Processing

Please wait...

Settings

Settings

Goto Application

1. WO2020108357 - PROGRAM CLASSIFICATION MODEL TRAINING METHOD, PROGRAM CLASSIFICATION METHOD, AND DEVICE

Note: Text based on automatic Optical Character Recognition processes. Please use the PDF version for legal matters

[ ZH ]

权 利 要 求

1、一种程序分类模型的训练方法,其特征在于,所述方法包括:

接收输入的多个样本程序,所述样本程序是指所属的类别己被预先标定的程序,所述 多个样本程序属于至少两个不同类别;

从所述多个样本程序中选择出一个样本程序,执行以下处理从而得到选择出的样本程 序的至少一个备选融合特征的特征值,直到处理完所述多个样本程序中的每个样本程序为 止:

依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预 设动态特征集,获取选择出的样本程序的每个所述静态特征的特征值和每个所述动态特征 的特征值,所述静态特征反映所述选择出的样本程序的结构特点,所述动态特征反映所述 选择出的样本程序在运行过程中体现的行为;

根据所述选择出的样本程序的至少一个静态特征的特征值、至少一个动态特征的 特征值以及至少一个融合操作规则,获得所述选择出的样本程序的至少一个备选融合特征 的特征值,所述至少一个备选融合特征中的每个备选融合特征的特征值是基于对应的融合 操作规则得到的,所述融合操作规则指示对所述预设静态特征集中的指定静态特征的特征 值和所述预设动态特征集中的指定动态特征的特征值执行融合操作;

针对所述至少一个备选融合特征中的第一备选融合特征,执行以下处理,以此类 推,从而得到每个备选融合特征的评价值:根据所述第一备选融合特征在每个样本程序中 的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评价值,所述评价值的 大小体现所述第一备选融合特征用于区分样本程序所属类别的有效程度;

根据所述每个备选融合特征的评价值,从所述至少一个备选融合特征中选择目标融合 特征,所述目标融合特征的评价值体现的有效程度大于所述至少一个备选融合特征中的其 他备选融合特征的评价值体现的有效程度;

根据所述每个样本程序中所述目标融合特征的特征值,训练得到程序分类模型。

2、根据权利要求 1 所述的方法,其特征在于,所述根据所述第一备选融合特征在每 个样本程序中的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评价值包 括:

按照样本程序所属的类别,统计每个类别的样本程序中所述第一备选融合特征的特征 值,从而得到所述第一备选融合特征在各个类别的统计值;

根据所述第一备选融合特征在各个类别的统计值,确定所述第一备选融合特征的评价 值。

3、根据权利要求 2所述的方法,其特征在于,所述统计值包括以下其中一种或多种: 所述第一备选融合特征的特征值的中位数、均值和方差。

4、根据权利要求 1-3 任一项所述的方法,其特征在于,所述第一备选融合特征的特 征值是基于对应的第一融合操作规则得到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:

所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所 述预设动态特征集中的第一动态特征的特征值执行数学运算。

5、根据权利要求 1-3 任一项所述的方法,其特征在于,所述至少一个备选融合特征 包括第二备选融合特征,所述第二备选融合特征的特征值是基于对应的第二融合操作规则 得到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:

所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所 述预设动态特征集中的第二动态特征的特征值执行逻辑操作。

6、根据权利要求 1-3 任一项所述的方法,其特征在于,所述至少一个备选融合特征 包括第三备选融合特征,所述第三备选融合特征的特征值是基于对应的第三融合操作规则 得到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作,包括:

所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本 身相同、且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计 算所述第三备选融合特征的特征值。

7、根据权利要求 6 所述的方法,其特征在于,所述根据所述特征本身相同且特征值 相同的特征的总数目计算所述第三备选融合特征的特征值包括:

确定第一数值和第二数值中的最大值,所述第一数值为所述预设静态特征集中包含的 静态特征的总数目,所述第二数值为所述预设动态特征集中包含的动态特征的总数目; 计算所述特征本身相同且特征值相同的特征的总数目与所述最大值之间的比值,将所 述比值作为所述第三备选融合特征的特征值。

8、根据权利要求 1-7 任一项所述的方法,其特征在于,所述根据所述每个样本程序 中所述目标融合特征的特征值,训练得到程序分类模型包括:

根据所述每个样本程序中所述目标融合特征的特征值、所述每个样本程序的至少一个 静态特征的特征值以及所述每个样本程序的至少一个动态特征的特征值,训练得到程序分 类模型。

9、根据权利要求 1-8 任一项所述的方法,其特征在于,所述至少一个动态特征包括 所述样本程序的参数模型和 /或所述样本程序在运行过程中所调用的至少一个接口,所述 参数模型根据所述样本程序在运行过程中所使用的参数提取得到。

