(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113761528A(43)申请公布日2021.12.07(21)申请号202010791050.1(22)申请日2020.08.07(71)申请人北京沃东天骏信息技术有限公司地址100176北京市大兴区经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人王娟娟(74)专利代理机构北京英赛嘉华知识产权代理有限责任公司11204代理人王达佐马晓亚(51)Int.Cl.G06F21/56(2013.01)G06N3/04(2006.01)G06N3/08(2006.01)权利要求书2页说明书10页附图5页(54)发明名称恶意软件检测方法和装置(57)摘要本申请公开了恶意软件检测方法和装置，涉及软件检测领域。方法的一具体实施方式包括：获取待检测软件的操作码序列；基于预设的特征提取算法提取操作码序列中的预设数量个操作码，得到目标操作码序列；按照预设的编码规则对目标操作码序列中的每个操作码进行编号，得到目标操作码向量；将目标操作码向量输入预设的检测模型，得到待检测软件是否属于恶意软件的分类结果，有效避免了操作码序列中有价值特征信息的丢失，提高了恶意软件检测的准确性。CN113761528ACN113761528A权利要求书1/2页1.一种恶意软件检测方法，所述方法包括：获取待检测软件的操作码序列；基于预设的特征提取算法提取所述操作码序列中的预设数量个操作码，得到目标操作码序列；按照预设的编码规则对所述目标操作码序列中的每个操作码进行编号，得到目标操作码向量；将所述目标操作码向量输入预设的检测模型，得到所述待检测软件是否属于恶意软件的分类结果，其中，所述检测模型基于标注有所述分类结果的目标操作码向量样本训练得到。2.根据权利要求1所述的方法，其中，所述预设的特征提取算法包括：第一特征提取算法和第二特征提取算法，以及所述基于预设的特征提取算法提取所述操作码序列中的预设数量个操作码，得到目标操作码序列，包括：利用第一特征提取算法提取所述操作码序列中的第一预设数量个操作码；利用第二特征提取算法提取所述操作码序列中的第二预设数量个操作码；基于所述第一预设数量个操作码和所述第二预设数量个操作码，得到目标操作码序列。3.根据权利要求2所述的方法，其中，所述基于所述第一预设数量个操作码和所述第二预设数量个操作码，得到目标操作码序列，包括：将所述第一预设数量个操作码与所述第二预设数量个操作码进行组合，得到目标操作码序列。4.根据权利要求1所述的方法，所述按照预设的编码规则对所述目标操作码序列中的每个操作码进行编号，得到目标操作码向量，包括：统计所述目标操作码序列中每个操作码在预设的目标操作码序列样本集中出现的次数；按照预设的编码规则以及每个操作码的出现次数生成向量元素；根据所述向量元素生成目标操作码向量。5.根据权利要求1-4任一所述的方法，其中，所述检测模型基于基于自注意力机制的卷积神经网络实现。6.一种恶意软件检测装置，其特征在于，包括：获取模块，被配置成获取待检测软件的操作码序列；提取模块，被配置成基于预设的特征提取算法提取所述操作码序列中的预设数量个操作码，得到目标操作码序列；编码模块，被配置成按照预设的编码规则对所述目标操作码序列中的每个操作码进行编号，得到目标操作码向量；分类模块，被配置成将所述目标操作码向量输入预设的检测模型，得到所述待检测软件是否属于恶意软件的分类结果，其中，所述检测模型基于标注有所述分类结果的目标操作码向量样本训练得到。7.根据权利要求6所述的装置，其中，其中，所述预设的特征提取算法包括：第一特征提取算法和第二特征提取算法，以及所述提取模块进一步包括：2CN113761528A权利要求书2/2页第一提取单元，被配置成利用第一特征提取算法提取所述操作码序列中的第一预设数量个操作码；第二提取单元，被配置成利用第二特征提取算法提取所述操作码序列中的第二预设数量个操作码；获取序列单元，被配置成基于所述第一预设数量个操作码和所述第二预设数量个操作码，得到目标操作码序列。8.根据权利要求7所述的装置，其中，所述获取序列单元进一步被配置成：将所述第一预设数量个操作码与所述第二预设数量个操作码进行组合，得到目标操作码序列。9.根据权利要求6所述的装置，其中，所述编码模块进一步被配置成：统计所述目标操作码序列中每个操作码在预设的目标操作码序列样本集中出现的次数；按照预设的编码规则以及每个操作码的出现次数生成向量元素；根据所述向量元素生成目标操作码向量。10.根据权利要求6-9任一所述的装置，其中，所述检测模型基于基于自注意力机制的卷积神经网络实现。11.一种电子设备，其特征在于，包括：至少一个处理器；以及与所述至少一个