CN111400714A - 病毒检测方法、装置、设备及存储介质 - Google Patents
病毒检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111400714A CN111400714A CN202010300388.2A CN202010300388A CN111400714A CN 111400714 A CN111400714 A CN 111400714A CN 202010300388 A CN202010300388 A CN 202010300388A CN 111400714 A CN111400714 A CN 111400714A
- Authority
- CN
- China
- Prior art keywords
- data
- terminal
- virus
- application
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种病毒检测方法、装置、电子设备及存储介质。其中,方法包括:确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种病毒检测方法、装置、设备及存储介质。
背景技术
目前,病毒的检测方法都是在接收到检测指令之后,对终端进行全面的数据扫描,将扫描过程中收集到的数据在终端本地的病毒库中进行病毒特征匹配,整个病毒检测过程终端负荷过大。
发明内容
有鉴于此,本发明实施例提供一种病毒检测方法、装置及存储介质,以至少解决病毒检测时终端负荷过大的问题。
本发明实施例的技术方案是这样实现的:
本发明实施例提供了一种病毒检测方法,所述方法包括:
确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;
对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;
将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
上述方案中,所述将所述第二数据发送至服务端,包括:
按照设定编码方式,对所述第二数据进行编码;
对编码后的第二数据进行序列化处理,得到第三数据;
将所述第三数据发送至所述服务端。
上述方案中,所述对编码后的第二数据进行序列化处理,得到第三数据,包括:
根据预设的行为表,确定所述第三数据表征的应用行为;所述行为表记录了应用行为与序列元素之间的映射关系;
根据所述第三数据表征的应用行为,确定所述第三数据的关联指数,所述关联指数表征对应的应用行为对所述终端的系统的影响程度。
上述方案中,所述方法还包括:
在所述检测结果表征所述终端含有病毒的情况下,根据所述关联指数与所述检测结果,生成提示消息;所述提示消息用于提示所述终端含有病毒;其中,
所述关联指数越大,所述提示信息对应的优先级越高。
上述方案中,所述对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据时,包括以下至少一项:
对所述第一数据中的设定字段的部分字段值或全部字段值进行替换;
将所述第一数据中的设定字段的字段值进行加密;
删除所述第一数据中的设定字段的部分字段值;
将所述第一数据中的设定字段的字段值中的字符重新排序。
上述方案中,所述方法还包括:
将所述第一数据对应的第二数据进行存储;
所述将所述第二数据发送至服务端,包括:
当接收到第一指令时,将所述存储的第二数据发送至服务端;所述第一指令表征对所述终端进行病毒检测。
上述方案中,所述方法还包括:
根据所述第二数据对应的检测结果,阻拦所述第二数据对应的应用的应用行为。
本发明实施例还提供了一种病毒检测装置,包括:
确定单元,用于确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;
处理单元,用于对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;
发送单元,用于将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
本发明实施例还提供了一种电子设备,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。本发明实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
在本发明实施例中,确定第一数据,第一数据基于终端的系统中的设定埋点得到,第一数据表征终端的应用在运行时触发的系统数据,将第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据,设定字段表征终端的用户信息,将第二数据发送至服务端,服务端基于设定的检测模型生成第二数据对应的检测结果,检测结果表征终端是否含有病毒,能够实时地收集终端的应用在运行时触发的系统数据,并对收集的数据上传到服务端实时进行病毒检测,减少终端在病毒检测时所需要的资源。
附图说明
图1为本发明一实施例提供的病毒检测方法的实现流程示意图;
图2为本发明一实施例提供的第二数据发送到服务端的的示意图;
图3为本发明一实施例提供的病毒检测方法的实现流程示意图;
