CN108334778B - 病毒检测方法、装置、存储介质及处理器 - Google Patents
病毒检测方法、装置、存储介质及处理器 Download PDFInfo
- Publication number
- CN108334778B CN108334778B CN201711392245.3A CN201711392245A CN108334778B CN 108334778 B CN108334778 B CN 108334778B CN 201711392245 A CN201711392245 A CN 201711392245A CN 108334778 B CN108334778 B CN 108334778B
- Authority
- CN
- China
- Prior art keywords
- detected
- feature
- virus
- comparison result
- strings
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种病毒检测方法、装置、存储介质及处理器。其中,该方法包括:获取待检测对象;将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;根据比对结果确定待检测对象是否为病毒。采用上述技术方案,解决了相关技术中病毒检测效率较低的技术问题,提高了病毒检测的检测效率。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种病毒检测方法、装置、存储介质及处理器。
背景技术
随着计算机技术和网络技术的迅猛发展,计算机技术和网络技术在人们的生产和生活中起到越来越重要的作用,但是,计算机和网络中的病毒传播也越来越猖獗。病毒的自我保护也越来越强大,如何检测出这些病毒从而对其进行清除或者防护就称为了目前计算机技术和网络技术中的重要研究方向。目前的病毒检测方法是在脚本文件的运行环境中运行文件的脚本,并在运行过程中捕获特征函数的可执行代码,判断可执行代码是否符合病毒特征,从而识别文件是否为病毒。但这种检测可执行代码是否符合病毒特征的方式往往会出现错检或者漏检的现象,检测效率较低。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种病毒检测方法、装置、存储介质及处理器,以至少解决相关技术中病毒检测效率较低的技术问题。
根据本发明实施例的一个方面,提供了一种病毒检测方法,包括:获取待检测对象;将所述待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,所述库中保存有多条不同病毒对应的特征串,所述病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;根据比对结果确定所述待检测对象是否为病毒。
可选地,将所述待检测对象在所述预先配置的库中按照特征串的所述比对顺序进行比对包括:将所述待检测对象与所述预先配置的库中存储的能够唯一标识病毒的特征串进行比对;在所述待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将所述待检测对象与所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它特征串进行比对;在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它全部特征串的情况下,确定所述比对结果为第一比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的特征串比对成功;在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它部分特征串的情况下,确定所述比对结果为第二比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的部分特征串比对成功;在所述待检测对象中不包括与所述能够唯一标识所述目标病毒的特征串一致的特征码,或者,所述待检测对象中没有与所述其它特征串一致的特征码的情况下,确定所述比对结果为第三比对结果,其中,所述第三比对结果用于指示所述待检测对象与所述库中保存的多条不同病毒对应的特征串比对失败。
可选地,根据所述比对结果确定所述待检测对象是否为病毒包括:获取所述比对结果;在所述比对结果为所述第一比对结果的情况下,确定所述待检测对象为病毒;在所述比对结果为所述第二比对结果的情况下,根据所述待检测对象中包括的与所述其它特征串一致的特征码的预设权重以及所述待检测对象中包括的与所述其它特征串一致的特征码对应的预设概率值确定所述待检测对象为病毒的概率;在所述比对结果为所述第三比对结果的情况下,确定所述待检测对象不是病毒。
可选地,在根据比对结果确定所述待检测对象是否为病毒之后,所述方法还包括:在确定所述待检测对象为病毒的情况下,从所述待检测对象中提取目标特征码,其中,所述目标特征码为用于表示所述待检测对象的字符串;根据所述目标特征码以及所述比对结果更新所述预先配置的库。
