电子信息技术

本发明的目的是提供一种基于恶意代码动态取证模型的恶意代码检测方法。将每个待测样本的动态行为特征向量输入至已训练好的恶意代码检测模型得到初检结果，所述初检结果表示初步检测所述待测样本对应的序列片段是否为恶意代码或正常代码，所述恶意代码检测模型的输入数据为代码序列的动态行为特征向量，输出数据为代码序列的初检结果。

1.提高恶意代码检测准确率：

该方法通过动态取证模型，能够实时捕捉恶意代码的行为特征，包括文件操作、进程创建、网络通信等，从而更准确地识别恶意代码。这种准确性的提高对于网络安全防护至关重要，能够有效减少误报和漏报，提升系统的整体安全性。

2.增强对新型恶意代码的应对能力：

随着恶意代码技术的不断发展，新型恶意代码层出不穷。传统基于特征码的检测方法往往难以应对这些新型恶意代码。而基于动态取证模型的检测方法能够分析恶意代码的行为模式，不受特征码限制，因此具有更强的应对新型恶意代码的能力。

3.提升网络安全应急响应速度：

在网络安全事件中，快速响应和及时处置至关重要。基于动态取证模型的恶意代码检测方法能够在发现恶意代码后迅速生成取证报告，为网络安全应急响应提供有力支持。这有助于缩短响应时间，减少损失。

促进网络安全防御体系的完善：

该方法的应用将推动网络安全防御体系向更加智能化、自动化的方向发展。通过结合静态分析和动态取证技术，可以构建更加全面、高效的网络安全防御体系，提升整个网络的安全防护水平。

4.拓展至其他安全领域：

除了恶意代码检测外，基于动态取证模型的技术还可以拓展至其他安全领域，如入侵检测、网络取证等。这些领域同样需要实时捕捉和分析网络行为，以应对日益复杂的网络安全威胁。因此，该方法的应用前景不仅限于恶意代码检测，还具有更广泛的安全应用潜力。

1.通过恶意代码检测模型实现了对代码序列的初检，即恶意代码和非恶意代码的初步鉴别，再利用聚类分簇的手段，将初检出恶意代码的未知序列进行聚类，利用同一簇类下待测样本对应的恶意代码分类应当一致的机理进一步鉴别是否为恶意代码，通过双重鉴别大幅度提高了恶意代码的检测精度，从恶意代码本身的特征出发利用了恶意代码检测模型实现了第一重检测，再利用分类特性实现了第二重检测，另一方面，本发明第一阶段中恶意代码检测模型是针对未知、全新恶意代码也是适用的，这相较于传统的静态恶意代码的检测更符合网络安全性的需求；

2.通过病毒模型动态训练，保证模型的动态更新性，模型一直在进化，可以抵御已有病毒，对未知病毒可以进行回滚，保证系统安全，并对未知病毒重新训练到模型里面，从而保证模型的动态检测能力，也能保证对新型病毒的安全免疫。