图4为本发明又一实施例提供的病毒检测方法的实现流程示意图;
图5为本发明一实施例提供的第三数据表征的应用行为的示意图;
图6为本发明一实施例提供的终端与服务端进行病毒检测的示意图流程示意图;
图7为本发明一实施例提供的不同检测方案的性能对比的示意图;
图8为本发明一实施例提供的病毒检测装置的结构示意图;
图9为本发明一实施例提供电子设备的硬件组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步详细的说明。
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
图1示出了本发明实施例提供的病毒检测方法的实现流程。如图1所示,所述方法包括:
S101:确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据。
这里,确定第一数据,其中,第一数据是通过终端的系统中设定的埋点收集得到的,第一数据记录了终端的应用在运行的时候触发的系统数据,包括应用在运行时的权限、Activity的跳转、数据的读写、生成的文件及其路径、读取通信录、申请网络权限、启动摄像头等各种行为。在实际应用中,埋点设置在终端的系统中,例如,如果终端使用的是Android系统,那么会在Android系统的四大组件中设置埋点,包括在Activity、Service、BroadcastReceiver和ContentProvider这四个组件中设置埋点,埋点能够对应用在运行时触发的系统数据进行捕获。在终端的系统中,埋点通过checkroot检测机制、特殊行为的拦截等检测机制,将终端的应用在运行时触发的系统数据进行实时收集。在实际应用中,Android系统中root是最高级别的管理权限,可访问和修改系统中大部分的文件,从而影响终端的稳定和安全,用户在使用终端时,处于普通状态就能够满足用户的使用需求,因此,当利用checkroot检测机制检测到启动某个应用时,root权限发生了变化,那么需要将该应用在运行时触发的系统数据进行收集,检测是否存有病毒,从而能够保证终端的安全性。
S102:对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息。
这里,在确定第一数据时,对第一数据中的设定字段的字段值进行设定处理,得到处理后的第二数据,其中,设定字段是指第一数据中与用户信息有关的字段,设定的字段可以包含用户个人信息、用户终端信息等。在实际应用中,通过终端的系统中的设定埋点收集的第一数据中,可能含有用户的个人信息,为了保护用户的个人隐私,需要对第一数据中的个人信息进行处理,将个人信息进行保护,从而在获取第二数据的预设字段的字段值时,不能直接得知用户信息。为了更好地保护用户信息,可以对数据进行安全等级的划分,在实际应用中,可以将用户信息从用户、终端、企业这三个维度进行划分。具体地,从用户的维度对设定字段进行划分,设定字段可以包括用户的手机号码、邮件地址、个人账号信息、个人地址等信息,还可以包括用户的种族信息、基因信息、宗教信仰等相关的字段。从终端的角度对设定字段进行划分,设定字段可以包括标识终端的唯一性字段,如国际移动设备识别码(IMEI,International Mobile Equipment Identity)、MAC地址等。从公司的角度对设定字段进行划分,设定字段可以包括交易金额、购买记录法人等与交易有关的信息。在第一数据中,对三个维度划分的设定字段的字段值进行设定处理,从而能够隐藏和保护第一数据中与用户信息有关的数据。通过将预设字段进行三个维度的划分,能够全面地识别到与用户信息有关的数据,从而更好地保护用户的个人隐私,提高了数据的安全性。
在一实施例中,所述对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据时,包括以下至少一项:
对所述第一数据中的设定字段的部分字段值或全部字段值进行替换;
将所述第一数据中的设定字段的字段值进行加密;
删除所述第一数据中的设定字段的部分字段值;
将所述第一数据中的设定字段的字段值中的字符重新排序。
这里,在对第一数据中的设定字段的字段值进行设定处理的时候,对所述第一数据中的设定字段的部分字段值或全部字段值进行替换,用几个简单的字段值替换第一数据中的设定字段的字段值。例如,第一数据中记载了用户的性别,对应的字段值为“MALE”,那么在对性别对应的字段值进行处理时,可以用“M”或者其他字符替换“MALE”,那么经过处理后的代表性别的字段值就变成“M”或者其他字符;又例如,第一数据中存有代表着用户手机号码的字段,且对应的字段值为“12345678900”时,可以将部分字段值进行隐藏,经过处理后的第一数据中用户手机号码的字段对应的字段值为“123*****900”,通过将代表手机号码的部分字段值替换成“*”,降低了用户手机号码泄露的风险。第二种处理方法是将第一数据中的设定字段的字段值进行加密,例如,将第一数据中的设定字段的字段值“abcdef”进行加密,加密后的字段值为“&*-@#¥”,在对字段值进行加密的时候可以选择常见的加密算法,例如对称加密、非对称加密、单向加密。第三种处理方法是将第一数据中的设定字段的部分字段值进行删除,例如,将第一数据中的设定字段的字段值“13812345678”的部分字段值进行删除,经过处理后的字段值变为“138”。第四种处理方法是将第一数据中的预设字段值中的字符重新排序,对于在第一数据中设定字段的字段值为数字序列的时候,可以对设定字段的字段值中的数字进行重新排序,例如对字段值为“123456”进行重新排序,随机打乱字符值中的顺序,得到“231546”等不同的顺序的字符值。在实际应用中,通过对设定字段的字段值进行分析,选择数据泄露概率最低的处理方法对设定字段的字段值进行处理,能够有效地保护用户信息。
在上述实施例中,对所述第一数据中的设定字段的部分字段值或全部字段值进行替换,将第一数据中的设定字段的字段值进行加密,删除第一数据中的设定字段的部分字段值,将第一数据中的设定字段的字段值中的字符重新排序,通过上述任一种设定处理方法,能够对用户信息进行脱敏处理,提高数据的安全性,保护用户的个人信息,避免信息泄露。
S103:将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
这里,将第二数据发送至服务端。服务端上设置有设定的检测模型,能够通过检测模型对发送到服务端的第二数据进行检测,并生成第二检测数据对应的检测结果,通过检测结果能够确定终端是否含有病毒,终端可以通过使用相应的软件开发工具包(SDK,Software Development Kit)以及通过相应的接口验证序号调用应用程序接口(API,Application Program Interface),将第二数据上传到服务端。在判断终端是否含有病毒时,需要大量的计算资源对终端数据进行分析,将检测模型设置在服务端,在服务端上对终端数据进行分析,不会占用终端的计算资源。如图2所示,图2示出了将第二数据发送到服务端的示意图,终端在SDK环境下通过调用API数据,将第二数据发送至服务端。在实际应用中,为了对终端实现实时的病毒检测,当对第一数据处理完之后,会将处理得到的第二数据实时上传到服务端。在实际应用中,当服务端的检测模型接收到终端发送的数据之后,基于接收到的数据,提取数据的应用行为特征。可以通过直方图结合哈尔特征(Haar-likefeatures)提取数据的应用行为特征,也可以通过主成分分析法(PCA,PrincipalComponent Analysis)与局部二值模式(LBP,Local Binary Pattern)结合算法提取数据的应用行为特征,还可以根据方向梯度直方图(HOG,Histogram of Oriented Gradient)提取数据的应用行为特征。在实际应用中,针对不同类型的病毒,提取数据的应用行为特征的方法也会相应变化。服务端的检测模型根据数据的应用行为特征检测终端是否存有病毒。在实际应用中,服务端上的检测模型可以通过对网络上开放的病毒数据库平台和API调用接口,根据实时采集到最新的病毒特征库,对检测模型进行更新。服务端上的检测模型还可以根据网络上采集和构造的对抗性样本进行训练,对抗性样本对服务端上的检测模型在进行检测的时候具有干扰性,能够使服务端上的检测模型得到错误的检测结果,利用对抗性样本对服务端上的检测模型进行训练,能够提高检测模型的抗干扰性,从而提高了病毒检测的准确率。
在一实施例中,如图3所示,所述将所述第二数据发送至服务端,包括:
S301:按照设定编码方式,对所述第二数据进行编码。
这里,对第二数据进行预处理,将第二数据按照设定的编码方式进行编码。由于第一数据是应用在运行时触发的系统数据,因此第一数据对应的第二数据记录了应用不同的行为特征,例如,有的应用会进行通讯录的访问,有的应用会启动终端的摄像头,应用的不同行为导致对应的第二数据中记录的特征不为连续值,而是分类值。对于第二数据,可以使用独热编码的方式进行编码,在使用独热编码的方式进行编码的时候,只有一个位是有效的。具体地,可以对每种不同属性的行为特征进行编码,例如,对于进行通讯录的访问行为以及启动终端的摄像头的访问行为进行编码,其中,进行通讯录的访问行为标记为1,没有进行通讯录的访问行为标记为0,启动终端的摄像头的行为标记为1,没有启动终端的摄像头的行为标记为0,那么对于进行通讯录的访问而没有启动终端的摄像头的第二数据进行编码时,得到的编码结果为10,对于进行通讯录的访问且启动终端的摄像头的第二数据进行编码时,得到的编码结果为11,而对于没有进行通讯录的访问且也没有启动终端的摄像头的第二数据进行编码时,得到的编码结果为00。在实际应用中,可以预设所有的应用行为对应的编码值,那么对第二数据进行独热编码的时候,每个第二数据编码后的数据长度相同。
S302:对编码后的第二数据进行序列化处理,得到第三数据。
这里,在对第二数据进行编码之后,将编码后的第二数据进行序列化处理,得到第三数据。具体地,将编码后的第二数据组成矩阵,得到第三数据。在实际应用中,对数据进行序列化处理能够降低数据量,提高数据的传输速度。
在一实施例中,如图4所示,所述对编码后的第二数据进行序列化处理,得到第三数据,包括:
S401:根据预设的行为表,确定所述第三数据表征的应用行为;所述行为表记录了应用行为与序列元素之间的映射关系。
