(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111582120.3 (22)申请日 2021.12.2 2 (71)申请人 国能信息技 术有限公司 地址 100011 北京市东城区安外西滨河路 19号中轴国际西侧7A (72)发明人 徐会军　郑磊　王晓燕　韩鹏军　 王璇　牛月坤　曹慧　郭俊才　 郭家豪　 (74)专利代理 机构 北京聿宏知识产权代理有限 公司 11372 代理人 陈超德　吴昊 (51)Int.Cl. G06F 21/56(2013.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (54)发明名称 一种恶意软件检测方法、 装置、 计算机设备 及存储介质 (57)摘要 本发明公开了一种恶意软件检测方法、 装 置、 计算机设备及存储介质， 应用于信息安全技 术领域， 该方法可 以包括以下步骤： 基于多级签 名匹配算法从预设签名库中对待测应用软件进 行数字签名匹配； 若匹配成功， 则确定所述待测 应用软件为 疑似恶意软件； 响应于所述待测应用 软件为疑似恶意软件， 基于预设机器学习模型得 到所述待测应用软件的属性特征对应的软件确 定所述待测应用软件是否为恶意软件的第一判 定结果。 本发 明提出的静态检测与动态检测相结 合的Android恶意软件检测方案， 能够克服静态 检测方法与动态 检测方法单一存在的局限性， 在 提高系统检测效率的同时， 提高对恶意软件检测 的准确率。 权利要求书2页 说明书10页 附图6页 CN 114282216 A 2022.04.05 CN 114282216 A 1.一种恶意软件检测方法， 其特 征在于， 包括： 基于多级签名匹配算法从预设签名库中对待测应用软件进行 数字签名匹配； 若匹配成功， 则确定所述待测应用软件为疑似恶意软件； 响应于所述待测应用软件为疑似恶意软件， 基于预设机器学习 模型得到所述待测应用 软件的属性特 征对应的软件确定所述待测应用软件是否为恶意软件的第一判定结果。 2.根据权利要求1所述的恶意软件检测方法， 其特征在于， 所述基于预设机器学习模型 得到所述待测应用软件的属 性特征对应的软件确定所述待测应用软件是否为恶意软件的 第一判定结果包括： 提取所述待测应用软件的系统权限、 四大组件、 API调用接口和程序关键信息作为属性 特征； 将所述属性特征输入至预先基于随机森林算法构建的机器学习 模型中， 得到所述待测 应用软件的分类结果， 所述分类结果包括恶意软件和安全软件。 3.根据权利要求2所述的恶意软件检测方法， 其特 征在于， 还 包括： 对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件 的第二判定结果。 4.根据权利要求3所述的恶意软件检测方法， 其特征在于， 所述对所述待测应用软件的 底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果包括： 比较所述待测应用软件的底层数据流与预设安全软件的底层数据流之间的相似性； 基于所述相似性判断所述待测应用软件是否为恶意软件。 5.根据权利要求4所述的恶意软件检测方法， 其特征在于， 所述基于所述相似性判断所 述待测应用软件是否为恶意软件 包括： 响应于所述待测应用软件的底层数据流与 预设安全软件的底层数据流具有相似性， 则 所述待测应用软件为 安全软件； 响应于所述待测应用软件的底层数据流与 预设安全软件的底层数据流不具有相似性， 则所述待测应用软件为恶意软件。 6.根据权利要求3所述的恶意软件检测方法， 其特征在于， 所述对所述待测应用软件的 底层数据流进行分析判断所述待测应用软件是否为恶意软件的第二判定结果包括： 响应于所述第 一判定结果为恶意软件且所述第 二判定结果为恶意软件， 确定所述待测 应用软件为恶意软件。 7.一种恶意软件检测装置， 其特 征在于， 包括： 签名匹配模块， 用于基于多级签名匹配算法从预设签名库中对待测应用软件进行数字 签名匹配； 疑似软件确定模块， 用于在匹配成功时， 确定所述待测应用软件为疑似恶意软件； 恶意软件判定模块， 用于响应于所述待测应用软件为疑似恶意软件， 基于预设机器学 习模型得到所述待测应用软件的属 性特征对应的软件确定所述待测应用软件是否为恶意 软件的第一判定结果。 8.根据权利要求7所述的恶意软件检测装置， 其特征在于， 所述恶意软件判定模块， 还 用于： 对所述待测应用软件的底层数据流进行分析判断所述待测应用软件是否为恶意软件权　利　要　求　书 1/2 页 2 CN 114282216 A 2的第二判定结果。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求1至6中任一项 所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述程序被处理 器执行时实现如权利要求1至 6中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 114282216 A 3