10、根据权利要求 9所述的方法,其特征在于,所述至少一个动态特征包括第三动态 特征;

所述选择出的样本程序的第三动态特征的特征值为所述第三动态特征的频率,所述第 三动态特征的频率为第三动态特征在选择出的样本程序中出现的次数与所述预设动态特 征集包括的动态特征的总数目之间的比值。

11、一种程序分类方法,其特征在于,所述方法包括:

获取目标程序;

依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预设动 态特征集,获取所述目标程序的每个所述静态特征的特征值和每个所述动态特征的特征 值;所述静态特征为体现所述目标程序的结构特点的特征,所述动态特征为所述目标程序 在运行过程中体现的行为特征;

获取所述目标程序的至少一个目标融合特征的特征值,所述目标程序的至少一个目标 融合特征的特征值是基于对应的融合操作规则得到的,所述融合操作规则指示对所述预设 静态特征集中指定静态特征的特征值和所述预设动态特征集中指定动态特征的特征值执 行融合操作;

将所述目标程序的至少一个目标融合特征的特征值输入程序分类模型,得到对所述目 标程序的分类结果。

12、根据权利要求 11 所述的方法,其特征在于,所述至少一个目标融合特征包括第 一目标融合特征,所述第一目标融合特征的特征值是基于对应的第一融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作,包括:

所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所 述预设动态特征集中的第一动态特征的特征值执行数学运算。

13、根据权利要求 11 所述的方法,其特征在于,所述至少一个目标融合特征包括第 二目标融合特征,所述第二目标融合特征的特征值是基于对应的第二融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作,包括:

所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所 述预设动态特征集中的第二动态特征的特征值执行逻辑操作。

14、根据权利要求 11 所述的方法,其特征在于,所述至少一个目标融合特征包括第 三目标融合特征,所述第三目标融合特征的特征值是基于对应的第三融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作,包括:

所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本 身相同且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计算 所述第三目标融合特征的特征值。

15、根据权利要求 14 所述的方法,其特征在于,所述根据所述特征本身相同且特征 值相同的特征的总数目计算所述第三目标融合特征的特征值,包括:

确定第一数值和第二数值中的最大值,所述第一数值为所述预设静态特征集中包含的 静态特征的总数目,所述第二数值为所述预设动态特征集中包含的动态特征的总数目; 计算所述特征本身相同且特征值相同的特征的总数目与所述最大值之间的比值,将所 述比值作为所述第三目标融合特征的特征值。

16、根据权利要求 11-15任一项所述的方法,其特征在于,所述目标程序的至少一个 动态特征的包括:参数模型和 /或预设接口。

17、根据权利要求 16 所述的方法,其特征在于,若所述目标程序的至少一个动态特 征包括参数模型和预设接口,则所述获取所述目标程序的动态特征的特征值包括:

获取所述目标程序在运行过程中所调用的预设接口以及所使用的参数;

根据所述所使用的参数提取所述参数的参数模型;

从所述目标程序的至少一个动态特征中选择出第三动态特征,将所述第三动态特 征的频率作为所述第三动态特征的特征值,以此类推,从而得到所述目标程序的所有动态 特征的特征值,所述第三动态特征的频率为所述第三动态特征在选择出的样本程序中出现 的次数与所有预设动态特征集包括的动态特征的总数目之间的比值。

18、根据权利要求 11-17任一项所述的方法,其特征在于,所述目标程序为多个, 所述方法还包括:

根据多个所述目标程序中每个所述目标程序的至少一个目标融合特征的特征值,对多 个所述目标程序进行聚类,得到每个所述目标程序的类别。

19、一种程序分类模型的训练装置,其特征在于,所述装置包括:

接收单元,用于接收输入的多个样本程序,所述样本程序是指所属的类别己被预先标 定的程序,所述多个样本程序属于至少两个不同类别;

第一处理单元,用于从所述多个样本程序中选择出一个样本程序,执行以下处理从而 得到选择出的样本程序的至少一个备选融合特征的特征值,直到处理完所述多个样本程序 中的每个样本程序为止:

依据包括至少一个静态特征的预设静态特征集、以及包括至少一个动态特征的预 设动态特征集,获取选择出的样本程序的每个所述静态特征的特征值和每个所述动态特征 的特征值,所述静态特征反映所述选择出的样本程序的结构特点,所述动态特征反映所述 选择出的样本程序在运行过程中体现的行为;

根据所述选择出的样本程序的至少一个静态特征的特征值、至少一个动态特征的 特征值以及至少一个融合操作规则,获得所述选择出的样本程序的至少一个备选融合特征 的特征值,所述至少一个备选融合特征中的每个备选融合特征的特征值是基于对应的融合 操作规则得到的,所述融合操作规则指示对所述预设静态特征集中的指定静态特征的特征 值和所述预设动态特征集中的指定动态特征的特征值执行融合操作;

第二处理单元,用于针对所述至少一个备选融合特征中的第一备选融合特征,执 行以下处理,以此类推,从而得到每个备选融合特征的评价值:根据所述第一备选融合特 征在每个样本程序中的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评 价值,所述评价值的大小体现所述第一备选融合特征用于区分样本程序所属类别的有效程 度;

选择单元,用于根据所述每个备选融合特征的评价值,从所述至少一个备选融合特征 中选择目标融合特征,所述目标融合特征的评价值体现的有效程度大于所述至少一个备选 融合特征中的其他备选融合特征的评价值体现的有效程度;

训练单元,用于根据所述每个样本程序中所述目标融合特征的特征值,训练得到程序 分类模型。

20、根据权利要求 19 所述的装置,其特征在于,所述根据所述第一备选融合特征在 每个样本程序中的特征值以及每个样本程序的类别,确定所述第一备选融合特征的评价值 包括:

按照样本程序所属的类别,统计每个类别的样本程序中所述第一备选融合特征的特征 值,从而得到所述第一备选融合特征在各个类别的统计值;根据所述第一备选融合特征在 各个类别的统计值,确定所述第一备选融合特征的评价值。

21、根据权利要求 19或 20所述的装置,其特征在于,所述第一备选融合特征的特征 值是基于对应的第一融合操作规则得到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作包括:

所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所 述预设动态特征集中的第一动态特征的特征值执行数学运算。

22、根据权利要求 19或 20所述的装置,其特征在于,所述至少一个备选融合特征包 括第二备选融合特征,所述第二备选融合特征的特征值是基于对应的第二融合操作规则得 到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作包括:

所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所 述预设动态特征集中的第二动态特征的特征值执行逻辑操作。

23、根据权利要求 19或 20所述的装置,其特征在于,所述至少一个备选融合特征包 括第三备选融合特征,所述第三备选融合特征的特征值是基于对应的第三融合操作规则得 到的;

所述每个融合操作规则指示对所述预设静态特征集中的指定静态特征的特征值和所 述预设动态特征集中的指定动态特征的特征值执行融合操作包括:

所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本 身相同、且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计 算所述第三备选融合特征的特征值。

24、一种程序分类装置,其特征在于,所述装置包括:

程序获取单元,用于获取目标程序;

第一特征值获取单元,用于依据包括至少一个静态特征的预设静态特征集、以及包括 至少一个动态特征的预设动态特征集,获取所述目标程序的每个所述静态特征的特征值和 每个所述动态特征的特征值;所述静态特征为体现所述目标程序的结构特点的特征,所述 动态特征为所述目标程序在运行过程中体现的行为特征;

第二特征值获取单元,用于获取所述目标程序的至少一个目标融合特征的特征值,所 述目标程序的至少一个目标融合特征的特征值是基于对应的融合操作规则得到的,所述融 合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设动态特征集 中指定动态特征的特征值执行融合操作;

分类单元,用于将所述目标程序的至少一个目标融合特征的特征值输入程序分类模 型,得到对所述目标程序的分类结果。

25、根据权利要求 24 所述的装置,其特征在于,所述至少一个目标融合特征包括第 一目标融合特征,所述第一目标融合特征的特征值是基于对应的第一融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作包括:

所述第一融合操作规则指示对所述预设静态特征集中的第一静态特征的特征值和所 述预设动态特征集中的第一动态特征的特征值执行数学运算。

26、根据权利要求 24 所述的装置,其特征在于,所述至少一个目标融合特征包括第 二目标融合特征,所述第二目标融合特征的特征值是基于对应的第二融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作包括:

所述第二融合操作规则指示对所述预设静态特征集中的第二静态特征的特征值和所 述预设动态特征集中的第二动态特征的特征值执行逻辑操作。

27、根据权利要求 24 所述的装置,其特征在于,所述至少一个目标融合特征包括第 三目标融合特征,所述第三目标融合特征的特征值是基于对应的第三融合操作规则得到 的;

所述融合操作规则指示对所述预设静态特征集中指定静态特征的特征值和所述预设 动态特征集中指定动态特征的特征值执行融合操作包括:

所述第三融合操作指示从所述预设静态特征集和所述预设动态特征集中确定特征本 身相同且特征值相同的特征,并根据所述特征本身相同且特征值相同的特征的总数目计算 所述第三目标融合特征的特征值。