这里,根据预设的行为表,对第三数据进行分析,确定第三数据包含的应用行为,行为表记录了应用行为与第三数据的序列之间的映射关系,当确定第三数据之后,能够通过查询行为表,确定第三数据的序列对应的应用行为。具体地,行为表记录了应用行为与序列元素之间的映射关系,获取第三数据中每个序列元素,根据第三数据中每个序列元素,在行为表中查找到对应的映射关系,确定第三数据中每个序列元素记录的应用行为。如图5所示,图5示出了第三数据的序列元素对应的应用行为。在实际应用中,行为表通常将序列元素为“0”记录为没有相应的应用行为,序列元素为“1”记录为应用存在着相应的应用行为,通过查找第三数据中序列元素为“1”在行为表中对应的映射关系,可以得知第三数据包含的应用行为。
S402:根据所述第三数据表征的应用行为,确定所述第三数据的关联指数,所述关联指数表征对应的应用行为对所述终端的系统的影响程度。
这里,在得到第三数据表征的应用行为之后,确定第三数据的关联指数,关联指数表征对应的应用行为对终端的系统的影响程度。应用的应用行为能够对终端的系统产生具体的影响,例如,当应用的应用行为为改写系统文件时,这时应用行为对系统产生较大的影响,当应用的应用行为是生成相应的文件时,这时应用行为对系统产生的影响较小。在实际应用中,可以通过0-1的取值范围,表示第三数据的关联指数,当第三数据的关联指数越大,表示第三数据中对应的应用行为对终端的系统的影响程度越大,潜在的病毒攻击深度就越大。由于不同病毒对终端的系统的攻击深度不同,服务端的检测模型能够根据第三数据关联指数,将病毒的检测范围缩窄,从而能够提高对终端的病毒检测的速度。第三数据发送至服务端时,第三数据包含了关联指数,检测模型在对第三数据进行数据分析且确定终端含有病毒的时候,能够通过第三数据的关联指数,对终端的病毒进行定性和分类,从而确定病毒的攻击强度、攻击特点、危害指数等各种特征。
在上述实施例中,根据预设的行为表,确定第三数据表征的应用行为,行为表记录了应用行为与序列元素之间的映射关系,根据第三数据表征的应用行为,确定第三数据的关联指数,关联指数表征对应的应用行为与终端的系统的影响程度,能够确定第三数据包含的应用行为对终端的系统的影响,有利于在进行病毒检测的过程中,确定病毒的特征,提高了病毒检测的准确性。
在一实施例中,所述方法还包括:
根据所述关联指数与所述检测结果,生成提示消息;所述提示消息用于提醒所述终端含有病毒;其中,
所述关联指数越大,所述提示信息对应的优先级越高。
这里,当服务端的检测模型对终端的应用在运行时触发的系统数据检测完毕之后,会生成相应的检测结果。根据数据的关联指数与检测结果,生成提示信息,用于提示终端含有病毒,并且关联指数越大,提示信息对应的优先级越高。当检测到终端存有病毒时,生成提示消息,而提示消息的优先级则有关联指数决定。当数据的关联指数越大,并且根据数据能够确定终端含有病毒的时候,表示病毒能够入侵终端系统的底层,对终端的系统安全产生很大的安全威胁,从而生成优先级高的提示信息,提示终端存在较高的安全风险,需要引起用户的警惕。
在上述实施例中,根据关联指数与检测结果,生成提示消息,提示消息用于提示终端含有病毒,关联指数越大,提示信息对应的优先级越高,能够及时地提示用户终端面临的安全风险的等级,从而能够及时地更新终端的安全状态,并作出相应的处理。
S303:将所述第三数据发送至所述服务端。
这里,将第三数据发送至服务端,由于第三数据是经过序列化处理得到的,第三数据是由0和1组成的序列数据,因此,第三数据的数据量较小,在将第三数据发送至服务端的时候,不需要耗费太长的时间,实现数据轻量化传输,提高了数据的传输速度。并且,服务器的检测模型能够直接对第三数据进行分析,从而提高了对终端的病毒检测的速度。
在上述实施例中,按照设定编码方式,对第二数据进行编码,对编码后的第二数据进行序列化处理,得到第三数据,将第三数据发送至服务端,能够减轻终端发送至服务端的数据量,加快数据的传输速度,减少终端耗费的资源,提高了对终端进行病毒检测的速度。
在上述实施例中,确定第一数据,第一数据基于终端的系统中的设定埋点得到,第一数据表征终端的应用在运行时触发的系统数据,对第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据,设定字段表征终端的用户信息,将第二数据发送至服务端,以使服务端基于设定的检测模型生成第二数据对应的检测结果,检测结果表征终端是否含有病毒,能够实时收集应用在运行时触发的系统数据,对收集的数据上传到服务器实时进行病毒检测,减少了在进行病毒检测时对终端占用的资源,并且实时地发现终端存在的病毒,提高了终端的安全性。
在一实施例中,所述方法还包括:
将所述第一数据对应的第二数据进行存储;
所述将所述第二数据发送至服务端,包括:
当接收到第一指令时,将所述存储的第二数据发送至服务端;所述第一指令表征对所述终端进行病毒检测
这里,将第一数据对应的第二数据进行存储,能够将一定时间段内应用运行时触发的系统数据进行保存。由于第二数据中与用户信息相关的字段的字段值已经经过适当的处理,因此保存的第二数据也不会泄露用户信息。当终端接收到需要对终端进行病毒检测的第一指令时,将存储的第二数据发送至服务端,使服务端中的检测模型能够基于第二数据完成终端的病毒检测。第一指令可以是定期发出,例如,每12小时发出第一指令,那么终端每12小时会接收到第一指令,从而通过服务端对终端进行病毒检测,第一指令也可以是通过用户操作发出。当终端接收到第一指令时,服务端的检测模型能够立刻接收到检测数据,对终端进行病毒检测。
