CN108549813A - 判别方法、装置及处理器和存储介质 - Google Patents
判别方法、装置及处理器和存储介质 Download PDFInfo
- Publication number
- CN108549813A CN108549813A CN201810175161.2A CN201810175161A CN108549813A CN 108549813 A CN108549813 A CN 108549813A CN 201810175161 A CN201810175161 A CN 201810175161A CN 108549813 A CN108549813 A CN 108549813A
- Authority
- CN
- China
- Prior art keywords
- target object
- behavior
- text message
- data
- decision rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种判别方法、装置及处理器和存储介质。其中,该方法包括:获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;运行目标对象,并获取目标对象在运行过程中的行为数据;根据判别规则从行为数据中进行数据筛选;根据筛选出的数据确定目标对象的行为是否违反判别规则。本发明解决了现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的技术问题。
Description
技术领域
本发明涉及计算机领域,具体而言,涉及一种判别方法、装置及处理器和存储介质。
背景技术
随着计算机与互联网的快速发展,互联网上提供的各种各样的应用和数据,大大方便了人们的学习、工作和生活。但是由于互联网的开放性,使得很多携带有病毒或木马等恶意程序的应用和数据严重威胁到人们的信息安全。因而,如何判别一个应用中是否携带有病毒或木马等恶意程序,是信息安全领域一直研究的问题。
目前,现有技术中,对于病毒或木马的识别,均是由人工的方式,技术作为辅助。一般首先要求有病毒样本,然后通过一些技术手段,找到样本中相应的特征,对于这些特征哪些是非法的行为,则采用人工的方式进行研判。
针对上述现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种判别方法、装置及处理器和存储介质,以至少解决现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的技术问题。
根据本发明实施例的一个方面,提供了一种判别方法,包括:获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;运行目标对象,并获取目标对象在运行过程中的行为数据;根据判别规则从行为数据中进行数据筛选;根据筛选出的数据确定目标对象的行为是否违反判别规则。
根据本发明实施例的另一方面,还提供了一种判别装置,包括:第一获取单元,用于获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;提取单元,用于根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;第二获取单元,用于运行目标对象,并获取目标对象在运行过程中的行为数据;筛选单元,用于根据判别规则从行为数据中进行数据筛选;确定单元,用于根据筛选出的数据确定目标对象的行为是否违反判别规则。
根据本发明实施例的一个方面,还提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述的判别方法。
根据本发明实施例的一个方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述的判别方法。
在本发明实施例中,通过获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;运行目标对象,并获取目标对象在运行过程中的行为数据;根据判别规则从行为数据中进行数据筛选;根据筛选出的数据确定目标对象的行为是否违反判别规则,达到了智能提取判断规则并基于该判断规则智能判断应用或代码在运行过程中的行为是否被允许的目的,从而实现了预防恶意代码或携带有恶意代码的应用被执行导致用户信息安全受到威胁的技术效果,进而解决了现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种判别方法流程图;
图2是根据本发明实施例的一种可选的判别方法流程图;
图3是根据本发明实施例的一种优选的判别方法流程图;以及
图4是根据本发明实施例的一种判别装置示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种判别方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种判别方法流程图,如图1所示,该方法包括如下步骤:
步骤S102,获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;
步骤S104,根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,该目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;
步骤S106,运行目标对象,并获取目标对象在运行过程中的行为数据;
步骤S108,根据判别规则从行为数据中进行数据筛选;
步骤S110,根据筛选出的数据确定目标对象的行为是否违反判别规则。
通过上述步骤,可以从文本信息中提取规则,该规则可以用来进行行为数据的删选,从而可以判断出目标对象的行为是否存在风险。通过这些步骤可以实现自动的规则更新,从而可以使整个判断过程更加智能。
作为一种可选的实施例,上述文本信息可以用于指示行为(包括但不限于各种应用或代码在运行的过程中的行为)是否被允许的内容,包括但不限于各种法律的条文、解释、规定等信息。目标对象可以是任意一种应用(包括各种客户端应用程序和基于Web页面的应用)或任意一段代码数据。
可选地,目标对象可以是从互联网上获取的,也可以是导入的,还可以是从预定网址抓取到的,作为一种可选的实施例,当这些文本信息可以是从预定网址抓取到的,在抓取信息的时候,可以预定定义网络地址的优先级,从优先级高的网址抓到的文本信息更加可信。作为另一个可选的实施方式,也可以让用户上传文本信息,然后从这些信息中抓取规则。在比较优的一个实施方式中,还可以给文本信息携带时间戳,这样就可以判断出那些文本信息更新,在提取规则的时候,可以建立该规则与文本信息时间戳之间的联系,从而在存在规则冲突的情况下,可以根据时间戳来进行选择适当的规则。在另一个比较优的实施方式中,还可以给文本信息设置优先级,然后规则也与该文本信息的优先级对应。出现规则冲突时,可以根据该规则对应的文本信息的优先级来选择适当的规则。时间戳和优先级可以结合使用用来选择规则。文本信息的优先级可以用来表征该文本信息来源的可靠性以及文本信息的紧急程度等。
其中,上述步骤S102获取到的文本信息可以是各种约束各种应用或代码在运行过程中的行为的文件中的信息,包括但不限于各种法律条文、解释、规定的文件信息,还可以是应用提供商制定的标准性文件。获取到文本信息中显性指示或者隐性指示应用或代码在运行过程中的哪些行为是允许的,哪些行为是不允许的。其中,显性指示是指文本信息中明确记载了应用或者代码中的不允许的行为,隐性指示是指通过自然语言表述的能够被人理解的应用或代码的不允许的行为。无论是显性指示还是隐形指示,都需要提取为计算机可读的规则。提取可以采用很多中提取方式:例如,可以通过关键词查找到相应的内容并提取为规则,这些关键词可以是预先定义的。又例如,随着机器学习技术的发展,可以使用机器学习模型来提起规则,在这种方式下,可以输入带标签的文本信息以及文本信息对应的规则作为训练数据来进行训练得到该机器学习模型,然后用机器学习模块来进行规则的提取。该机器学习模型在下文中也称为是人工智能的方式。
在通过上述步骤S102获取到用于约束应用或代码在运行过程中的行为的信息后,可以进一步通过上述步骤S104从获取到的文本信息中提取用于确定应用或代码的行为是否被允许的判别规则,可选地,可以基于人工智能的方式,自动从获取到的文本信息中提取用于判别应用或代码的行为是否被允许的判别规则。
由于应用或代码在运行过程中的行为可能存在不被允许的行为,因而,直接运行应用或代码,会导致信息不安全,因而,在判断应用或代码中是否存在风险行为前,需要通过上述步骤S106对应用或代码的运行过程进行仿真,以获取应用或代码在运行过程中的所有行为数据,进而根据上述步骤S108从文本信息中提取到的判别规则来对仿真得到的行为数据进行筛选,并通过步骤S110根据筛选出的数据确定目标对象(应用或代码)运行过程中的行为是否违背判别规则。
作为一个可选的实施例,对行为数据的筛选也可以使用人工智能方式来进行。例如,可以将行为数据和判别规则作为输入,将筛选出的行为数据作为输出;一组输入和输出作为一个训练数据,将多个训练数据使用机器学习模型来进行训练,从而得到可用的机器学习模型,该机器学习模型就可以应用到实际的筛选中了。
可选地,通过上述步骤S110确定目标对象的行为违反判断规则之后,还可以输出提示信息,该提示信息用于提示目标对象的行为违背判别规则。
进一步地,作为一种可选的实施例,在通过上述步骤S110确定目标对象存在风险行为之后,上述方法还可以包括:检测是否接收到运行指令,其中,运行指令用于运行目标对象;在检测到运行指令的情况下,阻止目标对象的运行。通过该实施例,可以阻止病毒或木马的传播。
由上可知,在本申请上述实施例公开的方案中,通过收集各种用于指示行为是否被允许的文本信息,并从收集的文本信息中提取用于判断应用或代码在运行过程中的行为是否被允许的判别规则,当获取到目标对象在运行过程中的行为数据后,基于该判断规则,对目标对象的行为数据进行筛选,进而根据筛选出的数据确定该目标对象的行为是否违背判断规则,达到了智能提取判断规则并基于该判断规则智能判断应用或代码在运行过程中的行为是否被允许的目的,从而实现了预防恶意代码或携带有恶意代码的应用被执行导致用户信息安全受到威胁的技术效果,进而解决了现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的技术问题。
在一种可选的实施例中,如图2所示,运行目标对象,并获取目标对象在运行过程中的行为数据,包括:
步骤S202,通过预定方式获取至少一种目标对象的执行文件,其中,预定方式包括以下至少之一:从网络上爬取、从用户上传的内容中获取、导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件;
步骤S204,基于每种目标对象的执行文件,对每种目标对象的运行过程进行仿真,得到每种目标对象在运行过程中的行为数据。
需要说明的是,可以通过但不限于如下任意一种预定方式获取目标对象的可执行文件:从网络上爬取、从用户上传的内容中获取、导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件。优选地,上述步骤S202获取到的目标对象的可执行文件可以是通过爬虫的方式从互联网爬取任意一种应用或代码的可执行文件。上述可执行文件是指由操作系统进行加载执行的文件,由于绝大部分的计算机病毒是文件型病毒,即寄生在可执行文件上,并依靠可行文件来传播。为了判别目标对象(应用或代码)的行为是否违背判别规则,可以获取目标对象(应用或代码)的可执行文件,并基于目标对象(应用或代码)的可执行文件,对目标对象(应用或代码)的运行过程进行仿真,得到目标对象(应用或代码)在运行过程中的所有行为数据,以便基于判断规则从获取到的行为数据中筛选出待判别的行为数据,进而根据从目标对象的行为数据中筛选出的数据确定目标对象的行为是否违背判别规则。
一种可选的实施例中,可以通过行为仿真分析模块将任意一种应用或代码(即目标对象)的可执行文件进行自动仿真,从而得到应用或代码在运行过程中的所有行为数据,以便根据每种应用或代码的行为数据来确定应用或代码是否存在风险行为。
作为一种可选的实施方式,从文本信息中提取判别规则,可以包括:使用模型(第一模型)对文本信息进行分析,提取判别规则,其中,模型(第一模型)为使用多组数据通过机器学习训练出来的,多组数据中的每组数据均包括:文本信息和文本信息中提取出的判别规则。
具体地,在上述实施例中,上述模型(第一模型)可以基于人工智能算法对大量用于指示行为是否被允许的文本信息进行机器学习训练得到的模型,通过该模型(第一模型),输入文本信息可以自动提取出对应的判别规则。
通过上述实施例,实现了通过人工智能的方式提取判别规则的目的。
作为一种可选的实施方式,根据筛选出的数据确定目标对象的行为是否违反判别规则,可以包括:将根据判断规则确定的异常的行为数据(即不被允许的目标对象在运行过程中产生的行为数据)和从目标对象的行为数据中筛选出的数据作为模型(第二模型)输入进行分析,确定从目标对象的行为数据中筛选出的数据是否违背判别规则,其中,模型(第二模型)为使用多组数据通过机器学习训练出来的,多组数据中的每组数据均包括:从目标对象的行为数据中筛选出的数据和根据判断规则确定的异常行为数据的标签。
具体地,在上述实施例中,模型(第二模型)可以是基于人工智能算法对大量应用或代码的行为数据和用于判断应用或代码的行为数据是否存在异常行为数据的判别规则进行机器学习训练得到的模型,通过模型(第二模型),输入判断规则和目标对象(应用或代码)的行为数据,自动判别该目标对象的行为是否违背判别规则。
通过上述实施例,实现了通过人工智能的方式判别应用或代码是否违背判别规则,进而确定该应用或代码是否为木马或病毒的目的。
基于上述任意一种可选的实施例,上述文本信息包括的信息的类型包括但不限于如下至少之一:法律条款、预定的规章制度、预先配置的不被允许的行为。
作为一种优选的实施例,图3是根据本发明实施例的一种优选的判别方法流程图,如图3所示,包括如下步骤:
第一步:将文本信息(例如,现有的法律条文、解释、规定)由人工智能的方式进行处理,梳理出可让计算机识别的运算规则(例如,用于判别应用或代码是否存在风险行为的判别规则)。
第二步:从网络上爬取、从用户上传的内容中获取、导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件。
第三步:将获取的应用程序或代码的执行文件进行自动仿真,还原出应用程序在运行过程中的所有行为数据。
第四步:采用人工智能处理的方式,将第一步中得到的机器可识别的运算规则,与第三步还原出来的应用程序所有行为数据进行研判。
第五步:研判出应用程序的行为是否违背法律条文、解释、规定相关条款。
通过上述实施例公开的方案,提供了一种采用与法律条文规定相结合的方式进行恶意代码研判的方法,通过人工智能的方式来解决病毒、木马研判问题,让病毒的查找、分析、研判,整个过程都由人工智能完成,降低人力消耗、提高研判准确性。
根据本发明实施例,还提供了一种用于实现上述判别方法的装置实施例,图4是根据本发明实施例的一种判别装置示意图,如图4所示,该装置包括:第一获取单元401、提取单元403、第二获取单元405、筛选单元407和确定单元409。
其中,第一获取单元401,用于获取文本信息,其中,文本信息包括:用于指示行为是否被允许的内容;
提取单元403,用于根据文本信息提取判别规则,其中,判别规则用于判断目标对象的行为是否存在风险行为,目标对象包括以下至少之一:应用、代码,风险行为包括以下至少之一:获取非目标对象应当获取的数据、执行超出目标对象权限的动作;
第二获取单元405,用于运行目标对象,并获取目标对象在运行过程中的行为数据;
筛选单元407,用于根据判别规则从行为数据中进行数据筛选;
确定单元409,用于根据筛选出的数据确定目标对象的行为是否违反判别规则。
此处需要说明的是,上述第一获取单元401、提取单元403、第二获取单元405、筛选单元407和确定单元409对应于方法实施例中的步骤S102至S110,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述方法实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
由上可知,在本申请上述实施例公开的方案中,通过第一获取单元401收集各种用于指示行为是否被允许的文本信息,并通过提取单元403从收集的文本信息中提取用于判断应用或代码在运行过程中的行为数据是否存在异常行为的数据的判别规则,通过第二获取单元405获取目标对象在运行过程中的行为数据,并通过判断单元407基于该判断规则,确定目标对象的行为数据中是否存在异常行为的数据,在行为数据中存在异常行为的数据的情况下,通过确定单元409确定该目标对象存在风险行为,达到了智能提取判断规则并基于该判断规则智能判断应用或代码是否存在风险行为的目的,从而实现了预防恶意代码或携带有恶意代码的应用被执行导致用户信息安全受到威胁的技术效果,进而解决了现有技术中在判断应用或代码中是否存在病毒或木马等恶意程序时没有统一研判标准的技术问题。
在一种可选的实施例中,上述第二获取单元包括:获取模块,用于通过预定方式获取至少一种目标对象的执行文件,其中,预定方式包括以下至少之一:从网络上爬取、从用户上传的内容中获取、批量导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件;处理模块,用于基于每种目标对象的执行文件,对每种目标对象的运行过程进行仿真,得到每种目标对象在运行过程中的行为数据。
此处需要说明的是,上述获取模块和处理模块对应于方法实施例中的步骤S202至S204,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述方法实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。
在一种可选的实施例中,上述提取单元用于使用模型对文本信息进行分析,提取判别规则,其中,模型为使用多组数据通过机器学习训练出来的,多组数据中的每组数据均包括:文本信息和文本信息中提取出的判别规则。
在一种可选的实施例中,上述文本信息包括的信息的类型为以下至少之一:法律条款、预定的规章制度、预先配置的不被允许的行为。
根据本发明实施例,还提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述方法实施例中任意一项的可选的或优选的判别方法。
根据本发明实施例,还提供了一种处理器,其特征在于,处理器用于运行程序,其中,程序运行时执行上述方法实施例中任意一项的可选的或优选的判别方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种判别方法,其特征在于,包括:
获取文本信息,其中,所述文本信息包括:用于指示行为是否被允许的内容;
根据所述文本信息提取判别规则,其中,所述判别规则用于判断目标对象的行为是否存在风险行为,所述目标对象包括以下至少之一:应用、代码,所述风险行为包括以下至少之一:获取非所述目标对象应当获取的数据、执行超出所述目标对象权限的动作;
运行所述目标对象,并获取所述目标对象在运行过程中的行为数据;
根据所述判别规则从所述行为数据中进行数据筛选;
根据筛选出的数据确定所述目标对象的行为是否违反所述判别规则。
2.根据权利要求1所述的方法,其特征在于,运行所述目标对象,并获取所述目标对象在运行过程中的行为数据,包括:
通过预定方式获取至少一种目标对象的执行文件,其中,所述预定方式包括以下至少之一:从网络上爬取、从用户上传的内容中获取、导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件;
基于每种目标对象的执行文件,对所述每种目标对象的运行过程进行仿真,得到每种目标对象在运行过程中的行为数据。
3.根据权利要求1所述的方法,其特征在于,从所述文本信息中提取判别规则,包括:
使用模型对所述文本信息进行分析,提取所述判别规则,其中,所述模型为使用多组数据通过机器学习训练出来的,所述多组数据中的每组数据均包括:文本信息和文本信息中提取出的判别规则。
4.根据权利要求3所述的方法,其特征在于,所述文本信息包括的信息的类型为以下至少之一:法律条款、预定的规章制度、预先配置的不被允许的行为。
5.一种判别装置,其特征在于,包括:
第一获取单元,用于获取文本信息,其中,所述文本信息包括:用于指示行为是否被允许的内容;
提取单元,用于根据所述文本信息提取判别规则,其中,所述判别规则用于判断目标对象的行为是否存在风险行为,所述目标对象包括以下至少之一:应用、代码,所述风险行为包括以下至少之一:获取非所述目标对象应当获取的数据、执行超出所述目标对象权限的动作;
第二获取单元,用于运行所述目标对象,并获取所述目标对象在运行过程中的行为数据;
筛选单元,用于根据所述判别规则从所述行为数据中进行数据筛选;
确定单元,用于根据筛选出的数据确定所述目标对象的行为是否违反所述判别规则。
6.根据权利要求5所述的装置,其特征在于,所述第二获取单元包括:
获取模块,用于通过预定方式获取至少一种目标对象的执行文件,其中,所述预定方式包括以下至少之一:从网络上爬取、从用户上传的内容中获取、批量导入、从预定链接地址下载、从预定设备上获取已经安装的应用或软件;
处理模块,用于基于每种目标对象的执行文件,对所述每种目标对象的运行过程进行仿真,得到每种目标对象在运行过程中的行为数据。
7.根据权利要求5所述的装置,其特征在于,所述提取单元用于使用模型对所述文本信息进行分析,提取所述判别规则,其中,所述模型为使用多组数据通过机器学习训练出来的,所述多组数据中的每组数据均包括:文本信息和文本信息中提取出的判别规则。
8.根据权利要求7所述的装置,其特征在于,所述文本信息包括的信息的类型为以下至少之一:法律条款、预定的规章制度、预先配置的不被允许的行为。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至4中任意一项所述的判别方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至4中任意一项所述的判别方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810175161.2A CN108549813A (zh) | 2018-03-02 | 2018-03-02 | 判别方法、装置及处理器和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810175161.2A CN108549813A (zh) | 2018-03-02 | 2018-03-02 | 判别方法、装置及处理器和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108549813A true CN108549813A (zh) | 2018-09-18 |
Family
ID=63516497
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810175161.2A Pending CN108549813A (zh) | 2018-03-02 | 2018-03-02 | 判别方法、装置及处理器和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108549813A (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1410918A (zh) * | 2002-05-31 | 2003-04-16 | 浙江大学 | 基于信息抽取技术的搜索引擎 |
CN101470699A (zh) * | 2007-12-28 | 2009-07-01 | 日电(中国)有限公司 | 信息提取模型训练装置、信息提取装置和信息提取系统及其方法 |
CN101751455A (zh) * | 2009-12-31 | 2010-06-23 | 浙江大学 | 采用人工智能技术自动产生标题的方法 |
CN103942494A (zh) * | 2014-04-01 | 2014-07-23 | 中国科学院声学研究所 | 恶意软件审核方法和系统 |
CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
CN104580203A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 网站恶意程序检测方法及装置 |
CN105429980A (zh) * | 2015-11-17 | 2016-03-23 | 中国联合网络通信集团有限公司 | 网络安全处理方法及装置 |
US20160103823A1 (en) * | 2014-10-10 | 2016-04-14 | The Trustees Of Columbia University In The City Of New York | Machine Learning Extraction of Free-Form Textual Rules and Provisions From Legal Documents |
CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
CN106095749A (zh) * | 2016-06-03 | 2016-11-09 | 杭州量知数据科技有限公司 | 一种基于深度学习的文本关键词提取方法 |
CN106407324A (zh) * | 2016-08-31 | 2017-02-15 | 北京城市网邻信息技术有限公司 | 联系方式识别方法及装置 |
CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
CN106815207A (zh) * | 2015-12-01 | 2017-06-09 | 北京国双科技有限公司 | 用于法律裁判文书的信息处理方法及装置 |
CN106845228A (zh) * | 2016-12-28 | 2017-06-13 | 微梦创科网络科技(中国)有限公司 | 一种检测恶意程序的方法和装置 |
CN107403375A (zh) * | 2017-04-19 | 2017-11-28 | 北京文因互联科技有限公司 | 一种基于深度学习的上市公司公告分类及摘要生成方法 |
-
2018
- 2018-03-02 CN CN201810175161.2A patent/CN108549813A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1410918A (zh) * | 2002-05-31 | 2003-04-16 | 浙江大学 | 基于信息抽取技术的搜索引擎 |
CN101470699A (zh) * | 2007-12-28 | 2009-07-01 | 日电(中国)有限公司 | 信息提取模型训练装置、信息提取装置和信息提取系统及其方法 |
CN101751455A (zh) * | 2009-12-31 | 2010-06-23 | 浙江大学 | 采用人工智能技术自动产生标题的方法 |
CN103942494A (zh) * | 2014-04-01 | 2014-07-23 | 中国科学院声学研究所 | 恶意软件审核方法和系统 |
CN104156439A (zh) * | 2014-08-12 | 2014-11-19 | 华北电力大学句容研究中心 | 一种远程运维智能审计的方法 |
US20160103823A1 (en) * | 2014-10-10 | 2016-04-14 | The Trustees Of Columbia University In The City Of New York | Machine Learning Extraction of Free-Form Textual Rules and Provisions From Legal Documents |
CN104580203A (zh) * | 2014-12-31 | 2015-04-29 | 北京奇虎科技有限公司 | 网站恶意程序检测方法及装置 |
CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
CN105429980A (zh) * | 2015-11-17 | 2016-03-23 | 中国联合网络通信集团有限公司 | 网络安全处理方法及装置 |
CN106815207A (zh) * | 2015-12-01 | 2017-06-09 | 北京国双科技有限公司 | 用于法律裁判文书的信息处理方法及装置 |
CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
CN106095749A (zh) * | 2016-06-03 | 2016-11-09 | 杭州量知数据科技有限公司 | 一种基于深度学习的文本关键词提取方法 |
CN106407324A (zh) * | 2016-08-31 | 2017-02-15 | 北京城市网邻信息技术有限公司 | 联系方式识别方法及装置 |
CN106845228A (zh) * | 2016-12-28 | 2017-06-13 | 微梦创科网络科技(中国)有限公司 | 一种检测恶意程序的方法和装置 |
CN107403375A (zh) * | 2017-04-19 | 2017-11-28 | 北京文因互联科技有限公司 | 一种基于深度学习的上市公司公告分类及摘要生成方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108366045B (zh) | 一种风控评分卡的设置方法和装置 | |
Norouzi et al. | A data mining classification approach for behavioral malware detection | |
CN105187394B (zh) | 具有移动终端恶意软件行为检测能力的代理服务器及方法 | |
CN108200054A (zh) | 一种基于dns解析的恶意域名检测方法及装置 | |
CN103299304B (zh) | 分类规则生成装置和分类规则生成方法 | |
CN103065088B (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
CN106599686A (zh) | 一种基于tlsh特征表示的恶意软件聚类方法 | |
CN105787366A (zh) | 基于组件关系的安卓软件可视化安全分析方法 | |
CN112528284A (zh) | 恶意程序的检测方法及装置、存储介质、电子设备 | |
CN106980497A (zh) | 网页网站性能优化方法和装置 | |
CN107368856A (zh) | 恶意软件的聚类方法及装置、计算机装置及可读存储介质 | |
CN108446559A (zh) | 一种apt组织的识别方法及装置 | |
CN107180190A (zh) | 一种基于混合特征的Android恶意软件检测方法及系统 | |
CN109558555B (zh) | 基于人工免疫危险理论的微博水军检测方法及检测系统 | |
CN108229170A (zh) | 利用大数据和神经网络的软件分析方法和装置 | |
CN114090406A (zh) | 电力物联网设备行为安全检测方法、系统、设备及存储介质 | |
CN108228656A (zh) | 基于cart决策树的url分类方法及装置 | |
CN112765660A (zh) | 一种基于MapReduce并行聚类技术的终端安全性分析方法和系统 | |
Lounici et al. | Optimizing Leak Detection in Open-source Platforms with Machine Learning Techniques. | |
Dugyala et al. | [Retracted] Analysis of Malware Detection and Signature Generation Using a Novel Hybrid Approach | |
CN111784360B (zh) | 一种基于网络链接回溯的反欺诈预测方法及系统 | |
CN110532773A (zh) | 恶意访问行为识别方法、数据处理方法、装置和设备 | |
CN113971283A (zh) | 一种基于特征的恶意应用程序检测方法及设备 | |
CN108549813A (zh) | 判别方法、装置及处理器和存储介质 | |
CN107426201A (zh) | 可执行文件的处理方法及装置、存储介质和处理器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |