文件的結(jié)構(gòu)特征生成特征向量,以及每個(gè)特征向量的黑白屬性�。
12.—種程序識(shí)別方法,其包括: 分析未知程序以提取所述未知程序中的PE文件的結(jié)構(gòu)特征���; 根據(jù)所提取的PE文件的結(jié)構(gòu)特征對(duì)所述未知程序進(jìn)行粗分類�; 將所述未知程序輸入與其粗分類相對(duì)應(yīng)的已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷�; 根據(jù)判斷結(jié)果確定所述識(shí)別結(jié)果為惡意程序或非惡意程序。
13.根據(jù)權(quán)利要求12所述的方法�,其中,所述PE文件的結(jié)構(gòu)特征包括至少一種下述特征:PE文件頭特征��、PE標(biāo)準(zhǔn)頭特征�、PE可選頭特征、數(shù)據(jù)目錄特征����、常用節(jié)表特征。
14.根據(jù)權(quán)利要求13所述的方法�,其中,將所述未知程序輸入與其粗分類相對(duì)應(yīng)的已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷進(jìn)一步包括: 將未知程序分別輸入與其粗分類相對(duì)應(yīng)的一個(gè)或多個(gè)已生成的訓(xùn)練模型及相應(yīng)的決策機(jī)中進(jìn)行判斷���; 根據(jù)預(yù)先設(shè)置的每種PE文件的結(jié)構(gòu)特征分類在每個(gè)訓(xùn)練模型中的權(quán)重�,將每個(gè)訓(xùn)練模型及相應(yīng)的決策機(jī)對(duì)所述未知程序進(jìn)行判斷的結(jié)果進(jìn)行加權(quán)計(jì)算以得到判斷結(jié)果。
15.根據(jù)權(quán)利要求12至14中任一項(xiàng)所述的方法����,其中,所述訓(xùn)練模型通過下面步驟得到: 提取海量程序�,所述海量程序包括惡意程序和非惡意程序; 從每個(gè)程序中提取PE文件的結(jié)構(gòu)特征��,并對(duì)所提取的PE文件的結(jié)構(gòu)特征進(jìn)行分類����;根據(jù)所述分類的結(jié)果,將不同類別的PE文件的結(jié)構(gòu)特征使用不同的決策機(jī)進(jìn)行訓(xùn)練并生成用于識(shí)別惡意程序的訓(xùn)練模型或訓(xùn)練模型集合��。
16.根據(jù)權(quán)利要求15所述的方法����,其中�����,從每個(gè)程序中提取PE文件的結(jié)構(gòu)特征包括:分析每個(gè)程序的程序文件并從所述程序文件中抽取預(yù)先定義的PE文件的結(jié)構(gòu)特征��;根據(jù)所抽取的PE文件的結(jié)構(gòu)特征生成特征向量,以及每個(gè)特征向量的黑白屬性����。
17.根據(jù)權(quán)利要求 12至16中任一項(xiàng)所述的方法,其中����,所述決策機(jī)包括:使用支持向量機(jī)的決策機(jī)或使用決策樹的決策機(jī)進(jìn)行訓(xùn)練。
【文檔編號(hào)】G06F21/56GK103942495SQ201410131341
【公開日】2014年7月23日 申請(qǐng)日期:2010年12月31日 優(yōu)先權(quán)日:2010年12月31日
【發(fā)明者】董毅, 周輝 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司