在上述实施例中,将第一数据对应的第二数据进行存储,当接收到第一指令时,将存储的第二数据发送至服务端,第一指令表征对终端进行病毒检测,能够在发出进行病毒检测的指令的时候,立刻进行检测,不需要对终端进行扫描,收集终端的数据之后,再进行病毒检测,提高了对终端进行病毒检测的速度,同时提高了对终端进行病毒检测的速度,能够使用户快速地获知终端的安全情况。
在一实施例中,所述方法还包括:
根据所述第二数据对应的检测结果,阻拦所述第二数据对应的应用的应用行为。
这里,当服务端的检测模型对终端发送的第二数据进行检测完毕之后,会生成第二数据对应的检测结果,根据第二数据对应的检测结果,阻拦第二数据对应的应用的应用行为。具体地,当第二数据对应的检测结果显示终端不存在病毒,那么第二数据对应的应用的应用行为对终端的安全没有威胁,不需要对应用的应用行为进行拦截。当第二数据对应的检测结果显示终端存在病毒的时候,那么第二数据对应的应用的应用行为对终端的安全存在威胁,终端的病毒能够通过第二数据对应的应用的应用行为对终端的系统文件进行破坏、改写,需要对第二数据对应的应用的应用行为进行拦截,避免病毒通过相应的应用行为继续破坏终端的安全。在实际应用中,当检测到终端含有病毒的时候,还能检测到终端含有病毒的类型,根据病毒类型的入侵特征,能够预测病毒的下一步入侵行为,从而对病毒的下一步入侵行为进行拦截。
在上述实施例中,根据第二数据对应的检测结果,阻拦第二数据对应的应用的应用行为,能够在终端含有病毒的情况下,对病毒作出拦截反应,阻止病毒的进一步攻击行为,从而能够在终端含有病毒的情况下,最大限度地保护终端系统的安全。
本发明还提供了一个应用实施例,如图6所示,图6示出了终端与服务端在进行病毒检测的示意图。以终端的系统为Android系统为例,在终端的Android系统中的框架层设定埋点,用于收集终端的应用在运行时触发的系统数据。在对埋点进行收集的时候,通过事件监控模块,对终端的事件进行监听,当监听到属于终端的应用在运行时产生的事件的时候,获取相应的数据。将埋点收集到的数据通过序列模型进行序列化处理,经过序列化处理后的数据,能够通过时间表获取数据中对应的应用行为,再通过SDK将序列化处理后的数据上传到服务端。服务端接收到终端发送的数据后,通过服务端预设的检测模型,对接收到的数据进行处理和分析,最后得到相应的检测结果。图7示出了不同检测方案的查杀率、功耗和占用终端的内存之间的对比。本地查杀是指检测模型位于终端,通过终端的检测模型对病毒进行检测。云查杀是指检测模型位于服务端,将终端的检测数据上传到服务端,通过服务端的检测模型对病毒进行检测。根据图7所示,本地查杀与云查杀的结合检测方法比通过本地查杀的效果好。此外,在服务端上的检测模型可以是基于人工智能训练的模型进行检测,并且经过对抗性样本训练的人工智能检测模型的检测效果会更佳。在实际应用中,在对终端进行病毒检测的时候,可以选择本地查杀和云查杀结合的检测方法,并且云查杀中的检测模型是基于人工智能生成的检测模型,并且还经过对抗性样本的训练,能够提高病毒的检测效果。
为实现本发明实施例的方法,本发明实施例还提供了一种病毒检测装置,如图8所示,该装置包括:
确定单元801,用于确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;
处理单元802,用于对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;
发送单元803,用于将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
在一实施例中,所述发送单元803将所述第二数据发送至服务端,包括:
按照设定编码方式,对所述第二数据进行编码;
对编码后的第二数据进行序列化处理,得到第三数据;
将所述第三数据发送至所述服务端。
在一实施例中,所述发送单元803对编码后的第二数据进行序列化处理,得到第三数据,包括:
根据预设的行为表,确定所述第三数据表征的应用行为;所述行为表记录了应用行为与序列元素之间的映射关系;
根据所述第三数据表征的应用行为,确定所述第三数据的关联指数,所述关联指数表征对应的应用行为对所述终端的系统的影响程度。
在一实施例中,所述装置还包括:
在所述检测结果表征所述终端含有病毒的情况下,根据所述关联指数与所述检测结果,生成提示消息;所述提示消息用于提示所述终端含有病毒;其中,
所述关联指数越大,所述提示信息对应的优先级越高。
在一实施例中,所述处理单元802对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息,包括以下至少一项:
对所述第一数据中的设定字段的部分字段值或全部字段值进行替换;
将所述第一数据中的设定字段的字段值进行加密;
删除所述第一数据中的设定字段的部分字段值;
将所述第一数据中的设定字段的字段值中的字符重新排序。
在一实施例中,所述装置还包括:
将所述第一数据对应的第二数据进行存储;
所述发送单元803将所述第二数据发送至服务端,包括:
当接收到第一指令时,将所述存储的第二数据发送至服务端;所述第一指令表征对所述终端进行病毒检测。
在一实施例中,所述装置还包括:
根据所述第二数据对应的检测结果,阻拦所述第二数据对应的应用的应用行为。
基于上述程序模块的硬件实现,且为了实现本发明实施例的方法,本发明实施例还提供了一种电子设备。图9为本发明实施例电子设备的硬件组成结构示意图,如图9所示,电子设备包括:
通信接口1,能够与其它设备比如网络设备等进行信息交互;
处理器2,与通信接口1连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述一个或多个技术方案提供的病毒检测方法。而所述计算机程序存储在存储器3上。
当然,实际应用时,电子设备中的各个组件通过总线系统4耦合在一起。可理解,总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图9中将各种总线都标为总线系统4。
本发明实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器3可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
上述本发明实施例揭示的方法可以应用于处理器2中,或者由处理器2实现。处理器2可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器3,处理器2读取存储器3中的程序,结合其硬件完成前述方法的步骤。
处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器3,上述计算机程序可由处理器2执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、终端和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种病毒检测方法,其特征在于,应用于终端,包括:
确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;
对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;
将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
2.根据权利要求1所述的病毒检测方法,其特征在于,所述将所述第二数据发送至服务端,包括:
按照设定编码方式,对所述第二数据进行编码;
对编码后的第二数据进行序列化处理,得到第三数据;
将所述第三数据发送至所述服务端。
3.根据权利要求2所述的病毒检测方法,其特征在于,所述对编码后的第二数据进行序列化处理,得到第三数据,包括:
根据预设的行为表,确定所述第三数据表征的应用行为;所述行为表记录了应用行为与序列元素之间的映射关系;
根据所述第三数据表征的应用行为,确定所述第三数据的关联指数,所述关联指数表征对应的应用行为对所述终端的系统的影响程度。
4.根据权利要求3所述的病毒检测方法,其特征在于,所述方法还包括:
在所述检测结果表征所述终端含有病毒的情况下,根据所述关联指数与所述检测结果,生成提示消息;所述提示消息用于提示所述终端含有病毒;其中,
所述关联指数越大,所述提示信息对应的优先级越高。
5.根据权利要求1所述的病毒检测方法,其特征在于,所述对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据时,包括以下至少一项:
对所述第一数据中的设定字段的部分字段值或全部字段值进行替换;
将所述第一数据中的设定字段的字段值进行加密;
删除所述第一数据中的设定字段的部分字段值;
将所述第一数据中的设定字段的字段值中的字符重新排序。
6.根据权利要求1所述的病毒检测方法,其特征在于,所述方法还包括:
将所述第一数据对应的第二数据进行存储;
所述将所述第二数据发送至服务端,包括:
当接收到第一指令时,将所述存储的第二数据发送至服务端;所述第一指令表征对所述终端进行病毒检测。
7.根据权利要求1所述的病毒检测方法,其特征在于,所述方法还包括:
根据所述第二数据对应的检测结果,阻拦所述第二数据对应的应用的应用行为。
8.一种病毒检测装置,其特征在于,所述装置包括:
确定单元,用于确定第一数据;所述第一数据基于所述终端的系统中的设定埋点得到;所述第一数据表征所述终端的应用在运行时触发的系统数据;
处理单元,用于对所述第一数据中的设定字段的字段值进行设定处理,得到第一数据对应的第二数据;所述设定字段表征所述终端的用户信息;
发送单元,用于将所述第二数据发送至服务端,以使所述服务端基于设定的检测模型生成所述第二数据对应的检测结果;所述检测结果表征所述终端是否含有病毒。
9.一种电子设备,其特征在于,包括:处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至7任一项所述病毒检测方法的步骤。
10.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7任一项所述病毒检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010300388.2A CN111400714B (zh) | 2020-04-16 | 2020-04-16 | 病毒检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010300388.2A CN111400714B (zh) | 2020-04-16 | 2020-04-16 | 病毒检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111400714A true CN111400714A (zh) | 2020-07-10 |
| CN111400714B CN111400714B (zh) | 2023-06-02 |
Family
ID=71429581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010300388.2A Active CN111400714B (zh) | 2020-04-16 | 2020-04-16 | 病毒检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111400714B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741024A (zh) * | 2020-08-04 | 2020-10-02 | 宁波均联智行科技有限公司 | 差异化埋点采集加密方法及系统 |
| CN112000983A (zh) * | 2020-08-12 | 2020-11-27 | 贵州数据宝网络科技有限公司 | 基于全国etc大数据的数据脱敏方法、系统、设备及介质 |
| CN112035831A (zh) * | 2020-08-14 | 2020-12-04 | 深信服科技股份有限公司 | 一种数据处理方法、装置、服务器及存储介质 |
| CN113312619A (zh) * | 2021-04-23 | 2021-08-27 | 浙江大学 | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 |
| CN114980087A (zh) * | 2021-02-26 | 2022-08-30 | 中国联合网络通信集团有限公司 | 数据加密的方法和装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| CN103581185A (zh) * | 2013-11-01 | 2014-02-12 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| CN106682505A (zh) * | 2016-05-04 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN108509322A (zh) * | 2018-01-16 | 2018-09-07 | 平安科技(深圳)有限公司 | 避免过度回访的方法、电子装置及计算机可读存储介质 |
| CN109213859A (zh) * | 2017-07-07 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种文本检测方法、装置及系统 |
| CN110297763A (zh) * | 2019-05-29 | 2019-10-01 | 联动优势电子商务有限公司 | 数据采集装置以及方法 |
| CN110489312A (zh) * | 2019-06-27 | 2019-11-22 | 苏宁云计算有限公司 | 用于控件触发数据采集的数据关联方法和装置 |
-
2020
- 2020-04-16 CN CN202010300388.2A patent/CN111400714B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| CN103581185A (zh) * | 2013-11-01 | 2014-02-12 | 北京奇虎科技有限公司 | 对抗免杀测试的云查杀方法、装置及系统 |
| US20160285909A1 (en) * | 2013-11-01 | 2016-09-29 | Beijing Qihoo Technology Company Limited | Cloud checking and killing method, device and system for combating anti-antivirus test |
| CN107332811A (zh) * | 2016-04-29 | 2017-11-07 | 阿里巴巴集团控股有限公司 | 入侵检测的方法、装置和系统 |
| CN106682505A (zh) * | 2016-05-04 | 2017-05-17 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN109213859A (zh) * | 2017-07-07 | 2019-01-15 | 阿里巴巴集团控股有限公司 | 一种文本检测方法、装置及系统 |
| CN108509322A (zh) * | 2018-01-16 | 2018-09-07 | 平安科技(深圳)有限公司 | 避免过度回访的方法、电子装置及计算机可读存储介质 |
| CN110297763A (zh) * | 2019-05-29 | 2019-10-01 | 联动优势电子商务有限公司 | 数据采集装置以及方法 |
| CN110489312A (zh) * | 2019-06-27 | 2019-11-22 | 苏宁云计算有限公司 | 用于控件触发数据采集的数据关联方法和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111741024A (zh) * | 2020-08-04 | 2020-10-02 | 宁波均联智行科技有限公司 | 差异化埋点采集加密方法及系统 |
| CN112000983A (zh) * | 2020-08-12 | 2020-11-27 | 贵州数据宝网络科技有限公司 | 基于全国etc大数据的数据脱敏方法、系统、设备及介质 |
| CN112035831A (zh) * | 2020-08-14 | 2020-12-04 | 深信服科技股份有限公司 | 一种数据处理方法、装置、服务器及存储介质 |
| CN114980087A (zh) * | 2021-02-26 | 2022-08-30 | 中国联合网络通信集团有限公司 | 数据加密的方法和装置 |
| CN113312619A (zh) * | 2021-04-23 | 2021-08-27 | 浙江大学 | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 |
| CN113312619B (zh) * | 2021-04-23 | 2023-09-05 | 浙江大学 | 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111400714B (zh) | 2023-06-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111400714A (zh) | 病毒检测方法、装置、设备及存储介质 | |
| CN108268354B (zh) | 数据安全监控方法、后台服务器、终端及系统 | |
| EP2551786B1 (en) | Efficient securing of data on mobile devices | |
| CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
| Ntantogian et al. | Evaluating the privacy of Android mobile applications under forensic analysis | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
| WO2019200799A1 (zh) | 短信验证码的推送方法、电子装置及可读存储介质 | |
| CN103368904A (zh) | 移动终端、可疑行为检测及判定系统和方法 | |
| KR101043299B1 (ko) | 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체 | |
| Apostolopoulos et al. | Discovering authentication credentials in volatile memory of android mobile devices | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| US10313371B2 (en) | System and method for controlling and monitoring access to data processing applications | |
| CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
| CN107798236B (zh) | 一种对应用程序安装包实现安全安装的方法和装置 | |
| CN110674500B (zh) | 存储介质病毒查杀方法、装置、计算机设备和存储介质 | |
| CN113626882A (zh) | 一种生成设备标识符的方法、装置、介质 | |
| KR102177223B1 (ko) | 악성코드 모니터링을 수행하는 서버 및 그 시스템 | |
| US9769195B1 (en) | Systems and methods for efficiently allocating resources for behavioral analysis | |
| CN113923039B (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
| CA3055993A1 (en) | Database access, monitoring, and control system and method for reacting to suspicious database activities | |
| CN115830734B (zh) | 防止代打卡方法及相关设备 | |
| CN115134164B (zh) | 一种上传行为检测方法、系统、设备及计算机存储介质 | |
| CN110971563B (zh) | 权限信息的处理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |