(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211278554.9 (22)申请日 2022.10.19 (71)申请人 中国农业银行股份有限公司 地址 100005 北京市东城区建国门内大街 69号 (72)发明人 姚成　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 刘翠香 (51)Int.Cl. G06F 21/56(2013.01) G06K 9/62(2022.01) (54)发明名称 一种恶意软件检测模型的构建方法及装置 (57)摘要 本发明实施例公开了一种恶意软件检测模 型的构建方法及装置， 方法包括： 获得包含恶意 软件和安全 软件的样本数据； 通过软件逆向工程 对所述样 本数据进行处理， 提取出所述样本数据 中的API特征； 基于Apriori算法和Fp ‑growth算 法处理得到所述API特征的有用频繁集； 对所述 有用频繁集进行权重处理； 基于权重处理后的有 用频繁集构建能够识别恶意软件的第一分类器。 上述内容提出了一种结合了多种算法的恶意软 件检测模型的构建方案， 其在检测精确度和检测 效率上均有 优于其他检测模型的特点。 权利要求书2页 说明书8页 附图7页 CN 115438344 A 2022.12.06 CN 115438344 A 1.一种恶意软件检测模型的构建方法， 其特 征在于， 包括： 获得包含恶意软件和安全软件的样本数据； 通过软件逆向工程对所述样本数据进行处 理， 提取出所述样本数据中的API特 征； 基于Apri ori算法和Fp ‑growth算法处 理得到所述API特 征的有用频繁集； 对所述有用频繁集进行权 重处理； 基于权重处理后的有用频繁集构建能够识别恶意软件的第一分类 器。 2.根据权利要求1所述的恶意软件检测模型的构建方法， 其特征在于， 在所述基于权重 处理后的有用频繁构建能够识别恶意软件的第一分类 器， 包括： 对所述第一分类 器进行参数循环调优， 得到检测准确率 最高的模型参数。 3.根据权利要求1所述的恶意软件检测模型的构建方法， 其特征在于， 所述基于 Apriori算法和Fp ‑growth算法处 理得到所述API特 征的有用频繁集， 包括： 基于Apri ori算法和Fp ‑growth算法处 理得到所述API特 征的初始频繁集； 过滤掉所述初始频繁集中的无用频繁集， 得到有用频繁集， 其中， 所述无用频繁集表征 安全软件样本数据的频繁集和恶意软件样本数据的频繁集中相同的频繁集。 4.根据权利要求1所述的恶意软件检测模型的构建方法， 其特征在于， 所述对所述有用 频繁集进行权 重处理， 包括： 基于所述有用频繁集中每一个频繁集出现的次数对所有的有用频繁集进行升序排列， 其中， 出现的次数越多， 对应的有用频繁集的权 重越高。 5.根据权利要求1所述的恶意软件检测模型的构建方法， 其特征在于， 所述基于权重处 理后的有用频繁集构建能够识别恶意软件的第一分类 器， 包括： 配置基于设定阈值和计算数值的比较结果输出分类结果的第一分类器， 其中， 所述计 算输出为有用频繁集的权重和支持度相乘的结果， 其中的支持度与API特征 的的出现频率 有关。 6.根据权利要求1所述的恶意软件检测模型的构建方法， 其特 征在于， 还 包括： 通过软件逆向工程对所述样本数据进行处 理， 提取出所述样本数据中的权限特 征； 基于所述权限特征构建第二分类器， 所述第二分类器包括朴素贝叶斯分类器和K最近 邻分类器。 7.根据权利要求6所述的恶意软件检测模型的构建方法， 其特征在于， 所述基于所述权 限特征构建第二分类 器， 包括： 采用Weka工具对权限信息进行增益 排序， 去除冗余特 征； 采用Apri ori算法获得 所述权限信息的频繁集； 基于所述频繁集分别构建朴素贝叶斯分类 器和K最近邻分类 器。 8.根据权利要求6所述的恶意软件检测模型的构建方法， 其特 征在于， 还 包括： 获得待测样本； 将所述待测样本分别 输入所述第 一分类器和所述第 二分类器， 获得对应的第 一分类结 果和第二分类结果； 基于所述第一分类结果和所述第二分类结果确定最终的分类结果。 9.根据权利要求1所述的意软件检测模型的构建方法， 其特征在于， 所述通过软件逆向 工程对所述样本数据进行处 理， 提取出所述样本数据中的API特 征， 包括：权　利　要　求　书 1/2 页 2 CN 115438344 A 2采用反编译工具编写代码实现从所述样本数据中提取 出API特征。 10.一种恶意软件检测模型的构建装置， 其特 征在于， 包括： 样本获得模块， 用于获得包 含恶意软件和安全软件的样本数据； 特征提取模块， 用于通过软件逆向工程对所述样本数据进行处理， 提取出所述样本数 据中的API特 征； 频繁集获得模块， 用于基于Apriori算法和 Fp‑growth算法处理得到所述API特征的有 用频繁集； 权重处理模块， 用于对所述有用频繁集进行权 重处理； 分类器构建模块， 用于基于权重处理后的有用频繁集构建能够识别恶意软件的第 一分 类器。权　利　要　求　书 2/2 页 3 CN 115438344 A 3