(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114282215A(43)申请公布日2022.04.05(21)申请号202111559221.9(22)申请日2021.12.20(71)申请人平安普惠企业管理有限公司地址518000广东省深圳市前海深港合作区前湾一路1号A栋201室(72)发明人刘锴靖(74)专利代理机构深圳市沃德知识产权代理事务所(普通合伙)44347代理人高杰于志光(51)Int.Cl.G06F21/56(2013.01)G06K9/62(2022.01)权利要求书2页说明书13页附图2页(54)发明名称恶意软件检测方法、装置、设备及介质(57)摘要本发明涉及人工智能领域，揭露一种恶意软件检测方法，包括：从目标杀毒软件中抓取应用软件文本作为训练数据并进行数据清洗得到标准数据；对标准数据进行权限特征提取，将标准数据的权限特征集转化为权限特征向量集；利用预构建的恶意软件分类器对权限特征向量集进行分类，得到预设分类结果；判断权限特征向量集中每个权限特征对应的真实分类结果与预测分类结果是否一致；若不一致，调整分类器的参数；若一致，利用训练完成的恶意软件分类器对待识别应用软件进行分类，得到恶意检测结果。本发明还涉及一种区块链技术，恶意检测结果可存储在区块链节点中。本发明还提出一种恶意软件检测装置、设备以及介质。本发明可以提高恶意软件检测的准确率。CN114282215ACN114282215A权利要求书1/2页1.一种恶意软件检测方法，其特征在于，所述方法包括：利用网络爬虫脚本从目标杀毒软件中抓取应用软件文本作为训练数据，对所述训练数据进行数据清洗，得到标准数据；对所述标准数据进行权限特征提取，得到标准数据的权限特征集，将所述权限特征集转化为权限特征向量集；利用预构建的恶意软件分类器对所述权限特征向量集进行分类，得到所述权限特征向量集的预设分类结果；获取所述权限特征向量集中每个权限特征对应的真实分类结果，判断所述真实分类结果与所述预测分类结果是否一致；若所述真实分类结果与所述预测分类结果不一致，调整所述恶意软件分类器的参数，再次执行所述利用预构建的恶意软件分类器对所述权限特征向量集进行分类的操作；若所述真实分类结果与所述预测分类结果一致，得到训练完成的恶意软件分类器，利用所述训练完成的恶意软件分类器对待识别应用软件进行分类，得到所述待识别应用软件的恶意检测结果。2.如权利要求1所述的恶意软件检测方法，其特征在于，所述利用预构建的恶意软件分类器对所述权限特征向量集进行分类，得到所述权限特征向量集的预设分类结果，包括：计算所述权限特征向量集中每个权限特征向量的先验概率；根据所述先验概率确定所述每个权限特征向量的后验概率；根据所述先验概率和所述后验概率计算所述权限特征向量集的预测恶意概率。3.如权利要求1所述的恶意软件检测方法，其特征在于，所述对所述标准数据进行权限特征提取，得到标准数据的权限特征集，包括：利用预设分析工具监测所述标准数据运行时的动态行为，得到动态检测特征，基于所述动态检测特征产生动态检测日志；从所述动态检测日志中提取权限特征，得到多个初始权限特征；计算多个所述初始权限特征的信息增益值，选取所述信息增益值为正数的初始权限特征作为所述标准数据的权限特征集。4.如权利要求1所述的恶意软件检测方法，其特征在于，所述对所述训练数据进行数据清洗，得到标准数据，包括：删除所述训练数据中的异常数据，得到初始训练数据；检测所述初始训练数据是否存在数据缺失值；若所述初始训练数据不存在数据缺失值，则将所述初始训练数据作为标准数据；若所述初始训练数据存在数据缺失值，则将所述数据缺失值进行填充。5.如权利要求4所述的恶意软件检测方法，其特征在于，所述将所述数据缺失值进行填充，包括：获取待填充数据的缺失位置，在所述缺失位置填充预设的填充参数，并计算所述填充参数的缺失值概率；根据所述缺失位置、填充参数以及缺失值概率，生成所述待填充数据的数据缺失值。6.如权利要求1所述的恶意软件检测方法，其特征在于，所述将所述权限特征集转化为权限特征向量集，包括：2CN114282215A权利要求书2/2页利用预设构建的词向量转化模型对所述权限特征集进行向量化，得到所述权限特征向量集。7.如权利要求1所述的恶意软件检测方法，其特征在于，所述判断所述真实分类结果与所述预测分类结果是否一致，包括：计算真实分类结果和预测分类结果的关联度，通过比较所述关联度与预设关联度的大小判断所述真实分类结果与所述预测分类结果是否一致。8.一种恶意软件检测装置，其特征在于，所述装置包括：数据清洗模块，用于利用网络爬虫脚本从目标杀毒软件中抓取应用软件文本作为训练数据，对所述训练数据进行数据清洗，得到标准数据；权限特征向量集获取模块，用于对所述