(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110837638A(43)申请公布日2020.02.25(21)申请号201911087368.5G06N3/04(2006.01)(22)申请日2019.11.08G06N3/08(2006.01)(71)申请人鹏城实验室地址518055广东省深圳市南山区西丽街道留仙洞万科云城一期8栋申请人清华大学深圳国际研究生院(72)发明人张宾肖喜黄重庆张伟哲黄兴森武化龙阿伦·库玛·桑格亚(74)专利代理机构北京集佳知识产权代理有限公司11227代理人杨华(51)Int.Cl.G06F21/56(2013.01)G06K9/62(2006.01)权利要求书2页说明书11页附图4页(54)发明名称一种勒索软件的检测方法、装置、设备及存储介质(57)摘要本申请公开了一种勒索软件的检测方法、装置、设备及存储介质，以待检测软件的特征数据作为勒索软件分类模型的输入数据，并基于特征数据调整勒索软件分类模型中所包括的第一神经元网络，由此得到第二神经元网络。显然经过调整，第二神经元网络可以自适应地满足一定的量化误差约束，同时还能在不影响调整之前勒索软件分类模型分类结果的情况下，适应勒索软件分类模型没有学习过勒索软件新类型。所以本方法进一步触发勒索软件分类模型基于该第二神经元网络，输出勒索软件的分类。综上，本方法不仅可以识别已知类型的勒索软件的类型，也可以识别新类型的勒索软件的类型，并输出勒索软件的分类，由此提高了勒索软件分类的准确性。CN110837638ACN110837638A权利要求书1/2页1.一种勒索软件的检测方法，其特征在于，包括：提取特征数据；将所述特征数据输入预设的勒索软件分类模型，勒索软件分类模型包括第一神经元网络；基于所述特征数据，调整所述第一神经元网络，得到第二神经元网络；触发所述勒索软件分类模型基于所述第二神经元网络，输出勒索软件的分类。2.根据权利要求1所述的方法，其特征在于，所述基于所述特征数据，调整所述第一神经元网络，得到所述第二神经元网络，包括：对于特征数据中的任一维第一目标数据，生成新的神经元，所述新的神经元的权值为所述第一目标数据，所述第一目标数据为与所述第一神经元网络中的任意一个神经元的距离大于第一预设阈值的任意一维数据；将所述新的神经元加入所述第一神经元网络，得到所述第二神经元网络。3.根据权利要求2所述的方法，其特征在于，所述基于所述特征数据，调整所述第一神经元网络，得到所述第二神经元网络，还包括：在所述第二神经元网络中，连接第一目标神经元，并将连接所述第一目标神经元的边的年龄置为预设的初始值；所述第一目标神经元为所述第一神经元网络中，与所述第一目标数据最接近的两个神经元；在所述第二神经元网络中，将目标边的年龄增加一个单位数值，所述目标边为一端连接所述第一目标神经元，另一个连接非第一目标神经元的边；删除所述第二神经元网络中，年龄大于第二预设阈值的边。4.根据权利要求2所述的方法，其特征在于，所述基于所述特征数据，调整所述第一神经元网络，得到所述第二神经元网络，还包括：对于特征数据中的任一维第二目标数据，将第二目标神经元的权值增加第一数值，得到第二神经元网络；所述第二目标数据为所述特征数据中不是第一目标数据的任一维数据；所述第二目标神经元为所述第一神经元网络中，与所述第二目标数据最接近的两个神经元，所述第一数值与该神经元成为所述第一目标神经元或所述第二目标神经元的次数之和反相关。5.根据权利要求2所述的方法，其特征在于，任意一个神经元的所述第一预设阈值的确定方法包括：如果该神经元与其它神经元相连，则所述第一预设阈值依据预设的最大类内距离确定；如果该神经元与其它神经元不相连，则所述第一预设阈值依据预设的最小类间距离确定。6.根据权利要求1-5任一项所述的方法，其特征在于，所述提取特征数据，包括：提取加密API函数特征数据、API调用特征数据、注册表特征数据、文件和文件夹操作特征数据、内存特征数据、消息特征数据和流量特征数据。7.根据权利要求1-5任一项所述的方法，其特征在于，在所述将所述特征数据输入预设的勒索软件分类模型之前，还包括：将所述特征数据进行降维处理。2CN110837638A权利要求书2/2页8.根据权利要求1所述的方法，其特征在于，在所述基于所述特征数据，调整所述第一神经元网络，得到所述第二神经元网络之后，还包括：对所述第二神经元网络中的神经元进行聚类；去除噪声神经元，所述噪声神经元为不属于任意一个聚类的神经元。9.一种勒索软件的检测装置，其特征在于，包括：特征提取单元，用于提取特征数据；数据输入单元，用于将所述特征数据输入预设的勒索软件分类模型，勒索软件分类模型包括第一神经元网络；网络调整单元，用于基于所述特征数据，调整