(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115935353A(43)申请公布日2023.04.07(21)申请号202211666495.2(22)申请日2022.12.23(71)申请人北京安天网络安全技术有限公司地址100195北京市海淀区玉泉山闵庄路3号清华科技园玉泉慧谷1号楼地上一层西侧、二层（地上两侧）(72)发明人靳山孙博轩李林哲关墨辰(74)专利代理机构北京锺维联合知识产权代理有限公司11579专利代理师安娜(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书11页附图1页(54)发明名称目标恶意软件的检测方法、装置、存储介质及电子设备(57)摘要本发明涉及数据处理领域，特别是涉及一种目标恶意软件的检测方法、装置、存储介质及电子设备。该方法包括：获取目标操作系统中的每一系统调用接口对应的内核支持函数的内存地址；根据目标处理器架构类型、系统调用接口的数量和若干内存地址，在第一类别标识和第二类别标识中确定出目标类别标识，并在若干系统调用接口对应的系统调用接口标识和预设标识中确定出目标标识；目标处理器架构类型为目标操作系统对应的处理器架构的类型；第一类别标识用于表示目标操作系统已被目标恶意软件攻击，第二类别标识用于表示目标操作系统未被目标恶意软件攻击；目标标识为系统调用接口标识或预设标识。由此，可以提高对目标恶意软件进行检测的检测结果准确度。CN115935353ACN115935353A权利要求书1/2页1.一种目标恶意软件的检测方法，其特征在于，所述方法包括：获取目标操作系统中的每一系统调用接口对应的内核支持函数的内存地址；根据目标处理器架构类型、所述系统调用接口的数量和若干所述内存地址，在第一类别标识和第二类别标识中确定出目标类别标识，并在若干所述系统调用接口对应的系统调用接口标识和预设标识中确定出目标标识；所述目标处理器架构类型为所述目标操作系统对应的处理器架构的类型；所述第一类别标识用于表示所述目标操作系统已被目标恶意软件攻击，所述第二类别标识用于表示所述目标操作系统未被所述目标恶意软件攻击；若所述目标类别标识为所述第一类别标识，则所述目标标识为已被所述目标恶意软件攻击的系统调用接口的系统调用接口标识，若所述目标类别标识为所述第二类别标识，则所述目标标识为所述预设标识，所述预设标识用于表示每一所述系统调用接口均未被所述目标恶意软件攻击。2.根据权利要求1所述的方法，其特征在于，所述根据目标处理器架构类型、所述系统调用接口的数量和若干所述内存地址，在第一类别标识和第二类别标识中确定出目标类别标识，并在若干所述系统调用接口对应的系统调用接口标识和预设标识中确定出目标标识，包括：获取训练完成的分类模型；将所述目标处理器架构类型、所述系统调用接口的数量和若干所述内存地址输入至所述训练完成的分类模型中；获取所述训练完成的分类模型输出的所述目标类别标识和所述目标标识。3.根据权利要求2所述的方法，其特征在于，所述将所述目标处理器架构类型、所述系统调用接口的数量和若干所述内存地址输入至所述训练完成的分类模型中，包括：若所述内存地址的数量大于预设数量，则将若干所述内存地址中的至少部分内存地址删除，得到预设数量的处理后内存地址；根据所述目标处理器架构类型、所述系统调用接口的数量和预设数量的处理后内存地址得到输入向量；将所述输入向量输入至所述训练完成的分类模型中。4.根据权利要求3所述的方法，其特征在于，在所述根据所述目标处理器架构类型、所述系统调用接口的数量和预设数量的处理后内存地址得到输入向量之前，所述将所述目标处理器架构类型、所述系统调用接口的数量和若干所述内存地址输入至所述训练完成的分类模型中，还包括：若所述内存地址的数量小于预设数量，则将若干所述内存地址和至少一个为0的预设内存地址均作为处理后内存地址，以得到预设数量的处理后内存地址。5.根据权利要求1所述的方法，其特征在于，所述已被所述目标恶意软件攻击的系统调用接口为对应的可执行文件已被所述目标恶意软件篡改的系统调用接口；所述系统调用接口对应的可执行文件存储于所述目标操作系统所在的电子设备的存储内存中，所述系统调用接口对应的内核支持函数为将所述系统调用接口对应的可执行文件加载至所述电子设备的运行内存中得到的。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：若所述目标类别标识为所述第一类别标识，则确定所述目标标识对应的篡改后的可执2CN115935353A权利要求书2/2页行文件是否已被隐藏；若所述目标标识对应的篡改后的可执行文件未被隐藏，则展示所述目标标识对应的内核支持函数的内存地址和/或所述目标标识，以及所述目标标识对应的篡改后的可执行文件的名称、基地址、偏移地址、文件内容数据的数据长度和/或文件路径。7.