一种恶意程序检测模型的更新方法、装置、设备及介质与流程

1.本发明实施例涉及网络安全技术领域，尤其涉及一种恶意程序检测模型的更新方法、装置、设备及介质。


背景技术：

2.恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别：需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段；后者是可以被操作系统调度和运行的自包含程序。
3.当前的恶意程序分析方式主要是依赖静态、动态沙箱提取已有样本的代码和行为特征，动态沙箱为其提供长时间的动态运行环境，以便于监测程序的动态行为。
4.发明人在发明过程中，发现现有技术存在的缺陷为：第一，无法识别未知的恶意样本，现有的技术手段能够检测特征库中已收录的恶意样本，无法识别升级换代快、特征变化大的未知的恶意样本；第二，样本规则有效性缺乏论证，当前主要通过静态、动态沙箱提取样本的代码和行为特征，依据人工经验确定识别规则，规则的有效性缺乏论证。


技术实现要素：

5.本发明实施例提供了一种恶意程序检测模型的更新方法、装置、设备及介质，以实现对未知恶意程序的识别，优化了恶意程序检测模型。
6.第一方面，本发明实施例提供了一种恶意程序检测模型的更新方法，其中，包括：
7.提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；
8.如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；
9.在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
10.第二方面，本发明实施例还提供了一种恶意程序检测模型的更新装置，该恶意程序检测模型的更新装置包括：
11.恶意程序特征提取模块，用于提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；
12.恶意程序检测模型学习模块，用于如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；
13.恶意程序特征加入模块，用于在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
14.第三方面，本发明实施例还提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其中，所述处理器执行所述计算机程序时实
现如本发明任意实施例所述的恶意程序检测模型的更新方法。
15.第四方面，本发明实施例还提供了一种包含计算机可读存储介质，其上存储有计算机程序，其中，该计算机程序被处理器执行时实现如本发明任意实施例所述的恶意程序检测模型的更新方法。
16.本发明实施例所提供的技术方案，通过提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。解决了恶意样本因为升级换代、受到管控打击等原因更新快，特征变化太大，离线训练的模型失效较快的问题，提高了对未知的恶意程序样本的识别能力，避免了未知的恶意程序对人们财产造成的损失。
附图说明
17.图1为本发明实施例一提供的一种恶意程序检测模型的更新方法的流程图；
18.图2为本发明实施例二提供的另一种恶意程序检测模型的更新方法的流程图；
19.图3是本发明实施例三提供的一种恶意程序检测模型的更新装置的结构示意图；
20.图4是本发明实施例四提供的一种计算机设备的结构示意图。
具体实施方式
21.下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。
22.实施例一
23.图1为本发明实施例一提供的一种恶意程序检测模型的更新方法的流程图。本实施例可适用于对未知恶意程序识别并对恶意程序检测模型和样本特征库更新的情况。本实施例的方法可以由恶意程序检测模型的更新装置执行，该装置可以通过软件和/或硬件的方式实现，该装置可配置于服务器或终端设备中。
24.相应的，该方法具体包括如下步骤：
25.s110、提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征。
26.其中，恶意程序可以是通常是指带有攻击意图所编写的一段程序，这些威胁可以分成两个类别：需要宿主程序的威胁和彼此独立的威胁。需要宿主程序的威胁基本上可以是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段；彼此独立的威胁可以是被操作系统调度和运行的自包含程序。恶意程序特征可以是从恶意程序体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否为恶意程序，也即对恶意程序进行特征向量的提取操作。样本特征库可以由恶意程序检测模型能够学习过的恶意程序特征组成的特征库。其中，恶意程序检测模型可以是由恶意程序特征为样本进行训练而得到的。
27.示例性的，首先提取恶意程序的特征向量，可以将提取到的特征向量与样本特征库存储的恶意程序样本特征进行比对。
28.在本实施例中，首先对目标恶意程序匹配的目标恶意程序特征进行特征提取，进一步的，将获取的目标恶意程序特征与样本特征库进行匹配，具体的，样本特征库可以存储有恶意程序检测模型能够学习过的恶意程序特征。
29.s120、如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征。
30.其中，样本特征可以是样本特征库中包含恶意程序样本的特征。
31.具体的，首先提取恶意程序的特征向量，可以将提取到的特征向量与样本特征库存储的恶意程序样本特征进行比对。如果提取到的特征向量与样本特征库存储的恶意程序样本特征具有一致的特征向量，则直接对该恶意程序进行识别，得出识别结果。如果提取到的特征向量与样本特征库存储的恶意程序样本特征不具有一致的特征向量，则需要使用该恶意程序特征来训练恶意程序检测模型。
32.在本实施例中，首先提取与目标恶意程序匹配的目标恶意程序特征，进一步的，将目标恶意程序特征与样本特征库进行匹配，如果确定目标恶意程序特征没有和样本特征库中的样本特征匹配上，则可以让恶意程序检测模型去学习目标恶意程序特征。
33.s130、在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
34.具体的，由于提取到的特征向量与样本特征库存储的恶意程序样本特征不具有一致的特征向量，需要使用目标恶意程序特征来训练恶意程序检测模型。当确定恶意程序检测模型成功学习目标恶意程序特征时，可以将目标恶意程序特征加入至样本特征库中。当恶意程序检测模型学习目标恶意程序特征失败时，也即恶意程序检测结果不满足交叉验证结果，可以使用目标恶意程序再次训练恶意程序检测模型。
35.在本实施例中，当确定目标恶意程序特征没有和样本特征库中的样本特征匹配上时，则可以让恶意程序检测模型去学习目标恶意程序特征。当确定恶意程序检测模型成功学习目标恶意程序特征时，进一步地将目标恶意程序特征加入至样本特征库中。
36.本发明实施例所提供的技术方案，通过提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。解决了恶意样本因为升级换代、受到管控打击等原因更新快，特征变化太大，离线训练的模型失效较快的问题，提高了对未知的恶意程序样本的识别能力，避免了未知的恶意程序对人们财产造成的损失。
37.可选的，提取与目标恶意程序匹配的目标恶意程序特征，包括：对所述目标恶意程序进行静态代码分析，获取至少一项静态代码特征；对所述目标恶意程序进行动态沙箱分析，获取至少一项动态行为特征；将各所述静态代码特征和各所述动态行为特征进行组合，形成所述目标恶意程序特征。
38.其中，静态代码分析可以是指在不实际执行程序的情况下，对代码语义和行为进
行分析，由此找出程序中由于错误的编码而导致异常的程序语义或未定义的行为。通俗的说，静态代码分析就是在代码编写的同时就能找出代码的编码错误。静态代码特征可以是通过静态代码分析的方式来对目标恶意程序进行分析，得到目标恶意程序的静态代码特征。
39.其中，动态沙箱分析可以是指在真实的或虚拟的处理器上，执行从该软件生成的程序，来进行计算机软件的分析。动态沙箱分析工具可能需要加载特殊的库，甚至需要重新编译程序代码，实时执行和监控，从而进行动态分析。动态行为特征可以是通过动态沙箱分析的方式来实时执行和监控目标恶意程序，得到目标恶意程序的静态行为特征。
40.示例性的，首先对目标恶意程序先进行特征向量的提取，具体为，提取目标恶意程序的458个静态代码特征向量和77个动态行为特征向量，从而构建一个目标恶意程序包含535个特征的特征向量，从而对目标恶意程序的行为特征进行全面的描述。
41.在本实施例中，需要提取与目标恶意程序匹配的目标恶意程序特征，具体可以包括：首先对目标恶意程序进行静态代码分析，可以获取至少一项静态代码特征；其次对目标恶意程序进行动态沙箱分析，可以获取至少一项动态行为特征；相应的，将各静态代码特征和各动态行为特征进行组合，从而形成目标恶意程序特征。
42.这样设置的好处在于：通过对目标恶意程序特征使用静态代码特征向量和动态行为特征向量进行表示，从而对目标恶意程序进行更加全面的描述，从而更加准确合理地对目标恶意程序进行分析，使得使用恶意程序检测模型来分析，进一步地使得得到的识别结果更加准确。
43.可选的，所述动态行为特征包括下述至少一项：网络行为特征、文件行为特征、权限行为特征、系统行为特征以及通信行为特征。
44.其中，网络行为特征可以是使用动态沙箱分析目标恶意程序，从而得出目标恶意程序的网络行为特征，可以包括目标恶意程序网络上的请求和反馈等行为。文件行为特征可以是使用动态沙箱分析目标恶意程序，从而得出目标恶意程序的文件行为特征，可以包括目标恶意程序在网络上的请求和反馈等行为，以文件的形式求解出。权限行为特征可以是对目标恶意程序具有的访问权限的描述。系统行为特征可以是对目标恶意程序以系统的方式进行行为特征的分析。通信行为特征可以是对目标恶意程序的通信行为进行分析和描述。
45.这样设置的好处在于：目标恶意程序特征是由各静态代码特征和各动态行为特征进行组合而成的。其中，动态行为特征可以包括网络行为特征、文件行为特征、权限行为特征、系统行为特征和通信行为特征。这样可以从多个维度对动态行为特征进行描述，从而使得更加全面准确地对目标恶意特征进行提取，从而使得使用恶意程序检测模型来分析，可以得到的识别结果更加准确。
46.实施例二
47.图2为本发明实施例二提供的另一种恶意程序检测模型的更新方法的流程图。本实施例以上述各实施例为基础进行细化，在本实施例中，将控制恶意程序检测模型学习目标恶意程序特征进一步细化。
48.相应的，本发明实施例的技术方案可以包括下述操作：
49.s210、提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与
样本特征库进行匹配。
50.其中，样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征。
51.s220、判断目标恶意程序特征是否命中样本特征库中的样本特征，如果是，执行s230；如果否，执行s240。
52.s230、直接丢弃所述目标恶意程序特征，以放弃对所述目标恶意程序特征的模型学习。
53.示例性的，假设待检测的恶意程序可以包括目标恶意程序a和目标恶意程序b，并且目标恶意程序a特征与样本特征库能够匹配，目标恶意程序b特征与样本特征库不能匹配。由于目标恶意程序a特征能够命中样本特征库中的样本特征，所以直接丢弃目标恶意程序a特征，以放弃对目标恶意程序a特征的模型学习。由于目标恶意程序b特征未命中样本特征库中的样本特征，所以控制恶意程序检测模型学习目标恶意程序特征b。
54.s240、将所述目标恶意程序特征输入至所述恶意程序检测模型中。
55.其中，所述恶意程序检测模型中包括多个检测子模块，不同检测子模块用于输出不同检测维度下的恶意程序检测结果。
56.其中，检测子模块可以是在不同检测维度下，检测恶意程序，从而得到不同的检测结果。具体的，检测子模块可以包括黑白程序二分类检测子模块、恶意程序多分类家族检测子模块和未知类型的黑程序检测子模块。
57.具体的，不同维度检测可以包括通过黑白程序二分类检测子模块、恶意程序多分类家族检测子模块和未知类型的黑程序检测子模块来检测目标恶意程序特征。
58.示例性的，将目标恶意程序特征输入至恶意程序检测模型中，通过随机森林和xgboost进行二分类判断黑白、卷积神经网络和k-means聚类进行多分类识别家族和异常检测发现未知类型的黑样本，使用多种算法来进行目标恶意程序的检测。
59.其中，恶意程序检测结果可以包括目标恶意程序是属于黑样本还是白样本、目标恶意程序属于哪一类恶意程序的家族和目标恶意程序是否属于未知类型的黑样本。
60.可选的，所述检测子模块包括：黑白程序二分类检测子模块、恶意程序多分类家族检测子模块以及未知类型的黑程序检测子模块。
61.其中，黑白程序二分类检测子模块可以是通过随机森林和xgboost进行二分类判断黑白的检测子模块。恶意程序多分类家族检测子模块可以是通过卷积神经网络和k-means聚类进行多分类识别家族的检测子模块。未知类型的黑程序检测子模块可以是通过异常检测来发现未知类型的黑样本的检测子模块。
62.这样设置的好处在于：通过黑白程序二分类检测子模块、恶意程序多分类家族检测子模块和未知类型的黑程序检测子模块来对目标恶意程序从不同检测维度下进行恶意程序的检测，从而得出恶意程序的检测结果更加准确合理。
63.s250、将各所述检测子模块针对所述目标恶意程序特征输出的恶意程序检测结果进行交叉验证。
64.其中，交叉验证可以是对目标恶意程序在不同检测维度下检测，使用相同检测子模块在不同的检测算法下，得出的恶意程序检测结果是否相同。
65.示例性的，假设待检测的恶意程序可以包括目标恶意程序a，需要检测目标恶意程序a是属于黑程序还是白程序。通过使用黑白程序二分类检测子模块进行目标恶意程序的
检测。假设通过随机森林算法进行二分类，检测出目标恶意程序a为黑程序，通过xgboost算法进行二分类，判别目标恶意程序a为黑程序。由此可以，通过黑白程序二分类检测子模块，目标恶意程序a为黑程序，满足交叉验证结果。
66.进一步的，假设通过随机森林算法进行二分类，检测出目标恶意程序a为黑程序，通过xgboost算法进行二分类，判别目标恶意程序a为白程序。由此可以，通过黑白程序二分类检测子模块，目标恶意程序a不满足交叉验证结果。
67.s260、根据交叉验证结果，判断各恶意程序检测结果是否满足偏差重训练条件，如果是，执行s270；如果否，执行s2100。
68.其中，偏差重训练可以是当恶意程序检测结果不满足交叉验证结果时，记录下偏差值，当偏差值达到一定的偏差阈值时，需要使用目标恶意程序作为样本，对恶意程序检测模型进行重新训练。
69.示例性的，假设待检测的恶意程序可以包括目标恶意程序a，需要检测目标恶意程序a是属于黑程序还是白程序。通过使用黑白程序二分类检测子模块进行目标恶意程序的检测。假设通过随机森林算法进行二分类，检测出目标恶意程序a为黑程序，通过xgboost算法进行二分类，判别目标恶意程序a为黑程序。由此可以，通过黑白程序二分类检测子模块，目标恶意程序a为黑程序，满足交叉验证结果。同理，通过恶意程序多分类家族检测子模块来检测目标恶意程序a是属于那个家族。具体的，通过卷积神经网络和k-means聚类算法判别目标恶意程序a属于一类家族。通过未知类型的黑程序检测子模块检测目标恶意程序a是否为未知类型的黑样本，可以确定目标恶意程序a是未知类型的黑样本。
70.当设置黑白程序二分类检测子模块、恶意程序多分类家族检测子模块和未知类型的黑程序检测子模块的对目标恶意程序的检测结果相同时，偏差值设为0，当对目标恶意程序的检测结果不相同时，偏差值设为1。假设偏差阈值为0。当通过检测子模块，恶意程序检测结果的偏差值大于0时，则满足偏差重训练条件；恶意程序检测结果的偏差值等于0时，则不满足偏差重训练条件。
71.由此可得，目标恶意程序a的恶意程序检测结果的偏差值为1，所以满足偏差重训练条件，则使用目标恶意程序特征对恶意程序检测模型进行重训练。直至根据交叉验证结果，确定各恶意程序检测结果满足一致性条件。
72.s270、使用所述目标恶意程序特征对所述恶意程序检测模型进行重训练。
73.s280、返回执行s240，直至根据交叉验证结果，确定各恶意程序检测结果满足一致性条件。
74.s290、确定恶意程序检测模型成功学习目标恶意程序特征。
75.s2100、将所述目标恶意程序特征加入至所述样本特征库中。
76.本发明实施例所提供的技术方案，提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；如果确定目标恶意程序特征未命中样本特征库中的样本特征；将所述目标恶意程序特征输入至所述恶意程序检测模型中；所述恶意程序检测模型中包括多个检测子模块，不同检测子模块用于输出不同检测维度下的恶意程序检测结果；将各所述检测子模块针对所述目标恶意程序特征输出的恶意程序检测结果进行交叉验证；如果根据交叉验证结果，确定各恶意程序检测结果满足偏差重训练条件，则使用所述目标恶意程序特征对所述恶意程序检测模型进行重训练；返回执行将所述目标
恶意程序特征输入至所述恶意程序检测模型中的操作，直至根据交叉验证结果，确定各恶意程序检测结果满足一致性条件；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。通过不同检测子模块检测目标恶意程序在不同检测维度下的恶意程序检测结果，以及进行交叉验证，根据交叉验证结果，判断各恶意程序检测结果是否满足偏差重训练条件，对恶意程序检测模型进行重训练。因此，对目标恶意程序从不同检测维度下进行恶意程序的检测，从而得出恶意程序的检测结果更加准确合理，进一步地提高了对未知的恶意程序样本的识别能力。
77.实施例三
78.图3是本发明实施例三提供的一种恶意程序检测模型的更新装置的结构示意图，本实施例所提供的一种恶意程序检测模型的更新装置可以通过软件和/或硬件来实现，可配置于服务器或者终端设备中来实现本发明实施例中的一种恶意程序检测模型的更新方法。如图3所示，该装置具体可包括：恶意程序特征提取模块310、恶意程序检测模型学习模块320和恶意程序特征加入模块330。
79.其中，恶意程序特征提取模块310，用于提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；
80.恶意程序检测模型学习模块320，用于如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；
81.恶意程序特征加入模块330，用于在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
82.本发明实施例所提供的技术方案，通过提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。解决了恶意样本因为升级换代、受到管控打击等原因更新快，特征变化太大，离线训练的模型失效较快的问题，提高了对未知的恶意程序样本的识别能力，避免了未知的恶意程序对人们财产造成的损失。
83.在上述各实施例的基础上，恶意程序检测模型学习模块320，可以具体包括：恶意程序检测结果检测单元，用于将所述目标恶意程序特征输入至所述恶意程序检测模型中；所述恶意程序检测模型中包括多个检测子模块，不同检测子模块用于输出不同检测维度下的恶意程序检测结果；交叉验证单元，用于将各所述检测子模块针对所述目标恶意程序特征输出的恶意程序检测结果进行交叉验证；重训练单元，用于如果根据交叉验证结果，确定各恶意程序检测结果满足偏差重训练条件，则使用所述目标恶意程序特征对所述恶意程序检测模型进行重训练；一致性条件满足单元，用于返回执行将所述目标恶意程序特征输入至所述恶意程序检测模型中的操作，直至根据交叉验证结果，确定各恶意程序检测结果满足一致性条件。
84.在上述各实施例的基础上，恶意程序检测结果检测单元，可以具体用于：所述检测子模块包括：黑白程序二分类检测子模块、恶意程序多分类家族检测子模块以及未知类型
的黑程序检测子模块。
85.在上述各实施例的基础上，恶意程序特征提取模块310，可以具体包括：静态代码特征获取单元，用于对所述目标恶意程序进行静态代码分析，获取至少一项静态代码特征；动态行为特征获取单元，用于对所述目标恶意程序进行动态沙箱分析，获取至少一项动态行为特征；恶意程序特征形成单元，用于将各所述静态代码特征和各所述动态行为特征进行组合，形成所述目标恶意程序特征。
86.在上述各实施例的基础上，动态行为特征获取单元，可以具体用于：所述动态行为特征包括下述至少一项：网络行为特征、文件行为特征、权限行为特征、系统行为特征以及通信行为特征。
87.在上述各实施例的基础上，还可以包括，样本特征命中模块，可以具体用于：在将目标恶意程序特征与样本特征库进行匹配之后，如果确定目标恶意程序特征命中样本特征库中的样本特征，则直接丢弃所述目标恶意程序特征，以放弃对所述目标恶意程序特征的模型学习。
88.上述恶意程序检测模型的更新装置可执行本发明任意实施例所提供的恶意程序检测模型的更新方法，具备执行方法相应的功能模块和有益效果。
89.实施例四
90.图4是本发明实施例四提供的一种计算机设备的结构示意图。如图4所示，该设备包括处理器410、存储器420、输入装置430和输出装置440；设备中处理器410的数量可以是一个或多个，图4中以一个处理器410为例；设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或其他方式连接，图4中以通过总线连接为例。
91.存储器420作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本发明实施例中的恶意程序检测模型的更新方法对应的程序指令/模块(例如，恶意程序特征提取模块310、恶意程序检测模型学习模块320和恶意程序特征加入模块330)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块，从而执行设备的各种功能应用以及数据处理，即实现上述的恶意程序检测模型的更新方法，该方法包括：提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
92.存储器420可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储器420可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储器420可进一步包括相对于处理器410远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
93.输入装置430可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。
94.实施例五
95.本发明实施例五还提供一种包含计算机可读存储介质，所述计算机可执行指令在由计算机处理器执行时用于执行一种恶意程序检测模型的更新方法，该方法包括：提取与目标恶意程序匹配的目标恶意程序特征，并将目标恶意程序特征与样本特征库进行匹配；样本特征库存储有恶意程序检测模型能够学习过的恶意程序特征；如果确定目标恶意程序特征未命中样本特征库中的样本特征，则控制恶意程序检测模型学习目标恶意程序特征；在确定恶意程序检测模型成功学习目标恶意程序特征时，将所述目标恶意程序特征加入至所述样本特征库中。
96.当然，本发明实施例所提供的一种包含计算机可读存储介质，其计算机可执行指令不限于如上所述的方法操作，还可以执行本发明任意实施例所提供的恶意程序检测模型的更新方法中的相关操作。
97.通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本发明可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、闪存(flash)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
98.值得注意的是，上述恶意程序检测模型的更新装置的实施例中，所包括的各个单元和模块只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
99.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。