所屬的技術(shù)人員能夠理解，惡意軟件檢測(cè)方法各個(gè)方面可以實(shí)現(xiàn)為系統(tǒng)、方法或程序產(chǎn)品。因此，本公開(kāi)的各個(gè)方面可以具體實(shí)現(xiàn)為以下形式，即：完全的硬件實(shí)施方式、完全的軟件實(shí)施方式(包括固件、微代碼等)，或硬件和軟件方面結(jié)合的實(shí)施方式，這里可以統(tǒng)稱(chēng)為“電路”、“模塊”或“系統(tǒng)”。盡管通過(guò)參考附圖并結(jié)合優(yōu)選實(shí)施例的方式對(duì)本發(fā)明進(jìn)行了詳細(xì)描述，但本發(fā)明并不限于此。在不脫離本發(fā)明的精神和實(shí)質(zhì)的前提下，本領(lǐng)域普通技術(shù)人員可以對(duì)本發(fā)明的實(shí)施例進(jìn)行各種等效的修改或替換，而這些修改或替換都應(yīng)在本發(fā)明的涵蓋范圍內(nèi)/任何熟悉本的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。

背景技術(shù)：

1、網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)不受未經(jīng)授權(quán)的訪問(wèn)、破壞或篡改的技術(shù)、方法和過(guò)程。惡意軟件是指那些被設(shè)計(jì)用來(lái)在計(jì)算機(jī)系統(tǒng)中對(duì)用戶、系統(tǒng)或網(wǎng)絡(luò)造成破壞、竊取信息或進(jìn)行其他不法行為的軟件。在當(dāng)今互聯(lián)網(wǎng)環(huán)境下，惡意軟件（如病毒、木馬、勒索軟件等）的威脅日益嚴(yán)峻，對(duì)個(gè)人隱私、企業(yè)數(shù)據(jù)安全乃至國(guó)家安全構(gòu)成了重大挑戰(zhàn)。為了有效應(yīng)對(duì)這些威脅，惡意軟件檢測(cè)技術(shù)應(yīng)運(yùn)而生。

2、傳統(tǒng)的惡意軟件檢測(cè)方法，如基于簽名的檢測(cè)和啟發(fā)式檢測(cè)，雖在一定程度上有效，但面臨著簽名庫(kù)更新滯后、難以檢測(cè)未知惡意軟件等局限性。

3、近年來(lái)，機(jī)器學(xué)習(xí)技術(shù)在各個(gè)領(lǐng)域展現(xiàn)出強(qiáng)大的應(yīng)用潛力，特別是在安全領(lǐng)域，基于機(jī)器學(xué)習(xí)的惡意軟件檢測(cè)方法逐漸成為研究熱點(diǎn)。這類(lèi)方法通過(guò)自動(dòng)學(xué)習(xí)惡意軟件的行為模式、代碼特征等，能夠有效識(shí)別已知及未知的惡意軟件變種，顯著提升檢測(cè)的準(zhǔn)確性和時(shí)效性。然而，相關(guān)的基于機(jī)器學(xué)習(xí)的惡意軟件檢測(cè)方法在特征提取、模型選擇及訓(xùn)練等方面仍存在諸多不足，如模型泛化能力有限、訓(xùn)練過(guò)程復(fù)雜等，這些問(wèn)題限制了其在實(shí)際應(yīng)用中的效果。

技術(shù)實(shí)現(xiàn)思路

1、針對(duì)現(xiàn)有的惡意軟件檢測(cè)方法存在的問(wèn)題，本發(fā)明提供一種惡意軟件檢測(cè)方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

2、第一方面，本發(fā)明技術(shù)方案提供一種惡意軟件檢測(cè)方法，包括如下步驟：

3、利用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)收集惡意軟件樣本數(shù)據(jù)；

4、提取每個(gè)惡意軟件樣本的靜態(tài)特征生成數(shù)據(jù)集，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集；

5、對(duì)于訓(xùn)練集中的每個(gè)樣本，使用特征向量和預(yù)設(shè)模型參數(shù)通過(guò)sigmoid函數(shù)模型計(jì)算條件概率進(jìn)行模型訓(xùn)練，并通過(guò)最小化損失函數(shù)來(lái)優(yōu)化模型參數(shù)，得到訓(xùn)練后的模型；

6、通過(guò)測(cè)試集中樣本的特征向量對(duì)訓(xùn)練后的模型進(jìn)行評(píng)估并根據(jù)評(píng)估結(jié)果進(jìn)行模型參數(shù)的調(diào)優(yōu)得到惡意軟件檢測(cè)模型；

7、使用惡意軟件檢測(cè)模型預(yù)測(cè)軟件是惡意軟件的概率。

8、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，提取每個(gè)惡意軟件樣本的靜態(tài)特征生成數(shù)據(jù)集，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集的步驟之前包括：

9、對(duì)收集到的數(shù)據(jù)進(jìn)行清洗和去重處理。

10、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，提取每個(gè)惡意軟件樣本的靜態(tài)特征生成數(shù)據(jù)集，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集的步驟包括：

11、提取每個(gè)惡意軟件樣本的靜態(tài)特征；

12、對(duì)靜態(tài)特征對(duì)應(yīng)的靜態(tài)惡意樣本進(jìn)行標(biāo)注；

13、將標(biāo)注后的數(shù)據(jù)集進(jìn)行劃分，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集，數(shù)據(jù)集中每個(gè)樣本都設(shè)置有一個(gè)標(biāo)簽。

14、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，提取每個(gè)惡意軟件樣本的靜態(tài)特征生成數(shù)據(jù)集，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集的步驟之后包括：

15、將清洗、去重和特征提取后的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)或文件系統(tǒng)。

16、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，對(duì)靜態(tài)特征對(duì)應(yīng)的靜態(tài)惡意樣本進(jìn)行標(biāo)注的步驟中，靜態(tài)特征包括文件哈希值、文件大小、文件類(lèi)型；

17、標(biāo)注內(nèi)容包括惡意類(lèi)型、威脅等級(jí)、家族信息。

18、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，對(duì)于訓(xùn)練集中的每個(gè)樣本，使用特征向量和預(yù)設(shè)模型參數(shù)通過(guò)sigmoid函數(shù)模型計(jì)算條件概率進(jìn)行模型訓(xùn)練，并通過(guò)最小化損失函數(shù)來(lái)優(yōu)化模型參數(shù)得到訓(xùn)練后的模型的步驟包括：

19、對(duì)于訓(xùn)練集中的每個(gè)樣本將特征向量和預(yù)設(shè)的模型參數(shù)的點(diǎn)積作為sigmoid函數(shù)模型的輸入，得到概率值；

20、對(duì)于訓(xùn)練集中的每個(gè)樣本，使用其標(biāo)簽和特征向量來(lái)計(jì)算損失函數(shù)的值；通過(guò)優(yōu)化算法最小化損失函數(shù)來(lái)更新模型參數(shù)得到訓(xùn)練后的模型。

21、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，通過(guò)優(yōu)化算法最小化損失函數(shù)來(lái)更新模型參數(shù)得到訓(xùn)練后的模型的步驟包括：

22、對(duì)于每個(gè)模型參數(shù)，計(jì)算其在損失函數(shù)上的梯度，并使用學(xué)習(xí)率和所有訓(xùn)練樣本的梯度平均值來(lái)更新該模型參數(shù)，達(dá)到設(shè)定的訓(xùn)練次數(shù)后得到訓(xùn)練后的模型。

23、第二方面，本發(fā)明技術(shù)方案還提供一種惡意軟件檢測(cè)裝置，包括樣本數(shù)據(jù)收集模塊、數(shù)據(jù)集生成模塊、模型訓(xùn)練模塊、模型評(píng)估模塊和檢測(cè)模塊；

24、樣本數(shù)據(jù)收集模塊，用于利用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)收集惡意軟件樣本數(shù)據(jù)；

25、數(shù)據(jù)集生成模塊，用于提取每個(gè)惡意軟件樣本的靜態(tài)特征生成數(shù)據(jù)集，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集；

26、模型訓(xùn)練模塊，用于對(duì)于訓(xùn)練集中的每個(gè)樣本，使用特征向量和預(yù)設(shè)模型參數(shù)通過(guò)sigmoid函數(shù)模型計(jì)算條件概率進(jìn)行模型訓(xùn)練，并通過(guò)最小化損失函數(shù)來(lái)優(yōu)化模型參數(shù)，得到訓(xùn)練后的模型；

27、模型評(píng)估模塊，用于通過(guò)測(cè)試集中樣本的特征向量對(duì)訓(xùn)練后的模型進(jìn)行評(píng)估并根據(jù)評(píng)估結(jié)果進(jìn)行模型參數(shù)的調(diào)優(yōu)得到惡意軟件檢測(cè)模型；

28、檢測(cè)模塊，用于使用惡意軟件檢測(cè)模型預(yù)測(cè)軟件是惡意軟件的概率。

29、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，該裝置還包括數(shù)據(jù)預(yù)處理模塊，對(duì)收集到的數(shù)據(jù)進(jìn)行清洗和去重處理。

30、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，數(shù)據(jù)集生成模塊包括特征提取單元、標(biāo)注單元和數(shù)據(jù)集劃分單元；

31、特征提取單元，用于提取每個(gè)惡意軟件樣本的靜態(tài)特征；

32、標(biāo)注單元，用于對(duì)靜態(tài)特征對(duì)應(yīng)的靜態(tài)惡意樣本進(jìn)行標(biāo)注；

33、數(shù)據(jù)集劃分單元，用于將標(biāo)注后的數(shù)據(jù)集進(jìn)行劃分，并將數(shù)據(jù)集劃分成訓(xùn)練集和測(cè)試集，數(shù)據(jù)集中每個(gè)樣本都設(shè)置有一個(gè)標(biāo)簽。

34、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，該裝置還包括存儲(chǔ)模塊，將清洗、去重和特征提取后的數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)或文件系統(tǒng)。

35、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，靜態(tài)特征包括文件哈希值、文件大小、文件類(lèi)型；

36、標(biāo)注內(nèi)容包括惡意類(lèi)型、威脅等級(jí)、家族信息。

37、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，模型訓(xùn)練模塊包括概率值計(jì)算單元、損失函數(shù)計(jì)算單元和參數(shù)優(yōu)化單元；

38、概率值計(jì)算單元，用于對(duì)于訓(xùn)練集中的每個(gè)樣本將特征向量和預(yù)設(shè)的模型參數(shù)的點(diǎn)積作為sigmoid函數(shù)模型的輸入，得到概率值；

39、損失函數(shù)計(jì)算單元，用于對(duì)于訓(xùn)練集中的每個(gè)樣本，使用其標(biāo)簽和特征向量來(lái)計(jì)算損失函數(shù)的值；

40、參數(shù)優(yōu)化單元，用于通過(guò)優(yōu)化算法最小化損失函數(shù)來(lái)更新模型參數(shù)得到訓(xùn)練后的模型。

41、作為本發(fā)明技術(shù)方案的進(jìn)一步限定，參數(shù)優(yōu)化單元，具體用于對(duì)于每個(gè)模型參數(shù)，計(jì)算其在損失函數(shù)上的梯度，并使用學(xué)習(xí)率和所有訓(xùn)練樣本的梯度平均值來(lái)更新該模型參數(shù)，達(dá)到設(shè)定的訓(xùn)練次數(shù)后得到訓(xùn)練后的模型。

42、第三方面，本發(fā)明技術(shù)方案還提供一種電子設(shè)備，所述電子設(shè)備包括：至少一個(gè)處理器；以及與所述至少一個(gè)處理器通信連接的存儲(chǔ)器；存儲(chǔ)器存儲(chǔ)有可被至少一個(gè)處理器執(zhí)行的計(jì)算機(jī)程序指令，所述計(jì)算機(jī)程序指令被所述至少一個(gè)處理器執(zhí)行，以使所述至少一個(gè)處理器能夠執(zhí)行如第一方面所述的惡意軟件檢測(cè)方法。

43、第四方面，本發(fā)明技術(shù)方案還提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)計(jì)算機(jī)指令，所述計(jì)算機(jī)指令使所述計(jì)算機(jī)執(zhí)行如第一方面所述的惡意軟件檢測(cè)方法。

44、從以上技術(shù)方案可以看出，本發(fā)明具有以下優(yōu)點(diǎn)：采用網(wǎng)絡(luò)爬蟲(chóng)技術(shù)廣泛收集惡意軟件樣本數(shù)據(jù)，并提取每個(gè)樣本的靜態(tài)特征，確保數(shù)據(jù)集的多樣性和代表性。這種全面的特征提取方法能夠更準(zhǔn)確地刻畫(huà)惡意軟件的行為模式，為后續(xù)的模型訓(xùn)練打下堅(jiān)實(shí)基礎(chǔ)。直接利用特征向量和預(yù)設(shè)模型參數(shù)，通過(guò)sigmoid函數(shù)模型計(jì)算條件概率進(jìn)行模型訓(xùn)練。sigmoid函數(shù)因其簡(jiǎn)單高效、易于實(shí)現(xiàn)的特點(diǎn)，能夠快速收斂到最優(yōu)解，提高模型訓(xùn)練的效率。同時(shí)，通過(guò)最小化損失函數(shù)來(lái)優(yōu)化模型參數(shù)，確保訓(xùn)練后的模型具有優(yōu)異的分類(lèi)性能。采用測(cè)試集中的樣本對(duì)訓(xùn)練后的模型進(jìn)行評(píng)估，并根據(jù)評(píng)估結(jié)果對(duì)模型參數(shù)進(jìn)行調(diào)優(yōu)，以獲得最優(yōu)的惡意軟件檢測(cè)模型。這種靈活的評(píng)估與調(diào)優(yōu)機(jī)制能夠確保模型在實(shí)際應(yīng)用中的準(zhǔn)確性和穩(wěn)定性。訓(xùn)練完成的惡意軟件檢測(cè)模型能夠快速準(zhǔn)確地預(yù)測(cè)軟件為惡意軟件的概率，有效應(yīng)對(duì)各種已知及未知的惡意軟件威脅。該方法不僅提高了檢測(cè)的準(zhǔn)確性，還降低了誤報(bào)率和漏報(bào)率，為用戶提供了更加可靠的安全保障。

45、此外，本發(fā)明設(shè)計(jì)原理可靠，結(jié)構(gòu)簡(jiǎn)單，具有非常廣泛的應(yīng)用前景。