申请/专利权人：中国电子科技集团公司第二十八研究所

申请日：2021-08-24

公开（公告）日：2023-06-20

公开（公告）号：CN113709134B

主分类号：H04L9/40

分类号：H04L9/40;G06F21/53;G06F21/56;G06N20/00;G06F18/2415;G06F18/2431

优先权：

专利状态码：有效-授权

法律状态：2023.06.20#授权;2021.12.14#实质审查的生效;2021.11.26#公开

摘要：本发明提出了一种基N‑gram和机器学习的恶意软件检测方法和系统。通过结合基于人工智能技术的沙箱SNDBOX对样本文件进行动态行为分析，得出样本文件的关键信息，包括有API调用、参数信息等，然后利用N‑gram算法将这些信息转换为特征集合。之后利用TF‑IDF进行N‑gram特征集合的规约，规约后的特征集合只包含重要的特征，有利于提升后续训练机器学习分类器的效率。最后将特征集合转换为二元特征向量，传给多个机器学习分类器，包括朴素贝叶斯、决策树、随机森林以及逻辑规约等进行训练和测试。训练完的分类器可以辅助安全分析人员进行恶意软件的检测工作。

主权项：1.一种基于N-gram和机器学习的恶意软件检测方法，其特征在于，包括如下步骤：步骤1，收集恶意软件样本和应用软件样本，动态分析样本，获得动态分析文件；步骤2，基于动态分析文件，获得样本关键信息，生成第一N-gram特征集；步骤3，对所述第一N-gram特征集进行特征规约，获得第二N-gram特征集；步骤4，将所述第二N-gram特征集转换为二元特征向量集，输入机器学习分类模型进行训练和测试，获得恶意软件分类器；步骤5，使用恶意软件分类器进行恶意软件检测；所述步骤1中恶意软件样本包括蠕虫、木马和病毒，所述应用软件样本包括一种以上的应用软件；所述恶意软件样本和应用软件样本为PE文件格式；所述步骤1中动态分析样本，获得动态分析文件，通过人工智能沙箱SNDBOX获得；人工智能沙箱SNDBOX利用静态检测算法对样本进行扫描，再利用动态引擎模拟人为操作打开样本，对样本执行过程中的行为进行分析，综合考虑静态检测算法和动态引擎的检测结果生成动态分析文件；所述静态检测算法包括静态扫描和杀毒软件检测引擎；所述步骤2中获得样本关键信息包括：分析所述动态分析文件的格式，归纳出API调用、函数参数以及参数位置关键信息的特征；基于特征编写解析程序，从动态分析文件中摘取在分析恶意软件时的样本关键信息；所述步骤2中生成第一N-gram特征集是基于样本关键信息，采用N-gram算法生成；所述步骤3采用TF-IDF算法来评估每一个N-gram对识别恶意软件的重要性，如果一个N-gram在恶意软件的N-gram集合中出现的频率高，而在应用软件的N-gram集合中很少出现，那么该N-gram就是选取的关键N-gram特征集，通过TF-IDF算法筛选的N-gram特征集记为第二N-gram特征集。

全文数据：

权利要求：

百度查询： 中国电子科技集团公司第二十八研究所 一种基于N-gram和机器学习的恶意软件检测方法及系统

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD