CN110392081B - 病毒库推送方法及装置、计算机设备和计算机存储介质 - Google Patents
病毒库推送方法及装置、计算机设备和计算机存储介质 Download PDFInfo
- Publication number
- CN110392081B CN110392081B CN201810361522.2A CN201810361522A CN110392081B CN 110392081 B CN110392081 B CN 110392081B CN 201810361522 A CN201810361522 A CN 201810361522A CN 110392081 B CN110392081 B CN 110392081B
- Authority
- CN
- China
- Prior art keywords
- sample
- pushing
- detected
- preset
- preset condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/55—Push-based network services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种病毒库推送方法、相应装置、计算机设备和计算机存储介质,涉及网络安全技术领域。其中病毒库推送方法包括:确定已检测的样本;获取样本被检测后得到的检测结果;当检测结果指示样本包含恶意代码时,判断样本是否满足第一预设条件,第一预设条件包括:样本被检测的时间在第一预设周期内、且检测样本的设备在第一预设周期内检出的恶意代码的比例或种类或数量不大于第一预设阈值;若样本满足第一预设条件,则推送与样本的恶意代码对应的特征文件。本方法在保证用户场景下检测能力基础上,用户端特征文件数量急剧减少,使得病毒库体积减小,节省了用户端存储空间,降低了用户日常更新和企业日常推送更新产生的流量消耗。
Description
技术领域
本发明涉及网络安全技术领域,更为具体而言,涉及一种病毒库推送方法、装置、计算机设备及计算机存储介质。
背景技术
时至今日,随着移动设备的普及,移动信息安全越来越受到大众的重视,移动恶意代码作为重要的移动威胁手段,经过近几年的迅猛发展在技术手段上已趋近成熟,并保持着稳定的增长,随着时间的推移,针对已有移动恶意代码检测的病毒库越来越庞大,因此需要对恶意代码检测利用到的病毒库进行筛选,然后推送筛选后的病毒库以进行恶意代码检测。
现有病毒库推送方法是:获取所有样本的集合,该样本集合中的样本为恶意的安装包,从样本中提取恶意样本特征,将提取的所有恶意样本特征更新到病毒库中。
然而,上述现有病毒库推送方法将所有的恶意样本特征全部推送到病毒库,而没有考虑样本在用户场景中的实际出现情况,例如,某包含恶意代码的样本在2012年开发并发布到应用市场,当时用户量很大,但到2017年,可能样本已经被淘汰,用户量几乎没有,上述现有病毒库推送方法将该样本对应的恶意样本特征推送到病毒库,导致数据冗余,致使病毒库体积越来越庞大,造成用户更新病毒库和企业推送病毒库需要花费更多的流量,造成流量浪费,因为当前没有用户在使用或者只有少量用户使用该恶意样本特征。
发明内容
本发明实施例提供了一种病毒库推送方法、装置、计算机设备及计算机存储介质,用以解决现有技术中所存在的上述技术问题。
第一方面,本发明实施例提供了一种病毒库推送方法。
具体地,所述病毒库推送方法包括:
确定已检测的样本;
获取所述样本被检测后得到的检测结果;
当所述检测结果指示所述样本包含恶意代码时,判断所述样本是否满足第一预设条件,所述第一预设条件包括:所述样本被检测的时间在第一预设周期内、且检测所述样本的设备在所述第一预设周期内检出的恶意代码的比例或种类或数量不大于第一预设阈值;
若所述样本满足所述第一预设条件,则推送与所述样本的恶意代码对应的特征文件。
第二方面,本发明实施例提供了另一种病毒库推送方法。
具体地,所述病毒库推送方法包括:
确定已检测的样本;
获取所述样本被检测后得到的检测结果;
当所述检测结果指示所述样本包含未知代码时,判断所述样本是否满足第二预设条件,其中,所述第二预设条件包括:所述样本被检测的时间在第三预设周期内、且检测所述样本的设备在所述第三预设周期内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
若所述样本满足所述第二预设条件,则获取所述样本的相似性关联信息;
根据所述样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
推送与所述被关联样本的恶意代码对应的特征文件。
第三方面,本发明实施例提供了一种病毒库推送装置。
具体地,所述病毒库推送装置包括:
第一样本确定模块,用于确定已检测的样本;
第一样本检测结果获取模块,用于获取所述样本被检测后得到的检测结果;
第一判断模块,用于当所述检测结果指示所述样本包含恶意代码时,判断所述样本是否满足第一预设条件,所述第一预设条件包括:所述样本被检测的时间在第一预设周期内、且检测所述样本的设备在所述第一预设周期内检出的恶意代码的比例或种类或数量不大于第一预设阈值;
第一推送模块,用于若所述样本满足第一预设条件,则推送与所述样本的恶意代码对应的特征文件。
第四方面,本发明实施例提供了一种病毒库推送装置。
具体地,所述病毒库推送装置包括:
第二样本确定模块,用于确定已检测的样本;
第二样本检测结果获取模块,用于获取所述样本被检测后得到的检测结果;
第二判断模块,用于当所述检测结果指示所述样本包含未知代码时,判断所述样本是否满足第二预设条件,其中,所述第二预设条件包括:所述样本被检测的时间在第三预设周期内、且检测所述样本的设备在所述第三预设周期内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
样本相似性关联信息获取模块,用于当所述样本满足所述第二预设条件时,获取所述样本的相似性关联信息;
被关联样本恶意代码获取模块,用于根据所述样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
第二推送模块,用于推送与所述被关联样本的恶意代码对应的特征文件。
第五方面,本发明实施例提供了一种计算机设备。
具体地,所述计算机设备包括处理器以及用于存放计算机程序的存储器。其中,所述处理器用于执行所述存储器上所存放的计算机程序,以实现第一方面或第二方面所述的病毒库推送方法。
第六方面,本发明实施例提供了一种计算机存储介质。
具体地,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或第二方面所述的病毒库推送方法。
本申请实施例病毒库推送方法、装置、计算机设备及计算机存储介质摒弃了现有病毒库推送方案中不做任何判定,将与所有恶意代码对应的特征文件推送到病毒库的策略,本申请基于真实的用户设备反馈的检测数据,仅将与某周期用户场景下的恶意代码对应的特征文件或者与被关联样本的恶意代码(该被关联样为已知恶意病毒样本库中与某周期用户场景下的未知代码相关联的样本)对应的特征文件推送到病毒库,通过这样的技术方案,本方法在保证用户场景下检测能力的基础上,用户端的特征文件数量急剧减少,这一方面减小了病毒库体积,节省了用户端的存储空间,另一方面降低了用户日常更新和企业日常推送更新产生的流量消耗。
本发明的这些方面或其他方面在以下实施例的描述中会更加简明易懂。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明方法实施例1的病毒库推送方法的流程图;
图2是本发明方法实施例2的病毒库推送方法的流程图;
图3是本发明方法实施例3的病毒库推送方法的流程图;
图4是本发明产品实施例1的病毒库推送装置的结构示意图;
图5是本发明产品实施例2的病毒库推送装置的结构示意图;
图6是本发明产品实施例3的病毒库推送装置的结构示意图。
具体实施例
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
在本发明的说明书和权利要求书及上述附图中的描述的一些流程中,包含了按照特定顺序出现的多个操作,但是应该清楚了解,这些操作可以不按照其在本文中出现的顺序来执行或并行执行,操作的标号如102、104等,仅仅是用于区分开各个不同的操作,标号本身不代表任何的执行顺序。另外,这些流程可以包括更多或更少的操作,并且这些操作可以按顺序执行或并行执行。需要说明的是,本文中的“第一”、“第二”等描述,是用于区分不同的消息、设备、模块等,不代表先后顺序,也不限定“第一”和“第二”是不同的类型。
下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施方式,都属于本发明保护的范围。
【方法实施例1】
图1是根据本发明方法实施例1的病毒库推送方法的流程图。参见图1,在本实施例中,所述方法包括:
步骤S102,确定已检测的样本;
在本实施例可能的实现方式中,已检测的样本可以通过样本的唯一标识符,例如样本对应的md5来确定。
步骤S104,获取该样本被检测后得到的检测结果;
在本实施例可能的实现方式中,样本被检测的结果可以为通过引擎和病毒库,例如安天引擎和安天病毒库检测恶意代码后得到的检测结果,该结果可以是白名单、未知代码或者恶意代码。
下表1展示了收集的所有已检样本的检测信息,包括每个样本的md5、每个样本被检测后得到的检测结果。另外,该表给出了样本的编号,以助于清楚说明本实施例的原理。
表1
步骤S106,当检测结果指示该样本包含恶意代码时,判断该样本是否满足第一预设条件,其中,第一预设条件包括:该样本被检测的时间在第一预设周期T1内、且检测该样本的设备在第一预设周期T1内检出的恶意代码的比例或种类或数量不大于第一预设阈值;
步骤S108,若该样本满足第一预设条件,则推送与该样本的恶意代码对应的特征文件。
具体地,根据检测结果判断样本是否含有恶意代码,以确定出所有前端活跃的恶意代码。根据上表1可以得知编号2、4、14、21、23、24、30、32、33对应的样本包含恶意代码,如下表2所示。
表2
得知上述样本包含恶意代码后,还需要判断该样本是否满足第一预设条件。其中,第一预设条件包括:该样本被检测的时间在第一预设周期T1内、且检测该样本的设备在第一预设周期T1内检出的恶意代码的比例不大于第一预设阈值。
判断上述样本被检测的时间是否在第一预设周期T1内,以有效筛选出近期用户场景下的恶意代码,在第一预设周期T1内,说明该恶意代码是近期用户场景下活跃的;不在第一预设周期T1内,说明该恶意代码不是近期用户场景下活跃的,不具有参考意义。第一预设周期T1可以预先设定一个时间范围,然后按照本实施例病毒库推送方法推送与样本的恶意代码对应的特征文件后,获取该次推送之后,下次推送之前前端实际出现的恶意代码名称,判断实际出现的恶意代码与推送的对应恶意代码的比值是否小于第四预设阈值,当小于时,缩短设定的第一预设周期T1,按照缩短的第一预设周期T1进行本实施例病毒库推送方法的处理(需要说明的是,小于表明与推送的恶意代码对应的特征存在大比例的无效);当不小于时,按照原设定的第一预设周期T1进行本实施例病毒库推送方法的处理。其中,该第四预设阈值可以根据需求设定。
判断在第一预设周期T1内检出的恶意代码的比例或种类或数量是否不大于第一预设阈值,能得知检测该样本的设备是否是普通用户设备。这是因为在正常用户场景下,恶意代码存在的比例或种类或数量不会太高,如果某设备反馈的恶意代码的比例或种类或数量太高,则可以认为其不是普通用户设备,而可能是某个测试设备,那么对应的样本应该予以排除。本实施例中定义了一个第一预设阈值,大于第一预设阈值,则认为该设备是测试设备;不大于第一预设阈值,则认为该设备是普通用户设备。在一个可选的实施例中,可以根据所有设备id的恶意代码比例的平均值来确定该第一预设阈值。
基于上述描述,这里首先需要得知检测该样本的设备以及该样本被检测的时间。在本实施例可能的实现方式中,检测该样本的设备可以通过设备的唯一标识符来确定,具体地,可以通过引擎,例如安天引擎根据检测样本的设备的mac地址计算得出;样本被检测的时间可以是该样本检测完毕的时间,或者是该样本开始检测的时间,该时间可以通过引擎,例如安天引擎的回传时间确定。下表3展示了表2所示每个包含恶意代码的样本的检测时间信息以及检测设备信息。
表3
本实施例中,第一预设周期T1可以设置为从该样本的检测时间点之前的两周,例如定义第一预设周期T1为20170717—20170731。在本实施例中,编号为2、4的样本不在第一预设周期T1内,不具有参考意义,需要剔除,则剩下样本数据如下表4;
表4
然后判断表4中检测该样本的设备是否是普通用户设备,在本实施例的一个实施方式中,通过判断检测该样本的设备在第一预设周期T1内检出的恶意代码的比例是否不大于第一预设阈值来实现。
具体地,先统计表4中每一个检测设备在第一预设周期T1内的检测结果,如下表5:
表5
再统计表5中每一个检测设备在第一预设周期T1内检出的恶意代码的比例,得到如下表6:
表6
在本实施例中,作为示例,第一预设阈值为0.4,则根据上表6,可以看出设备id为9e3145ab139ce158、e782fb4fea374972、fdcebdf5d0245fe0对应的检测设备检出的恶意代码比例超过了0.4,那么其对应的样本不具有参考意义。因此在表4样本数据的基础上,对应删除表6中所示不符合第一预设阈值的23、30、32、33的样本数据后,得到剩下的样本数据如下表7:
表7
这样,表7对应的样本满足预设满足第一预设条件。于是,将表7中的检测结果去掉[],得到样本对应的恶意代码名称。此时,在已知恶意代码特征库中查找是否存在样本14、21、24对应的恶意代码名称。如果存在,则获取恶意代码特征库中与恶意代码名称对应的特征文件,然后推送与恶意代码名称对应的特征文件。
例如,安天内部的恶意代码特征库中,恶意代码名称与特征文件的对应关系如下表8:
表8
根据表7中恶意代码名称Trojan/Android.QQspy.cm和Trojan/Android.locSpy.e,将表7中与表8进行关联,查找表8中对应表7的恶意代码名称,本实施例已找到对应的恶意代码名称,此时将表8中与恶意代码名称Trojan/Android.QQspy.cm和Trojan/Android.locSpy.e对应的特征文件C、C1、C2、C3、C4、C5、C6、D、D1推送到病毒库。
由上述技术方案可知,本实施例摒弃了现有方法中不做任何判定,将所有的恶意代码特征推送到病毒库的策略,而是基于真实的用户设备反馈的检测数据,只提取某周期(如本实施例中第一预设周期)用户场景下的恶意代码数据,仅将与该周期用户场景下的恶意代码数据对应的恶意代码特征文件推送到病毒库,通过这样的技术方案,本方法在保证用户场景下检测能力的基础上,用户端的特征文件数量急剧减少,这一方面减小了病毒库体积,节省了用户端的存储空间,另一方面降低了用户日常更新和企业日常推送更新产生的流量消耗。
进一步地,在本实施例的一种实现方式中,第一预设条件还包括:
该样本的恶意代码在该第一预设周期T1内出现的次数大于第二预设阈值。
具体地,在推送与该样本的恶意代码对应的特征文件之前,还需要将所有已检出的样本对应的恶意代码名称,按名称出现次数进行统计。如果对应的恶意代码名称在第一预设周期T1内出现的次数小于第二预设阈值,则认为该恶意代码有效性不高,不具有参考意义,不进行推送,而推送大于第二预设阈值,即出现频率高的恶意代码对应的特征文件。第二预设阈值可以根据实际情况进行设置,在本实施例中,第二预设阈值设置为1次。参考表7,由于恶意代码Trojan/Android.QQspy.cm、Trojan/Android.locSpy.e在第一预设周期T1内出现的次数分别为1次、2次,都大于第二预设阈值1,因此无需删除样本,直接推送与表7中样本的恶意代码对应的特征文件。
需要说明的是,在第二预设阈值被设置之后,可以根据第一预设周期T1之后的一段周期内每个恶意代码出现的次数与所有恶意代码出现的次数进行调整。具体地,第一预设周期T1之后若干周期内,某恶意代码i在第一预设周期T1之后的第j周期内出现的次数为Ai,j,所有恶意代码出现的次数为Bj,期望的有效性阈值为C,这里有效性阈值C反映期望推送的恶意代码在前端的活跃度。所有满足Ai,j/Bj≤C,确定每个周期例如第j周期的最大次数,记为Mj。在所有周期最大次数中,去掉最大值和最小值,将剩下的次数取平均值,此时第二预设阈值调整为该平均值。
进一步地,在本实施例的一种实现方式中,第一预设条件进一步包括:
该样本的捕获时间在第二预设周期T2内。
在本步骤中,推送与该样本的恶意代码对应的特征文件之前,还需要判断样本的捕获时间是否在第二预设周期T2内,以进一步过滤比较老的样本,由于本方法是基于用户数据预测的过程来实现推送,如果样本在很久之前就已经被安天捕获,则说明该样本比较老,后期在客户端出现的可能性相对较小,不具有参考意义。
较佳地,可以根据样本被捕获后录入已有样本数据库的时间来确定样本的新旧程度。如果已有样本数据库中有相应的样本,且样本被捕获后录入已有样本数据库的时间在第二预设周期T2内,说明是近期较新的样本,可以作为参考,如果不在第二预设周期T2内,说明是较老的样本,剔除不做参考。必须指出的是,如果已有样本数据库中没有相应的样本,则这样的样本全部保留,作为参考。根据本申请发明人的大量数据采集和验证,发现将第二预设周期T2设定为从该样本的检测时间点起之前的近一年半时间,可以过滤掉85%的较老且非活跃样本。
具体地,首先需要通过样本的标识例如md5,将表7中所有样本(已检测样本)与已有样本数据库,例如安天样本库中的样本进行关联,比如安天样本库的样本入库时间列表如表9:
| 样本入库时间 | 已捕获样本 |
| 20170718 | md5_14 |
| 20170719 | md5_21 |
| 20170721 | md5_24 |
表9
根据表9可以确定表7中每个样本是否存在于安天样本库中,如果存在,则在表9中可以查找到与表7中每个样本相关联的样本,并能确定表7中每个样本进入安天样本库的时间,即样本的捕获时间。
在本实施例中,设定第二预设周期T2为20160201—20170731,由于表7中样本进入安天样本库的时间都满足第二预设周期T2,所以表7中所有样本都是近期较新的样本,可以作为参考,因此不删除表7中的任何样本,于是推送与表7中样本的恶意代码对应的特征文件。
进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术,例如安天引擎及安天病毒库检测恶意代码后回传回来的检测详情数据。
【方法实施例2】
图2是根据本发明方法实施例2的病毒库推送方法的流程图。参见图2,在本实施例中,所述方法包括:
步骤S202,确定已检测的样本;
步骤S204,获取该样本被检测后得到的检测结果;
步骤S206,当检测结果指示该样本包含未知代码时,判断样本是否满足第二预设条件,其中,第二预设条件包括:样本被检测的时间在第三预设周期T3内、且检测该样本的设备在第三预设周期T3内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
在本实施例中,与方法实施例1相比,本实施例中的步骤S202和步骤S204与方法实施例1中的步骤S102至S104相同,在此不再赘述。
在本实施例中,第三预设周期T3可以预先设定一个时间范围,然后按照本实施例病毒库推送方法推送与被关联样本的恶意代码对应的特征文件后,获取该次推送之后,下次推送之前,前端实际检出的恶意代码名称以及根据与实际检出的未知代码名称关联的样本的恶意代码名称,判断这两种情形对应的恶意代码与推送的对应被关联样本恶意代码的比值是否小于第五预设阈值,当小于时,缩短设定的第三预设周期T3,按照缩短的第三预设周期T3进行本实施例病毒库推送方法的处理(需要说明的是,小于表明推送的对应恶意代码的特征文件存在大比例的无效);当不小于时,按照原设定的第三预设周期T3进行本实施例病毒库推送方法的处理。其中,该第五预设阈值可以根据需求设定。
需要说明的是,本实施例中的第三预设周期T3可以与上述实施例1中的第一预设周期T1相同。
具体地,首先,根据检测结果判断样本是否含有未知代码,首先需要从表1中筛选出检测结果为unknown的样本检测相关信息,得到如下表10:
| 编号 | 检测样本 | 检测结果 |
| 9 | md5_9 | Unknown |
| 12 | md5_12 | Unknown |
| 13 | md5_13 | Unknown |
| 15 | md5_15 | Unknown |
| 16 | md5_16 | Unknown |
| 19 | md5_19 | Unknown |
| 20 | md5_20 | Unknown |
| 27 | md5_27 | Unknown |
| 28 | md5_28 | Unknown |
| 29 | md5_29 | Unknown |
表10
然后,获取检测结果为unknown的样本的检测时间,筛选出检测时间在第三预设周期T3内的样本。这里,需要先得知表10中每个样本的检测时间。在本实施例可能的实现方式中,样本被检测的时间可以是该样本检测完毕的时间,或者是该样本开始检测的时间,该时间可以通过引擎,例如安天引擎的回传时间确定。下表11展示了表10所示每个包含未知的样本的检测时间信息。
表11
接着筛选出表11中检测时间在第三预设周期T3内的样本,在本实施例中,第三预设周期T3可以设置为从该样本的检测时间点之前的两周,即与第一预设周期T1相同,例如定义第三预设周期T3为20170717—20170731。在本实施例中,所有样本都满足第三预设周期T3,因此表11经检测时间筛选后不变。
然后,获取检测结果为unknown的样本对应的检测设备,判断表11中检测该样本的设备是否是普通用户设备。在本实施例中,可以通过判断检测该样本的设备在第三预设周期T3内检出的恶意代码的比例或种类或数量是否不大于第三预设阈值,第三预设阈值的确定与第一预设阈值原理相同,在此不再赘述。
具体地,先统计表11中每一个检测设备在第三预设周期T3内的检测结果,如下表12:
表12
再统计表12中每一个检测设备在第三预设周期T3内检出的恶意代码的比例,得到如下表13:
| 检测设备id | 恶意代码比例 |
| 15f7bc89affeede9 | 0 |
| 375e1dad9092f7c3 | 0.33 |
| 4daadf26026cd67e | 0 |
| 5fa1464ef41bc9b2 | 0 |
| 7d0c4abf54e4a7df | 0.33 |
| c025bce707279e2e | 0 |
| ddb98a01d83fbb95 | 0 |
| e6755c40fd5cab0e | 0 |
表13
在本实施例中,作为示例,第三预设阈值也为0.4,则根据上表13,可以看出所有设备检出的恶意代码比例都没有超过0.4,因此表11对应的样本满足预设满足第二预设条件。
步骤S208,若样本满足第二预设条件,则获取样本的相似性关联信息;
其中,该样本相似性关联信息可以包括该样本的包名信息和/或证书信息,可以通过引擎解析样本获得。在本实施例中,将样本的包名信息作为相似性关联信息。
如上所述,表11对应的样本满足预设满足第二预设条件,则表11数据全部保留。那么接着需要获取表11中样本的包名,得到如下表14。
表14
步骤S210,根据该样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
在本步骤中,针对所有前端活跃但未检出的样本,取该样本的相似性关联信息,例如包名信息、证书信息,或者两者的结合,通过相似性关联信息去关联已知恶意病毒样本库,例如安天恶意病毒样本库中已检出为恶意的样本,以间接获取这些样本的恶意代码名称。
比如安天恶意病毒样本库已检出为恶意的样本及对应的包名信息、检测结果如下表15:
| 已捕获样本的包名 | 已捕获样本 | 捕获后我们的检测结果 |
| com.baidu.searchbox | MD5_1 | Trojan/Android.GFakeApp.eq[exp] |
| com.itita.ww2.ucpay.uc | MD5_2 | Unknown |
| com.ftpapp | MD5_3 | Unknown |
| com.aliyun.wireless.vos.appstore | MD5_4 | Trojan/Android.GSpy.bw[prv,exp] |
| com.philzhu.www.ddz | MD5_5 | Trojan/Android.emial.fb[prv,exp] |
| com.project.cjfx.iqiyi | MD5_6 | Unknown |
| com.chorusworldwide.theroom.china.yos | MD5_7 | Trojan/Android.emial.fb[prv,exp] |
表15
通过包名将表14和表15进行关联,得到被关联样本MD5_1、MD5_2、MD5_3、MD5_4、MD5_5、MD5_6、MD5_7,此时不考虑包含未知代码的被关联样本,在包含恶意代码的被关联样本中,根据恶意代码名称去重,得到被关联样本的恶意代码检测结果如表16:
| 被关联样本的恶意代码检测结果 |
| Trojan/Android.GFakeApp.eq[exp] |
| Trojan/Android.GSpy.bw[prv,exp] |
| Trojan/Android.emial.fb[prv,exp] |
表16
步骤S212,推送与该被关联样本的恶意代码对应的特征文件。
具体地,在本实施例中,将表16中的检测结果去掉[]内的数据,得到被关联样本的恶意代码名称。此时,在已知恶意代码特征库中查找是否存在表10中被关联样本的恶意代码名称。如果存在,则获取已知恶意代码特征库中与被关联样本的恶意代码名称对应的特征文件,然后推送与被关联样本的恶意代码名称对应的特征文件。
进一步地,在本实施例的一种实现方式中,第二预设条件还包括:
该样本的捕获时间在第四预设周期T4内。
在本步骤中,推送与被关联样本的恶意代码名称对应的特征文件之前,还需要判断样本的捕获时间是否在第四预设周期T4内,以进一步过滤比较老的样本,由于本方法是基于用户数据预测的过程来实现推送,如果样本在很久之前就已经被引擎捕获,则说明该样本比较老,后期在客户端出现的可能性相对较小,不具有参考意义。
较佳地,可以根据当前已检样本被捕获后录入已有样本数据库的时间来确定该已检样本的新旧程度。如果已有样本数据库中有相应的样本,且样本被捕获后录入已有样本数据库的时间在第四预设周期T4内,说明该当前已检样本是近期较新的样本,可以作为参考,如果不在第四预设周期T4内,说明该当前已检样本是较老的样本,剔除不做参考。必须指出的是,如果已有样本数据库中没有相应的样本,则这样的该当前已检样本全部保留,作为参考。优选地,将第四预设周期T4设定为从该当前已检样本的检测时间点起之前的近一年半时间。
具体地,本实施例是判断表10中所有包含未知代码的样本的捕获时间是否在第四预设周期内,判断方法与方法实施例1相同,首先需要通过样本的标识例如md5,将表10中所有样本与已有样本数据库,例如安天样本库中的样本进行关联,比如安天样本库的样本入库时间列表如表17:
表17
根据表17可以确定表10中每个样本是否存在于安天样本库中,如果存在,则在表17中可以查找到与表10中每个样本相关联的样本,并能确定表10中每个样本进入安天样本库的时间,即样本的捕获时间。
在本实施例中,设定第四预设周期T4为20160201—20170731,由于表10中样本进入安天样本库的时间都满足第四预设周期T4,所以表10中所有样本都是近期较新的样本,可以作为参考,因此不删除表10中的任何样本,于是继续通过步骤S208、S210和S212推送与被关联样本(即,已知恶意病毒样本库中通过包名信息与表10中所有样本相关联的样本)的恶意代码名称对应的特征文件。进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、样本的相似性关联信息和检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术,例如安天引擎及安天病毒库检测恶意代码后回传回来的检测详情数据。
需要说明的是,可以将方法实施例1和方法实施例2结合,以将与所有恶意代码对应的特征文件或者与关联所有未知代码的样本的恶意代码对应的特征文件推送到病毒库
【方法实施例3】
图3是根据本发明方法实施例3的病毒库推送方法的流程图。参见图3,在本实施例中,所述方法包括:
步骤S302,确定已检测的样本;
步骤S304,获取该样本被检测后得到的检测结果;
步骤S306,当检测结果指示该样本包含未知代码时,判断该样本是否满足第二预设条件,其中,第二预设条件包括:样本被检测的时间在第三预设周期T3内、且检测该样本的设备在第三预设周期T3内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
步骤S308,若样本满足第二预设条件,则获取样本的相似性关联信息;
步骤S310,根据该样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
步骤S312,判断该被关联样本是否满足第三预设条件,其中,第三预设条件包括:该被关联样本的恶意代码在该第三预设周期T3之前的周期内被检出;
步骤S314,若该被关联样本满足第三预设条件,则推送与该被关联样本的恶意代码对应的特征文件。
在本实施例中,与方法实施例2相比,本实施例中的步骤S302和步骤S310与方法实施例2中的步骤S202至S210相同,在此不再赘述,不同的是,在推送与该被关联样本的恶意代码对应的特征文件之前,先要根据步骤S312判断被关联样本是否满足第三预设条件,这是由于被关联样本不一定都是近期内有效的,因此在推送与该被关联样本的恶意代码对应的特征文件之前,还需参考第三预设周期T3之前的周期,判断被关联样本的恶意代码是否出现在该第三预设周期T3之前的周期,如果没有出现,则认为该被关联样本的恶意代码不具有参考意义,不进行推送,如果出现,则具有参考意义,进行推送。可以理解地,该第三预设周期T3之前的周期可以根据实际数据情况进行设定。具体地,第三预设周期T3之前的周期可以预先设定一个时间范围,然后按照本实施例病毒库推送方法推送与被关联样本的恶意代码对应的特征文件后,获取该次推送之后,下次推送之前,前端实际检出的恶意代码名称以及根据与实际检出的未知代码名称关联的样本的恶意代码名称,判断这两种情形对应的恶意代码与推送的对应被关联样本恶意代码的比值是否小于第六预设阈值,当小于时,缩短设定的该第三预设周期T3之前的周期,按照缩短的该第三预设周期T3之前的周期进行本实施例病毒库推送方法的处理(需要说明的是,小于表明推送的对应样本恶意代码存在大比例的无效);当不小于时,按照原设定的该第三预设周期T3之前的周期进行本实施例病毒库推送方法的处理。其中,该第六预设阈值可以根据需求设定。
如前设定,第三设周期T3为20170717—20170731,在本实施例中,设定第三预设周期T3之前的周期为20170626—20170710,那么在表16所示被关联样本的恶意代码名称数据中,这里作为示例,假定只有检测结果Trojan/Android.GSpy.bw[prv,exp]没有在周期20170626—20170710内出现过,则删除检测结果Trojan/Android.GSpy.bw[prv,exp],然后将剩下的表16中被关联样本的检测结果去掉[]内的数据,得到恶意代码名称Trojan/Android.GFakeApp.eq和Trojan/Android.emial.fb,最后推送与恶意代码名称Trojan/Android.GFakeApp.eq和Trojan/Android.emial.fb对应的特征文件。相应地符合预设第三条件的包含恶意代码的被关联样本为表15中MD5_1,MD5_5,MD5_7的被关联样本。
进一步地,在本实施例的一种实现方式中,第二预设条件还包括:
该样本的捕获时间在第四预设周期T4内。
在本步骤中,推送与被关联样本的恶意代码对应的特征文件之前,还需要判断当前已检样本的捕获时间是否在第四预设周期T4内,以进一步过滤比较老的样本,由于本方法是基于用户数据预测的过程来实现推送,如果当前已检样本在很久之前就已经被引擎捕获,则说明当前已检样本比较老,后期在客户端出现的可能性相对较小,不具有参考意义。
较佳地,可以根据当前已检样本被捕获后录入已有样本数据库的时间来确定该已检样本的新旧程度。如果已有样本数据库中有相应的样本,且样本被捕获后录入已有样本数据库的时间在第四预设周期T4内,说明该当前已检样本是近期较新的样本,可以作为参考,如果不在第四预设周期T4内,说明该当前已检样本是较老的样本,剔除不做参考。必须指出的是,如果已有样本数据库中没有相应的样本,则这样的该当前已检样本全部保留,作为参考。优选地,将第四预设周期T4设定为从该当前已检样本的检测时间点起之前的近一年半时间。
如上所述,本实施例是判断表10中所有包含未知代码的样本的捕获时间是否在第四预设周期内,判断方法与方法实施例2相同,在此不再赘述。
进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、样本的相似性关联信息和检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术检测恶意代码后回传回来的检测详情数据。
【产品实施例1】
图4是根据本发明产品实施例1的病毒库推送装置的结构示意图。参见图4,在本实施例中,病毒库推送装置包括第一样本确定模块401、第一样本检测结果获取模块402、第一判断模块403和第一推送模块404。具体地,第一样本确定模块401用于确定已检测的样本;第一样本检测结果获取模块402用于获取该样本被检测后得到的检测结果;第一判断模块403用于当检测结果指示该样本包含恶意代码时,判断该样本是否满足第一预设条件,其中,第一预设条件包括:该样本被检测的时间在第一预设周期T1内、且检测该样本的设备在第一预设周期T1内检出的恶意代码的比例或种类或数量不大于第一预设阈值;第一推送模块404用于若该样本满足第一预设条件,则推送与该样本的恶意代码对应的特征文件。
由上述技术方案可知,本实施例病毒库推送装置中第一推送模块404仅将与某周期用户场景下的恶意代码数据对应的恶意代码特征文件推送到病毒库,通过这样的技术方案,本方法在保证用户场景下检测能力的基础上,用户端的特征文件数量急剧减少,这一方面减小了病毒库体积,节省了用户端的存储空间,另一方面降低了用户日常更新和企业日常推送更新产生的流量消耗。。
进一步地,在本实施例的一种实现方式中,第一预设条件还包括:
该样本的恶意代码在该第一预设周期T1内出现的次数大于第二预设阈值。
第一推送模块404在推送与该样本的恶意代码对应的特征文件之前,第一判断模块403还需要将所有已检出的样本对应的恶意代码名称,按名称出现次数进行统计。如果对应的恶意代码名称在第一预设周期T1内出现的次数小于第二预设阈值,则认为该恶意代码有效性不高,不具有参考意义,第一推送模块404不进行推送,而推送大于第二预设阈值,即出现频率高的恶意代码对应的特征文件。
进一步地,在本实施例的一种实现方式中,第一预设条件进一步包括:
该样本的捕获时间在第二预设周期T2内。
在本步骤中,第一推送模块404推送与该样本的恶意代码对应的特征文件之前,第一判断模块403还需要判断样本的捕获时间是否在第二预设周期T2内,以进一步过滤比较老的样本,由于本方法是基于用户数据预测的过程来实现推送,如果样本在很久之前就已经被引擎捕获,则说明该样本比较老,后期在客户端出现的可能性相对较小,不具有参考意义。
进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术,例如安天引擎及安天病毒库检测恶意代码后回传回来的检测详情数据。
【产品实施例2】
图5是根据本发明产品实施例2的病毒库推送装置的结构示意图。参见图5,在本实施例中,病毒库推送装置包括第二样本确定模块501、第二样本检测结果获取模块502、第二判断模块503、样本相似性关联信息获取模块504、被关联样本恶意代码获取模块505和第二推送模块506。其中,第二样本确定模块501、第二样本检测结果获取模块502与上述产品实施例1中的第一样本确定模块401、第一样本检测结果获取模块402分别相同,在此不再赘述。而第二判断模块503用于当根据检测结果判断出该样本包含未知代码时,判断该样本是否满足第二预设条件,该第二预设条件包括该样本被检测的时间在第三预设周期T3内、且检测该样本的设备在第三预设周期T3内检出的恶意代码的比例或种类或数量不大于第三预设阈值;样本相似性关联信息获取模块504用于若样本满足第二预设条件,则获取该样本的相似性关联信息;被关联样本恶意代码获取模块505用于根据该样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;第二推送模块506用于推送与被关联样本的恶意代码对应的特征文件。
在本步骤中,针对所有前端活跃但未检出的样本,样本相似性关联信息获取模块504取该样本的相似性关联信息,例如包名信息、证书信息,或者两者的结合,被关联样本恶意代码获取模块505通过相似性关联信息去关联已知恶意病毒样本库,例如安天恶意病毒样本库中已检出为恶意的样本,以间接获取这些样本的恶意代码名称,进而通过第二推送模块506推送与关联所有未知代码的样本的恶意代码对应的特征文件。
进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、样本的相似性关联信息和检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术,例如安天引擎及安天病毒库检测恶意代码后回传回来的检测详情数据。
进一步地,在本实施例的一种实现方式中,第二预设条件还包括:
该样本的捕获时间在第四预设周期T4内。
在本步骤中,第二推送模块506推送与被关联样本的恶意代码对应的特征文件之前,第三判断模块600还需要判断当前已检样本的捕获时间是否在第四预设周期T4内,以进一步过滤比较老的样本,由于本方法是基于用户数据预测的过程来实现推送,如果当前已检样本在很久之前就已经被引擎捕获,则说明当前已检样本比较老,后期在客户端出现的可能性相对较小,不具有参考意义。
【产品实施例3】
本实施方式所提供的病毒库推送装置包括产品实施方式2中的全部模块,在此不再赘述。如图6所示,在本实施方式中,该病毒库推送装置还包括第三判断模块600。其中,第三判断模块600用于判断被关联样本是否满足第三预设条件,其中,第三预设条件包括:所述被关联样本的恶意代码在所述第三预设周期之前的周期内被检出。此时,第二推送模块506具体用于若被关联样本满足第三预设条件,则推送与所述被关联样本的恶意代码对应的特征文件。
也就是说,第二推送模块506在推送与该被关联样本的恶意代码对应的特征文件之前,第三判断模块600先要判断被关联样本是否满足第三预设条件,这是由于被关联样本不一定都是近期内有效的,因此在推送与该被关联样本的恶意代码对应的特征文件之前,还需参考第三预设周期T3之前的周期,判断被关联样本的恶意代码是否出现在该第三预设周期T3之前的周期,如果没有出现,则认为该被关联样本的恶意代码不具有参考意义,第二推送模块506不进行推送。
进一步地,在本实施例的一种实现方式中,样本的检测相关信息,例如样本的标识、样本被检测的时间、样本被检测后得到的检测结果、样本的相似性关联信息和检测样本的设备标识可以全部或者部分地通过检测反馈的日志得到。该日志可以是客户端使用恶意代码检测技术检测恶意代码后回传回来的检测详情数据。
本发明实施例又提供了一种计算机设备,包括处理器以及用于存放计算机程序的存储器,该处理器用于执行存储器上所存放的计算机程序,以实现前文提及的任意一种病毒库推送方法,或者,以实现前文提及的任一病毒库推送装置所执行的处理。
此外,本发明实施例再提供了一种计算机存储介质,该计算机存储介质内存储有计算机程序,其中计算机程序被处理器执行时实现前文提及的任意一种病毒库推送方法,或者,实现前文提及的任一病毒库推送装置所执行的处理。
上述存储介质和计算机设备,由于实现了上述病毒库推送方法,同理能在保证用户场景下检测能力的基础上,使得用户端的特征文件数量急剧减少,这一方面减小了病毒库体积,节省了用户端的存储空间,另一方面降低了用户日常更新和企业日常推送更新产生的流量消耗。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同及相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置设备实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
本领域的技术人员可以清楚地了解到本发明可全部通过软件实现,也可借助软件结合硬件平台的方式来实现。基于这样的理解,本发明的技术方案对背景技术做出贡献的全部或者部分可以以软件产品的形式体现出来,所述计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、智能手机或者网络设备等)执行本发明各个实施例或实施例的某些部分所述的方法。
本文中所使用的“软件”等词均指一般意义上的任意类型的计算机编码或者计算机可执行指令集,可以运行所述编码或者指令集来使计算机或其他处理器程序化以执行如上所述的本发明的技术方案的各个方面。此外,需要说明的是,根据实施例的一个方面,在执行时实施本发明的技术方案的方法的一个或多个计算机程序不必须要在一台计算机或处理器上,而是可以分布于多个计算机或者处理器中的模块中,以执行本发明的技术方案的各个方面。
计算机可执行指令可以有许多形式,如程序模块,可以由一台或多台计算机或是其他设备执行。一般地,程序模块包括例程、程序、对象、组件以及数据结构等等,执行特定的任务或是实施特定的抽象数据类型。特别地,在各种实施例中,程序模块进行的操作可以根据各个不同实施例的需要进行结合或者拆分。
并且,本发明的技术方案可以体现为一种方法,并且已经提供了所述方法的至少一个示例。可以通过任何一种合适的顺序执行动作,所述动作表现为所述方法中的一部分。因此,实施例可以构造成可以按照与所示出的执行顺序不同的顺序执行动作,其中,可以包括同时地执行一些动作(尽管在示出的实施例中,这些动作是连续的)。
在本发明的各个具体实施例中,所描述的特征、架构或功能可在一个或一个以上实施例中以任何方式组合,其中众所周知的操作过程、程序模块、单元及其相互之间的连接、链接、通信或操作没有示出或未作详细说明。本领域技术人员应当理解,下述的各种实施例只用于举例说明,而非用于限制本发明的保护范围。本领域的技术人员还可以容易理解,本文所述和附图所示的各实施例中的程序模块、单元或步骤可以按多种不同配置进行组合和设计。
对于未在本说明书中进行具体说明的技术术语,除非另有特定说明,都应以本领域最为宽泛的意思进行解释。本文所给出的和使用的定义,应当对照字典、通过引用而并入的文档中的定义、和/或其通常意思进行理解。本文使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。
在权利要求书中以及上述的说明书中,所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项的任何或者所有可能组合。应当理解,尽管在本文可能采用术语第一、第二、第三等来描述各种信息和/或模块,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息和/或模块彼此区分开。例如,在不脱离本文范围的情况下,第一信息和/或模块也可以被称为第二信息和/或模块,类似地,第二信息和/或模块也可以被称为第一信息和/或模块。另外,在此所使用的词语“如果”,其意思取决于语境,可以被解释成为“在……时”或“当……时”或“响应于确定”。
在权利要求书中以及上述的说明书中,所有的过度短语,例如“包括”、“具有”、“包含”、“承载”、“具有”、“涉及”、“主要由…组成”以及其任何其它变体是应理解为是开放式的,即,包含但不限于,意在涵盖非排它性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明说明书中使用的术语和措辞仅仅为了举例说明,并不意味构成限定。本领域技术人员应当理解,在不脱离所公开的实施例的基本原理的前提下,对上述实施例中的各细节可进行各种变化。因此,本发明的范围只由权利要求确定,在权利要求中,除非另有说明,所有的术语应按最宽泛合理的意思进行理解。
Claims (18)
1.一种病毒库推送方法,包括:
确定已检测的样本;
获取所述样本被检测后得到的检测结果;
当所述检测结果指示所述样本包含恶意代码时,判断所述样本是否满足第一预设条件,所述第一预设条件包括:所述样本被检测的时间在第一预设周期内、且检测所述样本的设备在所述第一预设周期内检出的恶意代码的比例或种类或数量不大于第一预设阈值;
若所述样本满足所述第一预设条件,则推送与所述样本的恶意代码对应的特征文件。
2.如权利要求1所述的病毒库推送方法,其特征在于,所述第一预设条件还包括:
所述样本包含的恶意代码在所述第一预设周期内出现的次数大于第二预设阈值。
3.如权利要求1或2所述的病毒库推送方法,其特征在于,所述第一预设条件还包括:
所述样本的捕获时间在第二预设周期内。
4.如权利要求1或2所述的病毒库推送方法,其特征在于,所述样本的检测相关信息至少部分地通过检测反馈的日志获得。
5.一种病毒库推送方法,包括:
确定已检测的样本;
获取所述样本被检测后得到的检测结果;
当所述检测结果指示所述样本包含未知代码时,判断所述样本是否满足第二预设条件,所述第二预设条件包括:所述样本被检测的时间在第三预设周期内、且检测所述样本的设备在所述第三预设周期内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
若所述样本满足所述第二预设条件,则获取所述样本的相似性关联信息;
根据所述样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
推送与所述被关联样本的恶意代码对应的特征文件。
6.如权利要求5所述的病毒库推送方法,其特征在于,还包括:
判断所述被关联样本是否满足第三预设条件,所述第三预设条件包括:所述被关联样本的恶意代码在所述第三预设周期之前的周期内被检出,
所述推送与所述被关联样本的恶意代码对应的特征文件,包括:
若所述被关联样本满足所述第三预设条件,则推送与所述被关联样本的恶意代码对应的特征文件。
7.如权利要求5或6所述的病毒库推送方法,其特征在于,所述第二预设条件还包括:
所述样本的捕获时间在第四预设周期内。
8.如权利要求5或6所述的病毒库推送方法,其特征在于,所述样本的检测相关信息至少部分地通过检测反馈的日志获得。
9.一种病毒库推送装置,包括:
第一样本确定模块,用于确定已检测的样本;
第一样本检测结果获取模块,用于获取所述样本被检测后得到的检测结果;
第一判断模块,用于当所述检测结果指示所述样本包含恶意代码时,判断所述样本是否满足第一预设条件,所述第一预设条件包括:所述样本被检测的时间在第一预设周期内、且检测所述样本的设备在所述第一预设周期内检出的恶意代码的比例或种类或数量不大于第一预设阈值;
第一推送模块,用于若所述样本满足第一预设条件,则推送与所述样本的恶意代码对应的特征文件。
10.如权利要求9所述的病毒库推送装置,其特征在于,所述第一预设条件还包括:
所述样本包含的恶意代码在所述第一预设周期内出现的次数大于第二预设阈值。
11.如权利要求9或10所述的病毒库推送装置,其特征在于,所述第一预设条件还包括:
所述样本的捕获时间在第二预设周期内。
12.如权利要求9或10所述的病毒库推送装置,其特征在于,所述样本的检测相关信息至少部分地通过检测反馈的日志获得。
13.一种病毒库推送装置,包括:
第二样本确定模块,用于确定已检测的样本;
第二样本检测结果获取模块,用于获取所述样本被检测后得到的检测结果;
第二判断模块,用于当所述检测结果指示所述样本包含未知代码时,判断所述样本是否满足第二预设条件,所述第二预设条件包括:所述样本被检测的时间在第三预设周期内、且检测所述样本的设备在所述第三预设周期内检出的恶意代码的比例或种类或数量不大于第三预设阈值;
样本相似性关联信息获取模块,用于当所述样本满足所述第二预设条件时,获取所述样本的相似性关联信息;
被关联样本恶意代码获取模块,用于根据所述样本的相似性关联信息关联已知恶意病毒样本库中的样本,获取被关联样本的恶意代码;
第二推送模块,用于推送与所述被关联样本的恶意代码对应的特征文件。
14.如权利要求13所述的病毒库推送装置,其特征在于,还包括:
第三判断模块,用于判断所述被关联样本是否满足第三预设条件,所述第三预设条件包括:所述被关联样本的恶意代码在所述第三预设周期之前的周期内被检出,
所述第二推送模块具体用于:若所述被关联样本满足所述第三预设条件,则推送与所述被关联样本的恶意代码对应的特征文件。
15.如权利要求13或14所述的病毒库推送装置,其特征在于,所述第二预设条件进一步包括:
所述样本的捕获时间在第四预设周期内。
16.如权利要求13或14所述的病毒库推送装置,其特征在于,所述样本的检测相关信息至少部分地通过检测反馈的日志获得。
17.一种计算机设备,包括:
处理器;以及
用于存放计算机程序的存储器,
其特征在于,所述处理器用于执行所述存储器上所存放的计算机程序,以实现权利要求1至8中任一项权利要求所述的病毒库推送方法。
18.一种计算机存储介质,其特征在于,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至8中任一项权利要求所述的病毒库推送方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810361522.2A CN110392081B (zh) | 2018-04-20 | 2018-04-20 | 病毒库推送方法及装置、计算机设备和计算机存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810361522.2A CN110392081B (zh) | 2018-04-20 | 2018-04-20 | 病毒库推送方法及装置、计算机设备和计算机存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110392081A CN110392081A (zh) | 2019-10-29 |
| CN110392081B true CN110392081B (zh) | 2022-08-30 |
Family
ID=68283686
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810361522.2A Active CN110392081B (zh) | 2018-04-20 | 2018-04-20 | 病毒库推送方法及装置、计算机设备和计算机存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110392081B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984450A (zh) * | 2010-12-15 | 2011-03-09 | 北京安天电子设备有限公司 | 恶意代码检测方法和系统 |
| CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN106709345A (zh) * | 2015-11-17 | 2017-05-24 | 武汉安天信息技术有限责任公司 | 基于深度学习方法推断恶意代码规则的方法、系统及设备 |
| CN107563198A (zh) * | 2017-08-31 | 2018-01-09 | 广东电网有限责任公司电力科学研究院 | 一种工业控制系统的主机病毒防治系统及方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8713680B2 (en) * | 2007-07-10 | 2014-04-29 | Samsung Electronics Co., Ltd. | Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program |
| CN102841990B (zh) * | 2011-11-14 | 2015-07-22 | 哈尔滨安天科技股份有限公司 | 一种基于统一资源定位符的恶意代码检测方法和系统 |
| CN102664875B (zh) * | 2012-03-31 | 2014-12-17 | 华中科技大学 | 基于云模式的恶意代码类别检测方法 |
| KR101401949B1 (ko) * | 2012-11-06 | 2014-05-30 | 한국인터넷진흥원 | 악성코드 유포지 및 경유지 주기 점검 시스템 및 방법 |
| CN104978526B (zh) * | 2015-06-30 | 2018-03-13 | 北京奇虎科技有限公司 | 病毒特征的提取方法及装置 |
| CN106778273A (zh) * | 2016-12-28 | 2017-05-31 | 北京安天网络安全技术有限公司 | 一种验证恶意代码在受害者主机中活跃度的方法及系统 |
-
2018
- 2018-04-20 CN CN201810361522.2A patent/CN110392081B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984450A (zh) * | 2010-12-15 | 2011-03-09 | 北京安天电子设备有限公司 | 恶意代码检测方法和系统 |
| CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN106709345A (zh) * | 2015-11-17 | 2017-05-24 | 武汉安天信息技术有限责任公司 | 基于深度学习方法推断恶意代码规则的方法、系统及设备 |
| CN107563198A (zh) * | 2017-08-31 | 2018-01-09 | 广东电网有限责任公司电力科学研究院 | 一种工业控制系统的主机病毒防治系统及方法 |
| CN107679399A (zh) * | 2017-10-19 | 2018-02-09 | 郑州云海信息技术有限公司 | 一种基于容器的恶意代码检测沙盒系统及检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 武汉安天AVL智能终端反病毒软件V2.0;严丽芳;《科技成果》;20140601;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110392081A (zh) | 2019-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6886129B1 (en) | Method and system for trawling the World-wide Web to identify implicitly-defined communities of web pages | |
| Cheng et al. | Evaluating probability threshold k-nearest-neighbor queries over uncertain data | |
| CN103646078B (zh) | 一种实现互联网宣传监测目标评估的方法及装置 | |
| JP2012525645A (ja) | 知識ベース構築の方法および装置 | |
| CN108073815B (zh) | 基于代码切片的家族判定方法、系统及存储介质 | |
| CN102646100B (zh) | 领域词获取方法及系统 | |
| CN112307374A (zh) | 基于待办事项的跳转方法、装置、设备及存储介质 | |
| CN108846117A (zh) | 商业快讯的去重筛选方法及装置 | |
| CN109271517A (zh) | Ig tf-idf文本特征向量生成及文本分类方法 | |
| CN103823792A (zh) | 从文本文档中检测热点事件的方法和设备 | |
| CN102156746A (zh) | 搜索引擎的性能评价方法 | |
| CN110008701B (zh) | 基于elf文件特征的静态检测规则提取方法及检测方法 | |
| CN112257032A (zh) | 一种确定app责任主体的方法及系统 | |
| CN116186716A (zh) | 一种面向持续集成部署的安全分析方法及装置 | |
| CN103853771B (zh) | 一种搜索结果的推送方法及系统 | |
| CN110392081B (zh) | 病毒库推送方法及装置、计算机设备和计算机存储介质 | |
| CN111556042B (zh) | 恶意url的检测方法、装置、计算机设备和存储介质 | |
| CN111368894B (zh) | 一种fcbf特征选择方法及其在网络入侵检测中的应用 | |
| CN105989019B (zh) | 一种清洗数据的方法及装置 | |
| CN107944001A (zh) | 热点新闻的检测方法、装置及电子设备 | |
| CN111858466A (zh) | 一种数据存储方法、装置、设备及存储介质 | |
| CN105099996B (zh) | 网站验证方法及装置 | |
| CN107229654A (zh) | 一种热搜词获取方法及系统 | |
| CN112765118B (zh) | 一种日志查询方法、装置、设备及存储介质 | |
| CN113935040B (zh) | 一种基于大数据移动终端的信息安全测评系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |