病毒檢測(cè)方法、裝置及設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,尤其涉及一種病毒檢測(cè)方法、裝置及設(shè)備。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,病毒的種類及數(shù)量都在不斷則增長(zhǎng),其中木馬病毒由于其獨(dú)有的危害性,導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,從而導(dǎo)致木馬病毒泛濫成災(zāi)。
[0003]傳統(tǒng)的針對(duì)木馬病毒的查殺方法多為采用人工分析匹配或人工啟動(dòng)規(guī)則等方式來檢測(cè)。該人工分析匹配或人工啟動(dòng)規(guī)則的方式至少存在如下弊端:
[0004]人力成本較高,且對(duì)分析人員的專業(yè)技能要求較高;
[0005]另外,病毒檢測(cè)速度難以保證,因此,檢測(cè)效率較低;
[0006]同時(shí),也很難及時(shí)準(zhǔn)確的發(fā)現(xiàn)未知的病毒。
【發(fā)明內(nèi)容】
[0007]本發(fā)明解決的技術(shù)問題之一是提供一種病毒檢測(cè)方法、裝置及設(shè)備,降低人力成本的同時(shí),提高病毒檢測(cè)的效率及準(zhǔn)確性。
[0008]根據(jù)本發(fā)明一方面的一個(gè)實(shí)施例,提供了一種病毒檢測(cè)方法,包括:
[0009]識(shí)別待檢測(cè)文件的文件格式,從而確定所述待檢測(cè)文件所屬類別;
[0010]提取所述待檢測(cè)文件的與所述類別對(duì)應(yīng)的特征向量;
[0011]將所述特征向量輸入到對(duì)應(yīng)類別的病毒檢測(cè)模型中,來檢測(cè)所述待檢測(cè)文件是否為病毒文件。
[0012]可選地,確定所述待檢測(cè)文件所屬類別包括:
[0013]確定所述待檢測(cè)文件所屬類別為指定類別中任一種;或
[0014]所述待檢測(cè)文件非指定類別中任一種,則確定所述待檢測(cè)文件為其他類別。
[0015]可選地,所述指定類別包括以下至少一種:
[0016]自解壓縮包類別、安裝包類別、編譯器類別、殼類別。
[0017]可選地,與所述自解壓縮包類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0018]目錄結(jié)構(gòu)特征、文件的校驗(yàn)和特征、文件數(shù)據(jù)內(nèi)容特征、壓縮算法特征、執(zhí)行腳本特征。
[0019]可選地,與所述安裝包類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0020]目錄結(jié)構(gòu)特征、安裝腳本特征、安裝程序版本特征、安裝文件校驗(yàn)和特征、安裝插件特征、文件數(shù)據(jù)特征、按照界面圖像特征。
[0021]可選地,與所述編譯器類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0022]函數(shù)特征、類特征、變量特征、引用關(guān)系特征、字符串特征、數(shù)據(jù)塊特征、邏輯特征、數(shù)據(jù)內(nèi)容特征。
[0023]可選地,與所述殼類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0024]外殼程序特征、內(nèi)部程序特征、壓縮或加密特征。
[0025]可選地,與所述其他類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0026]程序結(jié)構(gòu)特征、導(dǎo)入導(dǎo)出數(shù)據(jù)特征、文本字符串特征、數(shù)值特征、入口及函數(shù)特征、版本信息特征、圖標(biāo)圖像特征。
[0027]可選地,所述對(duì)應(yīng)類別的病毒檢測(cè)模型為:
[0028]利用所述類別對(duì)應(yīng)的特征向量基于機(jī)器學(xué)習(xí)算法訓(xùn)練得到的病毒檢測(cè)模型。
[0029]根據(jù)本發(fā)明另一方面的一個(gè)實(shí)施例,提供了一種病毒檢測(cè)裝置,包括:
[0030]用于識(shí)別待檢測(cè)文件的文件格式,從而確定所述待檢測(cè)文件所屬類別的單元;
[0031]用于提取所述待檢測(cè)文件的與所述類別對(duì)應(yīng)的特征向量的單元;
[0032]用于將所述特征向量輸入到對(duì)應(yīng)類別的病毒檢測(cè)模型中,來檢測(cè)所述待檢測(cè)文件是否為病毒文件的單元。
[0033]可選地,所述待檢測(cè)文件所屬類別包括:
[0034]指定類別中任一種;或指定類別外的其他類別。
[0035]可選地,所述指定類別包括以下至少一種:
[0036]自解壓縮包類別、安裝包類別、編譯器類別、殼類別。
[0037]可選地,與所述自解壓縮包類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0038]目錄結(jié)構(gòu)特征、文件的校驗(yàn)和特征、文件數(shù)據(jù)內(nèi)容特征、壓縮算法特征、執(zhí)行腳本特征。
[0039]可選地,與所述安裝包類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0040]目錄結(jié)構(gòu)特征、安裝腳本特征、安裝程序版本特征、安裝文件校驗(yàn)和特征、安裝插件特征、文件數(shù)據(jù)特征、按照界面圖像特征。
[0041]可選地,與所述編譯器類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0042]函數(shù)特征、類特征、變量特征、引用關(guān)系特征、字符串特征、數(shù)據(jù)塊特征、邏輯特征、數(shù)據(jù)內(nèi)容特征。
[0043]可選地,與所述殼類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0044]外殼程序特征、內(nèi)部程序特征、壓縮或加密特征。
[0045]可選地,與所述其他類別對(duì)應(yīng)的特征向量包括以下至少一項(xiàng):
[0046]程序結(jié)構(gòu)特征、導(dǎo)入導(dǎo)出數(shù)據(jù)特征、文本字符串特征、數(shù)值特征、入口及函數(shù)特征、版本信息特征、圖標(biāo)圖像特征。
[0047]可選地,所述對(duì)應(yīng)類別的病毒檢測(cè)模型為:
[0048]利用所述類別對(duì)應(yīng)的特征向量基于機(jī)器學(xué)習(xí)算法訓(xùn)練得到的病毒檢測(cè)模型。
[0049]根據(jù)本發(fā)明的另一方面的一個(gè)實(shí)施例,還提供了一種計(jì)算機(jī)設(shè)備,包括前述病毒檢測(cè)裝置。
[0050]本申請(qǐng)通過識(shí)別待檢測(cè)文件的格式,可確定待檢測(cè)所述類別,從而提取待檢測(cè)文件的與該類別對(duì)應(yīng)的特征向量,輸入到對(duì)應(yīng)類別的病毒檢測(cè)模型中來實(shí)現(xiàn)病毒檢測(cè),該過程不需要提取待檢測(cè)文件的所有的特征向量,而是只提取與該類別對(duì)應(yīng)的特征向量,因此可有效簡(jiǎn)化病毒檢測(cè)操作,提升病毒檢測(cè)速度,且不同類別的待檢測(cè)文件采用對(duì)應(yīng)類別的病毒檢測(cè)模型來檢測(cè),可有效保證各種類別文件的病毒檢出率,以及未知病毒的及時(shí)發(fā)現(xiàn),且有效降低了人力成本。
[0051]本領(lǐng)域普通技術(shù)人員將了解,雖然下面的詳細(xì)說明將參考圖示實(shí)施例、附圖進(jìn)行,但本發(fā)明并不僅限于這些實(shí)施例。而是,本發(fā)明的范圍是廣泛的,且意在僅通過后附的權(quán)利要求限定本發(fā)明的范圍。
【附圖說明】
[0052]通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0053]圖1是根據(jù)本發(fā)明一個(gè)實(shí)施例的病毒檢測(cè)方法的流程圖。
[0054]圖2是根據(jù)本發(fā)明一個(gè)實(shí)施例的病毒檢測(cè)模型訓(xùn)練方法的流程圖。
[0055]圖3是根據(jù)本發(fā)明一個(gè)實(shí)施例的病毒檢測(cè)方法實(shí)現(xiàn)原理框圖。
[0056]圖4是根據(jù)本發(fā)明一個(gè)實(shí)施例的病毒檢測(cè)裝置的結(jié)構(gòu)示意圖。
[0057]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
【具體實(shí)施方式】
[0058]木馬病毒,也稱木馬(Trojan),是指通過特定的程序(木馬程序)來控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序:一個(gè)是控制端,另一個(gè)是被控制端。“木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會(huì)自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執(zhí)行,向施種木馬者提供打開被種主機(jī)的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠(yuǎn)程操控被種主機(jī)。
[0059]木馬病毒的特點(diǎn)是:不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小,運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源,因此沒有使用殺毒軟件是難以發(fā)覺的,運(yùn)行時(shí)很難阻止它的行動(dòng),運(yùn)行后,立刻自動(dòng)登錄在系統(tǒng)引導(dǎo)區(qū),之后每次在Windows加載時(shí)自動(dòng)運(yùn)行,或立刻自動(dòng)變更文件名,甚至隱形,或馬上自動(dòng)復(fù)制到其他文件夾中,運(yùn)行連用戶本身都無法運(yùn)行的動(dòng)作。
[0060]木馬病毒的危害:木馬病毒是赤裸裸的監(jiān)視別人和盜竊別人密碼,數(shù)據(jù)等,如盜竊管理員密碼-子網(wǎng)密碼搞破壞,或者好玩,偷竊上網(wǎng)密碼用于別處,游戲帳號(hào),股票帳號(hào),甚至網(wǎng)上銀行帳戶等等,達(dá)到偷窺別人隱私和得到經(jīng)濟(jì)利益為目的。所以木馬的作用比早期的電腦病毒更加有用,更能夠直接達(dá)到使用者的目的!導(dǎo)致許多別有用心的程序開發(fā)者大量的編寫這類帶有偷竊和監(jiān)視別人電腦的侵入性程序,這就是網(wǎng)上大量木馬泛濫成災(zāi)的原因。鑒于木馬的這些巨大危害性和它與早期病毒的作用性質(zhì)不一樣,所以木馬雖然屬于病毒中的一類,但是要單獨(dú)的從病毒類型中間剝離出來,獨(dú)立的稱之為"木馬程序"。
[0061]本申請(qǐng)實(shí)施例提供的病毒檢測(cè)方法、裝置及設(shè)備可用于木馬病毒的檢測(cè),當(dāng)然并不局限于此。
[0062]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步