根据本发明实施例的另一方面,还提供了一种病毒检测装置,包括:获取模块,用于获取待检测对象;比对模块,用于将所述待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,所述库中保存有多条不同病毒对应的特征串,所述病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;确定模块,用于根据比对结果确定所述待检测对象是否为病毒。
可选地,所述比对模块包括:第一比对单元,用于将所述待检测对象与所述预先配置的库中存储的能够唯一标识病毒的特征串进行比对;第二比对单元,用于在所述待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将所述待检测对象与所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它特征串进行比对;第一确定单元,用于在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它全部特征串的情况下,确定所述比对结果为第一比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的特征串比对成功;第二确定单元,用于在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它部分特征串的情况下,确定所述比对结果为第二比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的部分特征串比对成功;
第三确定单元,用于在所述待检测对象中不包括与所述能够唯一标识所述目标病毒的特征串一致的特征码,或者,所述待检测对象中没有与所述其它特征串一致的特征码的情况下,确定所述比对结果为第三比对结果,其中,所述第三比对结果用于指示所述待检测对象与所述库中保存的多条不同病毒对应的特征串比对失败。
可选地,所述确定模块包括:获取单元,用于获取所述比对结果;第四确定单元,用于在所述比对结果为所述第一比对结果的情况下,确定所述待检测对象为病毒;第五确定单元,用于在所述比对结果为所述第二比对结果的情况下,根据所述待检测对象中包括的与所述其它特征串一致的特征码的预设权重以及所述待检测对象中包括的与所述其它特征串一致的特征码对应的预设概率值确定所述待检测对象为病毒的概率;第六确定单元,用于在所述比对结果为所述第三比对结果的情况下,确定所述待检测对象不是病毒。
可选地,所述装置还包括:提取模块,用于在确定上述待检测对象为病毒的情况下,从所述待检测对象中提取目标特征码,其中,所述目标特征码为用于表示所述待检测对象的字符串;更新模块,用于根据所述目标特征码以及所述比对结果更新所述预先配置的库。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质包括存储的程序,其中,所述程序运行时执行上述任一项所述的方法。
根据本发明的又一个实施例,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任一项所述的方法。
在本发明实施例中,采用获取待检测对象;将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;根据比对结果确定待检测对象是否为病毒的方式,预先配置的库中保存有多条不同病毒对应的特征串,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对,再根据比对结果确定待检测对象是否为病毒。在预先配置的库中进行对待检测对象的比对,提高了病毒检测的命中率,并且按照特征串的比对顺序进行比对,其中,能够标识病毒的特征串最先进行比对,节约了特征检测的时间,提高了病毒检测的检测效率,进而解决了相关技术中病毒检测效率较低的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种病毒检测方法的流程图;
图2是根据本发明实施例的一种病毒检测装置的结构框图一;
图3是根据本发明实施例的一种病毒检测装置的结构框图二;
图4是根据本发明实施例的一种病毒检测装置的结构框图三。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种病毒检测的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的病毒检测方法的示意图,如图1所示,该方法包括如下步骤:
步骤S102,获取待检测对象;
步骤S104,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
步骤S106,根据比对结果确定待检测对象是否为病毒。
可选地,上述病毒检测方法可以但不限于应用于病毒检测的场景中。例如:对脚本病毒进行检测的场景、对可执行文件病毒进行检测的场景等等。
可选地,上述病毒检测方法可以但不限于应用于终端设备或者服务器,例如:终端设备可以但不限于包括:手机、平板电脑。PC计算机、笔记本电脑、智能穿戴设备、智能家居设备等等。服务器可以但不限于包括:文件服务器、网页服务器、数据库服务器、域名服务器、应用程序服务器、邮件服务器等等。
可选地,在本实施例中,上述待检测对象可以但不限于包括:可执行文件、视频、音频、图片、邮件、数据流等等。
可选地,在本实施例中,预先配置的库中保存的病毒对应的特征串为从病毒中提取的用于表示该病毒的字符串。例如:特征串可以但不限于为从脚本文件中提取的多段代码,每一段代码均可以用于表示该病毒,或者,特征串可以但不限于为脚本上的注释等等。
可选地,在本实施例中,预先配置的库中保存有多条不同病毒对应的特征串,多条不同病毒对应的特征串可以但不限于以表格的形式存储在预先配置的库中,例如:表格的每一行对应一个病毒,每个病毒对应的特征串按照特征串对于该病毒的唯一性依次存储在表格的这一行中,比如,病毒对应的多个特征串中能够唯一标识该病毒的特征串存储在第一列,其余的特征串按照对于该病毒的唯一性依次存储在其他的列中。
可选地,在本实施例中,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对时,可以但不限于从预先配置的库中存储的特征串的第一列开始依次向后比对。
可选地,在本实施例中,如果根据比对结果确定获取到的待检测对象为病毒,则可以对该待检测对象进行隔离、删除等等处理。
通过上述步骤,预先配置的库中保存有多条不同病毒对应的特征串,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对,再根据比对结果确定待检测对象是否为病毒。在预先配置的库中进行对待检测对象的比对,提高了病毒检测的命中率,并且按照特征串的比对顺序进行比对,其中,能够标识病毒的特征串最先进行比对,节约了特征检测的时间,提高了病毒检测的检测效率,进而解决了相关技术中病毒检测效率较低的技术问题。
可选地,在按照特征串的比对顺序对待检测对象和预先配置的库中存储的病毒的特征串进行比对时,比对顺序可以但不限于按照特征串对于病毒的唯一性来进行设置,比如,可以先对病毒对应的特征串中能够唯一标识病毒的特征串进行比对,如果比对成功,则得到该能够唯一标识病毒的特征串对应的目标病毒,再将待检测对象与目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它特征串进行比对,如果待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它全部特征串,则得到第一比对结果,如果待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它部分特征串,则得到第二比对结果,如果待检测对象中不包括与能够唯一标识目标病毒的特征串一致的特征码,或者,待检测对象中没有与其它特征串一致的特征码,则得到第三比对结果。例如:在上述步骤S106中,将待检测对象与预先配置的库中存储的能够唯一标识病毒的特征串进行比对;在待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将待检测对象与目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它特征串进行比对;在待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它全部特征串的情况下,确定比对结果为第一比对结果,其中,第一比对结果用于指示待检测对象与目标病毒的特征串比对成功;在待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它部分特征串的情况下,确定比对结果为第二比对结果,其中,第一比对结果用于指示待检测对象与目标病毒的部分特征串比对成功;在待检测对象中不包括与能够唯一标识目标病毒的特征串一致的特征码,或者,待检测对象中没有与其它特征串一致的特征码的情况下,确定比对结果为第三比对结果,其中,第三比对结果用于指示待检测对象与库中保存的多条不同病毒对应的特征串比对失败。
在一个可选的实施方式中,在预先配置的库中以表格的形式存储多个病毒以及每个病毒对应的多个特征串,表格中的一行存储一个病毒对应的多个特征串,特征串按照其对于病毒的唯一性依次存储,比如,特征串的第一列为能够唯一标识该病毒的特征串,以此类推。在进行待检测对象的特征码和病毒的特征串比对时,可以首先将待检测对象与表格中特征串的第一列进行比对,如果比对成功,则得到使得比对成功的一行,将待检测对象与该行其他特征串进行比对,如果均比对成功,则得到第一比对结果,如果有部分特征串比对成功,则得到第二比对结果,如果均比对失败,则得到第三比对结果。
可选地,可以但不限于根据上述第一比对结果、第二比对结果、或者第三比对结果对待检测对象是否为病毒进行判断。例如:在上述步骤S108中,可以获取比对结果,在比对结果为第一比对结果的情况下,确定待检测对象为病毒;在比对结果为第二比对结果的情况下,根据待检测对象中包括的与其它特征串一致的特征码的预设权重以及待检测对象中包括的与其它特征串一致的特征码对应的预设概率值确定待检测对象为病毒的概率;在比对结果为第三比对结果的情况下,确定待检测对象不是病毒。
可选地,上述预设权重和预设概率值可以但不限于根据特征串对于病毒的唯一性进行设置。例如:在上述存储病毒特征串的表格中,特征串对应的第一列存储了能够唯一标识该病毒的特征串,那么第一列特征串对应的预设权重可以设置为1,其对应的预设概率值可以设置为100%,从第二列之后预设权重和预设概率值可以但不限于按照比例或者随机递减。
在上述可选的实施方式中,将待检测对象与预先配置的库中存储的表格中特征串的第一列进行比对,其中待检测对象中包括的特征码B与能够唯一标识病毒A的特征串比对成功,则确定该病毒A为目标病毒,将待检测对象与病毒A的其他特征码进行比对,如果均比对成功,则确定该待检测对象为病毒A。如果只有部分比对成功,则根据比对成功的特征串对应的预设权重以及预设概率值确定该待检测对象为病毒的概率,以及可以确定该待检测对象为哪种病毒。如果均未比对成功,则可以确定该待检测对象不是病毒。
可选地,可以根据预设权重与预设概率值的加权和来确定待检测对象为病毒的概率。例如:获取待检测对象中与其它特征串一致的特征码的预设权重以及待检测对象中与其它特征串一致的特征码对应的预设概率值,根据预设权重计算预设概率值的加权和,得到待检测对象为病毒的概率。
可选地,如果检测出了待检测对象为病毒,还可以根据该待检测对象对预先配置的库进行更新,从而使得病毒的检测更加精确。例如:在上述步骤S108之后,在确定待检测对象为病毒的情况下,从待检测对象中提取目标特征码,其中,目标特征码为用于表示待检测对象的字符串,并根据目标特征码以及比对结果更新预先配置的库。
可选地,可以但不限于通过以下方式更新预先配置的库:在比对结果指示待检测对象与能够唯一标识该病毒的特征串比对成功并且与其他特征串中的部分特征串比对成功的情况下,将目标特征码添加到能够唯一标识该病毒的特征串在库中对应条目;在比对结果指示待检测对象仅与能够唯一标识该病毒的特征串比对成功的情况下,在新的条目中存储待检测对象和目标特征码,其中,新的条目用于保存待检测对象对应的上述目标特征码。
可选地,可以但不限于通过以下方式在新的条目中存储待检测对象和目标特征码:在库中创建新的条目;从目标特征码中选取能够唯一标识待检测对象的特征码;在新的条目中存储待检测对象、目标特征码以及待检测对象与目标特征码的对应关系,并将能够唯一标识待检测对象的目标特征码作为新的条目的索引。
实施例2
在本实施例中还提供了一种病毒检测装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本发明实施例的病毒检测装置的结构框图一,如图2所示,该装置包括:
获取模块22,用于获取待检测对象;
比对模块24,耦合至获取模块22,用于将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
确定模块26,耦合至比对模块24,用于根据比对结果确定待检测对象是否为病毒。
可选地,上述病毒检测方法可以但不限于应用于病毒检测的场景中。例如:对脚本病毒进行检测的场景、对可执行文件病毒进行检测的场景等等。
可选地,上述病毒检测方法可以但不限于应用于终端设备或者服务器,例如:终端设备可以但不限于包括:手机、平板电脑。PC计算机、笔记本电脑、智能穿戴设备、智能家居设备等等。服务器可以但不限于包括:文件服务器、网页服务器、数据库服务器、域名服务器、应用程序服务器、邮件服务器等等。
可选地,在本实施例中,上述待检测对象可以但不限于包括:可执行文件、视频、音频、图片、邮件、数据流等等。
可选地,在本实施例中,预先配置的库中保存的病毒对应的特征串为从病毒中提取的用于表示该病毒的字符串。例如:特征串可以但不限于为从脚本文件中提取的多段代码,每一段代码均可以用于表示该病毒,或者,特征串可以但不限于为脚本上的注释等等。
可选地,在本实施例中,预先配置的库中保存有多条不同病毒对应的特征串,多条不同病毒对应的特征串可以但不限于以表格的形式存储在预先配置的库中,例如:表格的每一行对应一个病毒,每个病毒对应的特征串按照特征串对于该病毒的唯一性依次存储在表格的这一行中,比如,病毒对应的多个特征串中能够唯一标识该病毒的特征串存储在第一列,其余的特征串按照对于该病毒的唯一性依次存储在其他的列中。
可选地,在本实施例中,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对时,可以但不限于从预先配置的库中存储的特征串的第一列开始依次向后比对。
可选地,在本实施例中,如果根据比对结果确定获取到的待检测对象为病毒,则可以对该待检测对象进行隔离、删除等等处理。
通过上述装置,预先配置的库中保存有多条不同病毒对应的特征串,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对,再根据比对结果确定待检测对象是否为病毒。在预先配置的库中进行对待检测对象的比对,提高了病毒检测的命中率,并且按照特征串的比对顺序进行比对,其中,能够标识病毒的特征串最先进行比对,节约了特征检测的时间,提高了病毒检测的检测效率,进而解决了相关技术中病毒检测效率较低的技术问题。
图3是根据本发明实施例的病毒检测装置的结构框图二,如图3所示,可选地,比对模块24包括:
第一比对单元302,用于将待检测对象与预先配置的库中存储的能够唯一标识病毒的特征串进行比对;
第二比对单元304,耦合至第一比对单元302,用于在待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将待检测对象与目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它特征串进行比对;
第一确定单元306,耦合至第二比对单元304,用于在待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它全部特征串的情况下,确定比对结果为第一比对结果,其中,第一比对结果用于指示待检测对象与目标病毒的特征串比对成功;
第二确定单元308,耦合至第二比对单元304,用于在待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它部分特征串的情况下,确定比对结果为第二比对结果,其中,第一比对结果用于指示待检测对象与目标病毒的部分特征串比对成功;
第三确定单元310,耦合至第一比对单元302和第二比对单元304,用于在待检测对象中不包括与能够唯一标识目标病毒的特征串一致的特征码,或者,待检测对象中没有与其它特征串一致的特征码的情况下,确定比对结果为第三比对结果,其中,第三比对结果用于指示待检测对象与库中保存的多条不同病毒对应的特征串比对失败。
可选地,在按照特征串的比对顺序对待检测对象和预先配置的库中存储的病毒的特征串进行比对时,比对顺序可以但不限于按照特征串对于病毒的唯一性来进行设置,比如,可以先对病毒对应的特征串中能够唯一标识病毒的特征串进行比对,如果比对成功,则得到该能够唯一标识病毒的特征串对应的目标病毒,再将待检测对象与目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它特征串进行比对,如果待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它全部特征串,则得到第一比对结果,如果待检测对象中包括目标病毒对应的特征串中除能够唯一标识目标病毒的特征串之外的其它部分特征串,则得到第二比对结果,如果待检测对象中不包括与能够唯一标识目标病毒的特征串一致的特征码,或者,待检测对象中没有与其它特征串一致的特征码,则得到第三比对结果。
在一个可选的实施方式中,在预先配置的库中以表格的形式存储多个病毒以及每个病毒对应的多个特征串,表格中的一行存储一个病毒对应的多个特征串,特征串按照其对于病毒的唯一性依次存储,比如,特征串的第一列为能够唯一标识该病毒的特征串,以此类推。在进行待检测对象的特征码和病毒的特征串比对时,可以首先将待检测对象与表格中特征串的第一列进行比对,如果比对成功,则得到使得比对成功的一行,将待检测对象与该行其他特征串进行比对,如果均比对成功,则得到第一比对结果,如果有部分特征串比对成功,则得到第二比对结果,如果均比对失败,则得到第三比对结果。
图4是根据本发明实施例的病毒检测装置的结构框图三,如图4所示,可选地,确定模块28包括:
获取单元42,用于获取比对结果;
第四确定单元44,耦合至获取单元42,用于在比对结果为第一比对结果的情况下,确定待检测对象为病毒;
第五确定单元46,耦合至获取单元42,用于在比对结果为第二比对结果的情况下,根据待检测对象中包括的与其它特征串一致的特征码的预设权重以及待检测对象中包括的与其它特征串一致的特征码对应的预设概率值确定待检测对象为病毒的概率;
第六确定单元48,耦合至获取单元42,用于在比对结果为第三比对结果的情况下,确定待检测对象不是病毒。
可选地,可以但不限于根据上述第一比对结果、第二比对结果、或者第三比对结果对待检测对象是否为病毒进行判断。
可选地,上述预设权重和预设概率值可以但不限于根据特征串对于病毒的唯一性进行设置。例如:在上述存储病毒特征串的表格中,特征串对应的第一列存储了能够唯一标识该病毒的特征串,那么第一列特征串对应的预设权重可以设置为1,其对应的预设概率值可以设置为100%,从第二列之后预设权重和预设概率值可以但不限于按照比例或者随机递减。
在上述可选的实施方式中,将待检测对象与预先配置的库中存储的表格中特征串的第一列进行比对,其中待检测对象中包括的特征码B与能够唯一标识病毒A的特征串比对成功,则确定该病毒A为目标病毒,将待检测对象与病毒A的其他特征码进行比对,如果均比对成功,则确定该待检测对象为病毒A。如果只有部分比对成功,则根据比对成功的特征串对应的预设权重以及预设概率值确定该待检测对象为病毒的概率,以及可以确定该待检测对象为哪种病毒。如果均未比对成功,则可以确定该待检测对象不是病毒。
可选地,可以根据预设权重与预设概率值的加权和来确定待检测对象为病毒的概率。例如:第五确定单元46用于:获取待检测对象中与其它特征串一致的特征码的预设权重以及待检测对象中与其它特征串一致的特征码对应的预设概率值;根据预设权重计算预设概率值的加权和,得到待检测对象为病毒的概率。
可选地,如果检测出了待检测对象为病毒,还可以根据该待检测对象对预先配置的库进行更新,从而使得病毒的检测更加精确。例如:上述装置还包括:提取模块,用于在确定待检测对象为病毒的情况下,从待检测对象中提取目标特征码,其中,目标特征码为用于表示待检测对象的字符串;更新模块,用于根据目标特征码以及比对结果更新预先配置的库。
可选地,上述更新模块还用于:在比对结果指示待检测对象与能够唯一标识该病毒的特征串比对成功并且与其他特征串中的部分特征串比对成功的情况下,将目标特征码添加到能够唯一标识该病毒的特征串在库中对应条目;在比对结果指示待检测对象仅与能够唯一标识该病毒的特征串比对成功的情况下,在新的条目中存储待检测对象和目标特征码,其中,新的条目用于保存待检测对象对应的上述目标特征码。
可选地,上述更新模块还用于:在库中创建新的条目;从目标特征码中选取能够唯一标识待检测对象的特征码;在新的条目中存储待检测对象、目标特征码以及待检测对象与目标特征码的对应关系,并将能够唯一标识待检测对象的目标特征码作为新的条目的索引。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质包括存储的程序,其中,上述程序运行时执行上述任一项所述的方法。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的程序代码:
S1,获取待检测对象;
S2,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
S3,根据比对结果确定待检测对象是否为病毒。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的实施例还提供了一种处理器,该处理器用于运行程序,其中,该程序运行时执行上述任一项方法中的步骤。
可选地,在本实施例中,上述程序用于执行以下步骤:
S1,获取待检测对象;
S2,将待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,库中保存有多条不同病毒对应的特征串,病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
S3,根据比对结果确定待检测对象是否为病毒。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种病毒检测方法,其特征在于,包括:
获取待检测对象;
将所述待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,所述库中保存有多条不同病毒对应的特征串,所述病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
根据比对结果确定所述待检测对象是否为病毒;
将所述待检测对象与所述预先配置的库中存储的能够唯一标识病毒的特征串进行比对;
在所述待检测对象中包括目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它部分特征串的情况下,确定所述比对结果为第二比对结果,其中,所述第二比对结果用于指示所述待检测对象与所述目标病毒的部分特征串比对成功;
在所述比对结果为所述第二比对结果的情况下,根据所述待检测对象中包括的与所述其它部分特征串一致的特征码的预设权重以及所述待检测对象中包括的与所述其它部分特征串一致的特征码对应的预设概率值确定所述待检测对象为病毒的概率;
在所述待检测对象中不包括与所述能够唯一标识所述目标病毒的特征串一致的特征码,或者,所述待检测对象中没有与其它特征串一致的特征码的情况下,确定所述比对结果为第三比对结果,其中,所述第三比对结果用于指示所述待检测对象与所述库中保存的多条不同病毒对应的特征串比对失败;
在所述比对结果为所述第三比对结果的情况下,确定所述待检测对象不是病毒。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在所述待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将所述待检测对象与所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它特征串进行比对;
在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它全部特征串的情况下,确定所述比对结果为第一比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的特征串比对成功。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在所述比对结果为所述第一比对结果的情况下,确定所述待检测对象为病毒。
4.根据权利要求1至3中任一项所述的方法,其特征在于,在根据比对结果确定所述待检测对象是否为病毒之后,所述方法还包括:
在确定所述待检测对象为病毒的情况下,从所述待检测对象中提取目标特征码,其中,所述目标特征码为用于表示所述待检测对象的字符串;
根据所述目标特征码以及所述比对结果更新所述预先配置的库。
5.一种病毒检测装置,其特征在于,包括:
获取模块,用于获取待检测对象;
比对模块,用于将所述待检测对象在预先配置的库中按照特征串的比对顺序进行比对,其中,所述库中保存有多条不同病毒对应的特征串,所述病毒对应的多个特征串中能够唯一标识该病毒的特征串最先进行比对;
确定模块,用于根据比对结果确定所述待检测对象是否为病毒;
所述比对模块包括:第一比对单元,用于将所述待检测对象与所述预先配置的库中存储的能够唯一标识病毒的特征串进行比对;第二确定单元,用于在所述待检测对象中包括目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它部分特征串的情况下,确定所述比对结果为第二比对结果,其中,所述第二比对结果用于指示所述待检测对象与所述目标病毒的部分特征串比对成功;第三确定单元,用于在所述待检测对象中不包括与所述能够唯一标识所述目标病毒的特征串一致的特征码,或者,所述待检测对象中没有与其它特征串一致的特征码的情况下,确定所述比对结果为第三比对结果,其中,所述第三比对结果用于指示所述待检测对象与所述库中保存的多条不同病毒对应的特征串比对失败;
所述确定模块包括:第五确定单元,用于在所述比对结果为所述第二比对结果的情况下,根据所述待检测对象中包括的与所述其它部分特征串一致的特征码的预设权重以及所述待检测对象中包括的与所述其它部分特征串一致的特征码对应的预设概率值确定所述待检测对象为病毒的概率;第六确定单元,用于在所述比对结果为所述第三比对结果的情况下,确定所述待检测对象不是病毒。
6.根据权利要求5所述的装置,其特征在于,所述比对模块还包括:
第二比对单元,用于在所述待检测对象中包括与能够唯一标识目标病毒的特征串一致的特征码的情况下,将所述待检测对象与所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它特征串进行比对;
第一确定单元,用于在所述待检测对象中包括所述目标病毒对应的特征串中除所述能够唯一标识所述目标病毒的特征串之外的其它全部特征串的情况下,确定所述比对结果为第一比对结果,其中,所述第一比对结果用于指示所述待检测对象与所述目标病毒的特征串比对成功。
7.根据权利要求6所述的装置,其特征在于,所述确定模块还包括:
获取单元,用于获取所述比对结果;
第四确定单元,用于在所述比对结果为所述第一比对结果的情况下,确定所述待检测对象为病毒。
8.根据权利要求5至7中任一项所述的装置,其特征在于,所述装置还包括:
提取模块,用于在确定上述待检测对象为病毒的情况下,从所述待检测对象中提取目标特征码,其中,所述目标特征码为用于表示所述待检测对象的字符串;
更新模块,用于根据所述目标特征码以及所述比对结果更新所述预先配置的库。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至4中任意一项所述的方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至4中任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711392245.3A CN108334778B (zh) | 2017-12-20 | 2017-12-20 | 病毒检测方法、装置、存储介质及处理器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711392245.3A CN108334778B (zh) | 2017-12-20 | 2017-12-20 | 病毒检测方法、装置、存储介质及处理器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108334778A CN108334778A (zh) | 2018-07-27 |
CN108334778B true CN108334778B (zh) | 2021-12-31 |
Family
ID=62922541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711392245.3A Active CN108334778B (zh) | 2017-12-20 | 2017-12-20 | 病毒检测方法、装置、存储介质及处理器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108334778B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110704843A (zh) * | 2019-09-29 | 2020-01-17 | 珠海市魅族科技有限公司 | Usb配件安全控制方法及装置、存储介质及电子装置 |
CN113434860A (zh) * | 2021-07-22 | 2021-09-24 | 安天科技集团股份有限公司 | 病毒检测方法、装置、计算设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102902918A (zh) * | 2012-08-06 | 2013-01-30 | 厦门市美亚柏科信息股份有限公司 | 一种基于复合特征码的恶意文件检测方法 |
CN103902904A (zh) * | 2013-12-11 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于统计的反病毒引擎特征码评价方法及系统 |
CN104715200A (zh) * | 2012-05-04 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
CN106845233A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | Uefi安全检测方法和系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100942795B1 (ko) * | 2007-11-21 | 2010-02-18 | 한국전자통신연구원 | 악성프로그램 탐지장치 및 그 방법 |
CN105224870B (zh) * | 2015-09-15 | 2019-04-26 | 百度在线网络技术(北京)有限公司 | 可疑病毒应用上传的方法和装置 |
CN106803040B (zh) * | 2017-01-18 | 2021-08-10 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
-
2017
- 2017-12-20 CN CN201711392245.3A patent/CN108334778B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104715200A (zh) * | 2012-05-04 | 2015-06-17 | 北京奇虎科技有限公司 | 一种病毒apk的识别方法及装置 |
CN102902918A (zh) * | 2012-08-06 | 2013-01-30 | 厦门市美亚柏科信息股份有限公司 | 一种基于复合特征码的恶意文件检测方法 |
CN103902904A (zh) * | 2013-12-11 | 2014-07-02 | 哈尔滨安天科技股份有限公司 | 一种基于统计的反病毒引擎特征码评价方法及系统 |
CN106845233A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | Uefi安全检测方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108334778A (zh) | 2018-07-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
CN108768943B (zh) | 一种检测异常账号的方法、装置及服务器 | |
CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN109951435B (zh) | 一种设备标识提供方法及装置和风险控制方法及装置 | |
US10216848B2 (en) | Method and system for recommending cloud websites based on terminal access statistics | |
CN107454103B (zh) | 基于时间线的网络安全事件过程分析方法及系统 | |
CN113496033B (zh) | 访问行为识别方法和装置及存储介质 | |
CN111723371B (zh) | 构建恶意文件的检测模型以及检测恶意文件的方法 | |
CN108154031B (zh) | 伪装应用程序的识别方法、装置、存储介质和电子装置 | |
CN111049786A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
KR20180079434A (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
CN108334778B (zh) | 病毒检测方法、装置、存储介质及处理器 | |
CN108182360B (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
CN111241400B (zh) | 一种信息搜索方法及装置 | |
CN106789973B (zh) | 页面的安全性检测方法及终端设备 | |
CN109120579B (zh) | 恶意域名的检测方法、装置及计算机可读存储介质 | |
CN113704569A (zh) | 信息的处理方法、装置及电子设备 | |
CN112070161A (zh) | 一种网络攻击事件分类方法、装置、终端及存储介质 | |
CN111898126A (zh) | 一种基于动态获取用户界面的Android重打包应用检测方法 | |
CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
CN110955562A (zh) | 一种数据恢复的方法、系统、设备及可读存储介质 | |
CN111027071B (zh) | 一种威胁程序全行为关联分析方法及装置 | |
CN110868382A (zh) | 一种基于决策树的网络威胁评估方法、装置及存储介质 | |
CN115345146A (zh) | 一种文章检测的方法及装置 | |
CN113987486A (zh) | 一种恶意程序检测方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: 100041 room a-0003, 2 / F, building 3, yard 30, Shixing street, Shijingshan District, Beijing Patentee after: Beijing Falcon Safety Technology Co.,Ltd. Address before: 12 / F, block B, new office building of China Academy of Building Sciences, No. 30, Beisanhuan East Road, Chaoyang District, Beijing 100013 Patentee before: BEIJING KINGSOFT SECURITY MANAGEMENT SYSTEM TECHNOLOGY Co.,Ltd. |