(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113961919A(43)申请公布日2022.01.21(21)申请号202011542065.0(22)申请日2020.12.23(71)申请人网神信息技术（北京）股份有限公司地址100097北京市海淀区昆明湖南路51号D座二层202、203、205、206、207、208号申请人奇安信科技集团股份有限公司(72)发明人赵毅强王志刚刘恒白子潘齐向东吴云坤(74)专利代理机构中科专利商标代理有限责任公司11021代理人赵婷(51)Int.Cl.G06F21/56(2013.01)G06K9/62(2022.01)权利要求书2页说明书11页附图7页(54)发明名称恶意软件检测方法和装置(57)摘要本公开提供了一种恶意软件检测方法，包括：获取待检测软件的可执行文件；对所述可执行文件进行基于构建手段特征的文件类型识别，以确定所述可执行文件所属的目标文件类型；利用针对所述目标文件类型的预设恶意软件检测模型，识别所述待检测软件是否为恶意软件。本公开还提供了一种恶意软件检测装置、一种电子设备以及一种计算机可读存储介质。CN113961919ACN113961919A权利要求书1/2页1.一种恶意软件检测方法，包括：获取待检测软件的可执行文件；对所述可执行文件进行基于构建手段特征的文件类型识别，以确定所述可执行文件所属的目标文件类型；利用针对所述目标文件类型的预设恶意软件检测模型，识别所述待检测软件是否为恶意软件。2.根据权利要求1所述的方法，其中，所述对所述可执行文件进行基于构建手段特征的文件类型识别，以确定所述可执行文件所属的目标文件类型，包括：对所述可执行文件进行基于固定位置的特征识别处理，得到用于指示所述构建手段特征的第一识别结果；基于所述第一识别结果，确定所述目标文件类型。3.根据权利要求2所述的方法，其中，所述对所述可执行文件进行基于固定位置的特征识别处理，得到用于指示所述构建手段特征的第一识别结果，包括：解析所述可执行文件的文件头以实现定位预设固定字段；利用与自解压类型关联的预设识别库中针对所述固定字段的特征序列，进行针对所述可执行文件的特征匹配操作，得到所述第一识别结果，其中，所述第一识别结果指示所述可执行文件的自解压类型；所述基于所述第一识别结果，确定所述目标文件类型，包括：将所述第一识别结果指示的所述自解压类型，作为所述目标文件类型。4.根据权利要求2所述的方法，其中，所述对所述可执行文件进行基于固定位置的特征识别处理，得到用于指示所述构建手段特征的第一识别结果，包括：解析所述可执行文件的文件头以实现定位文件入口点；利用与加壳类型关联的预设识别库中针对所述文件入口点的特征序列，进行针对所述可执行文件的特征匹配操作，得到所述第一识别结果，其中，所述第一识别结果指示所述可执行文件的加壳类型；所述基于所述第一识别结果，确定所述目标文件类型，包括：将所述第一识别结果指示的所述加壳类型，作为所述目标文件类型。5.根据权利要求1所述的方法，其中，所述对所述可执行文件进行基于构建手段特征的文件类型识别，以确定所述可执行文件所属的目标文件类型，包括：对所述可执行文件进行基于固定特征的识别处理，得到用于指示所述构建手段特征的第二识别结果；基于所述第二识别结果，确定所述目标文件类型。6.根据权利要求5所述的方法，其中，所述对所述可执行文件进行基于固定特征的识别处理，得到用于指示所述构建手段特征的第二识别结果，包括：利用与编译器类型关联的预设固定特征，进行针对所述可执行文件的特征匹配操作，得到第二识别结果，其中，所述第二识别结果指示所述可执行文件的编译器类型；所述基于所述第二识别结果，确定所述目标文件类型，包括：将所述第二识别结果指示的所述编译器类型，作为所述目标文件类型。7.根据权利要求1至6中任一项所述的方法，其中，所述恶意软件检测模型的训练方法，2CN113961919A权利要求书2/2页包括：获取具有安全性标识的多个可执行样本文件，其中，各所述可执行样本文件的安全性标识为恶意标识或良性标识；对各所述可执行样本文件进行基于构建手段特征的文件类型划分，以确定所述多个可执行样本文件所属的至少一个文件类型；基于确定出的所述至少一个文件类型，利用与各所述文件类型关联的可执行样本文件进行模型训练，得到与各所述文件类型关联的恶意软件检测模型。8.一种恶意软件检测装置，包括：获取模块，用于获取待检测软件的可执行文件；第一处理模块，用于对所述可执行文件进行基于构建手段特征的文件类型识别，以确定所述可执行文件所属的目标文件类型；第二处理模块，用于利用针对所述目标文件类型的预设恶意软件检测模型，识别所述待检测软件是否为恶意软件。9.一种电子设备，包括：一个或多个处理器，以及存储