CN112579878A - 病毒的识别方法及装置、存储介质、计算机设备 - Google Patents

病毒的识别方法及装置、存储介质、计算机设备 Download PDF

Info

Publication number
CN112579878A
CN112579878A CN201910943734.6A CN201910943734A CN112579878A CN 112579878 A CN112579878 A CN 112579878A CN 201910943734 A CN201910943734 A CN 201910943734A CN 112579878 A CN112579878 A CN 112579878A
Authority
CN
China
Prior art keywords
sample
abnormal
target sample
virus
marked
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910943734.6A
Other languages
English (en)
Inventor
万仁国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qax Technology Group Inc
Qianxin Safety Technology Zhuhai Co Ltd
Original Assignee
Qax Technology Group Inc
Qianxin Safety Technology Zhuhai Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Qax Technology Group Inc, Qianxin Safety Technology Zhuhai Co Ltd filed Critical Qax Technology Group Inc
Priority to CN201910943734.6A priority Critical patent/CN112579878A/zh
Publication of CN112579878A publication Critical patent/CN112579878A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/953Querying, e.g. by the use of web search engines
    • G06F16/9535Search customisation based on user profiles and personalisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种病毒的识别方法及装置、存储介质、计算机设备,涉及网络安全技术领域,主要目的在于解决网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作的问题。包括:获取目标样本;识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。主要用于病毒的识别。

Description

病毒的识别方法及装置、存储介质、计算机设备
技术领域
本发明涉及一种网络安全技术领域,特别是涉及一种病毒的识别方法及装置、存储介质、计算机设备。
背景技术
随着互联网技术的快速发展,对计算机病毒的识别已经成为网络安全的首要任务。目前,现有的网络安全工具识别计算机病毒时,如病毒木马,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作,然而,这种方式存在一定的滞后性,病毒木马可能已经对系统造成一定攻击后才开始进行防御,因此,急需一种病毒的识别方法来解决上述问题。
发明内容
有鉴于此,本发明提供一种病毒的识别方法及装置、存储介质、计算机设备,主要目的在于解决网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作的问题。
依据本发明一个方面,提供了一种病毒的识别方法,包括:
获取目标样本;
识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
进一步地,所述识别所述目标样本中是否存在异常特征信息包括:
提取目标样本的特征信息,通过所述特征信息与预置异常特征进行对比确定所述目标样本中是否存在异常特征信息,所述预置异常特征是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的。
进一步地,所述根据已标记特征类别的样本集预测处理所述目标样本包括:
根据已标记特征类别的样本集完成训练的异常特征预测模型,预测处理所述目标样本。
进一步地,所述获取目标样本之前,所述方法还包括:
利用已标记特征类别的第一样本集对预设深度学习模型进行训练;
根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试;
若通过学习测试,则将所述预设深度学习模型确定为异常特征预测模型;
若未通过学习测试,则执行利用已标记特征类别的第一样本集对预设深度学习模型进行训练的步骤。
进一步地,所述根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试包括:
利用所述已训练的预设深度学习模型预测处理已标记特征类别的第二样本集,根据预测结果统计样本精准率及样本召回率,并判断所述样本精准率及所述样本召回率是否符合预设样本识别条件及预设样本召回条件。
进一步地,所述获取目标样本包括:
通过请求终端中的样本数据、加载安全设备中的样本数据、接收上传的样本数据、爬取安全网络中的样本数据,将全部的样本数据存储至样本数据库中,提取待识别的样本数据确定为目标样本。
进一步地,所述方法还包括:
将已确定异常样本的特征信息存储至异常特征数据库中,并进行下发。
依据本发明一个方面,提供了一种病毒的识别装置,包括:
获取模块,用于获取目标样本;
处理模块,用于识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
确定模块,用于结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
进一步地,所述处理模块,具体用于提取目标样本的特征信息,通过所述特征信息与预置异常特征进行对比确定所述目标样本中是否存在异常特征信息,所述预置异常特征是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的。
进一步地,所述处理模块,具体用于根据已标记特征类别的样本集完成训练的异常特征预测模型,预测处理所述目标样本。
进一步地,所述装置还包括:训练模块,测试模块,执行模块,
所述训练模块,用于利用已标记特征类别的第一样本集对预设深度学习模型进行训练;
所述测试模块,用于根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试;
所述确定模块,还用于若通过学习测试,则将所述预设深度学习模型确定为异常特征预测模型;
所述执行模块,用于若未通过学习测试,则执行利用已标记特征类别的第一样本集对预设深度学习模型进行训练的步骤。
进一步地,所述测试模块,具体用于利用所述已训练的预设深度学习模型预测处理已标记特征类别的第二样本集,根据预测结果统计样本精准率及样本召回率,并判断所述样本精准率及所述样本召回率是否符合预设样本识别条件及预设样本召回条件。
进一步地,所述获取模块,具体用于通过请求终端中的样本数据、加载安全设备中的样本数据、接收上传的样本数据、爬取安全网络中的样本数据,将全部的样本数据存储至样本数据库中,提取待识别的样本数据确定为目标样本。
进一步地,所述装置还包括:
下发模块,用于将已确定异常样本的特征信息存储至异常特征数据库中,并进行下发。
根据本发明的又一方面,提供了一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如上述病毒的识别方法对应的操作。
根据本发明的再一方面,提供了一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述病毒的识别方法对应的操作。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供了一种病毒的识别方法及装置、存储介质、计算机设备,与现有网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作相比,本发明实施例通过识别目标样本中是否存在异常特征信息,以及利用已标记特征类别的样本集预测处理目标样本,结合确定异常特征信息以及被标记为异常特征类别的目标样本确定出异常样本,实现病毒识别的预先性,在病毒未开始进行攻击时,即使识别出病毒,以便对病毒进行防御,提高病毒防御的效率。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种病毒的识别方法流程图;
图2示出了本发明实施例提供的另一种病毒的识别方法流程图;
图3示出了本发明实施例提供的一种识别流程示意图:
图4示出了本发明实施例提供的一种病毒的识别装置框图;
图5示出了本发明实施例提供的另一种病毒的识别装置框图;
图6示出了本发明实施例提供的一种终端结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种病毒的识别方法,如图1所示,所述方法包括:
101、获取目标样本。
其中,所述目标样本为待识别的未知文件,本发明实施例中,全部的未知文件存储于样本中心中,当进行病毒识别时,直接从样本中心中调取需要进行识别的目标样本,可以随机获取,也可以按照存储的来源获取,如从终端设备中加载的样本文件,从探针设备中获取的样本文件等,本发明实施例不做具体限定。
需要说明的是,本发明实施例是为了对全网中可获取的样本进行病毒木马识别,因此,存储于样本中心中的文件是随时更新的,且样本中心中存储的全部样本在识别出是病毒木马后可以进行标记,并不再进行获取识别。
102、识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本。
其中,所述异常特征信息可以为存储于预置异常特征信息库中的特征信息,异常特征信息是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的,而对于目标样本中,存储有不同功能数据对应的特征信息,为了根据这些特征信息确定是否为病毒,则识别目标样本中是否存在异常特征信息。其中,目标样本中的特征信息为目标文件中执行代码逻辑对应得特征,例如,逻辑参数、配置项、字符串等,本发明实施例不做具体限定。
另外,所述已标记特征类别的样本集包括已标记病毒木马的样本集和标记为安全的样本集,根据已标记的样本集中样本的特征信息预测处理目标样本,已确定目标样本与已标记特征类别的样本集是否对应,本发明实施例中的预测处理可以为机器学习中的任意一个可进行预测分类的深度学习模型。
需要说明得是,本发明实施例中的防御场景包括全部网络中待进行安全防护的场景,如系统防护、文件防护等,对于不同防护场景,预先设定对可能产生网络安全隐患的特征信息作为异常特征信息,例如,在文件防护场景下,将预期进行查杀的文件1中的特征信息确定为异常特征信息,以便在对目标文件进行识别时,利用预置防护特征库中的异常特征信息进行匹配。
103、结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
本发明实施例中,为了提高对病毒的识别效率,通过结合识别异常特征信息的目标样本、预测处理得到的被标记为病毒类别的目标样本确定异常样本。其中,根据预置异常特征信息库中预先存储的异常特征信息对比后,确定存在异常特征信息目标样本,并结合利用预测处理后被标记为异常特征类别的目标样本确定为异常样本时,可以以组合并存的形式进行确定,也可以以任一项筛选的形式进行确定,例如,组合并存的形式为只有当目标样本中即有异常特征信息,又被标记为异常特征类别,才被确定为异常样本,即病毒木马,任一项筛选的形式为目标样本中识别出异常特征信息时,且未被标记为异常特征类别时,确定为异常样本,或者目标样本中未识别出异常特征信息时,且被标记为异常特征类别时,确定为异常样本,本发明实施例不做具体限定。
本发明提供了一种病毒的识别方法,与现有网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作相比,本发明实施例通过识别目标样本中是否存在异常特征信息,以及利用已标记特征类别的样本集预测处理目标样本,结合确定异常特征信息以及被标记为异常特征类别的目标样本确定出异常样本,实现病毒识别的预先性,在病毒未开始进行攻击时,即使识别出病毒,以便对病毒进行防御,提高病毒防御的效率。
本发明实施例提供了另一种病毒的识别方法,如图2所示,所述方法包括:
201、利用已标记特征类别的第一样本集对预设深度学习模型进行训练。
对于本发明实施例,为了使对目标样本的预测处理可以实现深度学习的目的,以实现对任意样本进行预测的目的。其中,已标记特征类别的第一样本集中包括有标记异常特征信息的样本以及标记安全特征信息的样本,第一样本集用于对进行预测处理的模型进行训练。本发明实施例中,进行的训练的模型可以选取任意具有预测分类的深度学习模型,作为进行训练的预设深度学习模型,例如神经网络、支持向量机等,训练的过程与现有技术中的模型训练过程一致,本发明实施例不做具体限定。
202、根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试。
为了提高完成训练的预设深度学习模型的预测分类精度,在完成模型训练的基础上对模型进行测试。其中,已标记特征类别的第二样本集中包括有已标记异常特征信息的样本以及已标记安全特征信息的样本,第二样本集用于对已完成训练的预设深度学习模型进行学习测试。
对于本发明实施例,为了进一步地限定及说明,步骤202可以为:利用所述已训练的预设深度学习模型预测处理已标记特征类别的第二样本集,根据预测结果统计样本精准率及样本召回率,并判断所述样本精准率及所述样本召回率是否符合预设样本识别条件及预设样本召回条件。
其中,在利用已训练的预测深度学习模型预测处理已标记特征类别的第二样本集时,第二样本集在作为预设深度学习模型的输入,进行模型预测,得到预测处理标记特征类别的样本,将预测处理后得到的标记与作为输入的第二样本集中的样本标记进行对比。具体的,通过预测处理后被标记的特征类别数量与原有样本标记进行统计样本精准率以及召回率,利用计算出的精准率以及召回率与预设样本识别条件及预设样本召回条件进行对比,判定是否通过测试。
本发明实施例中,精准率代为提取出的正确信息条数/提取出的信息条数,本发明实施例中具体为第二样本集中被正确提取出来的样本数量/第二样本集中提取出来的样本数量,召回率为提取出的正确信息条数/样本中的信息条数,本发明实施例中具体的为被标记为第二样本集中被正确提取出来的样本数量/第二样本集中全部正确样本数量,本发明实施例不做具体限定。
203a、若通过学习测试,则将所述预设深度学习模型确定为异常特征预测模型。
当通过学习测试时,说明此预设深度学习模型具有较高的准确性,在进行病毒识别时,可以准确的确定出病毒木马,因此,可以将通过学习测试的预设深度学习模型确定为异常特预测模型,进行病毒识别。
203b、若未通过学习测试,则执行利用已标记特征类别的第一样本集对预设深度学习模型进行训练的步骤。
本发明实施例,为了使预设深度学习模型的预测处理能力更为精确,若未通过学习测试,则重新执行训练步骤,更换第一样本集中的已标记特征类别的样本进行训练,直至通过学习测试。其中,在进行重新学习训练得过程中可以补充新的被标记样本填充原有样本集,以便提高学习效率。
本发明实施例,203a之后的步骤204、通过请求终端中的样本数据、加载安全设备中的样本数据、接收上传的样本数据、爬取安全网络中的样本数据,将全部的样本数据存储至样本数据库中,提取待识别的样本数据确定为目标样本。
对于本发明实施例,为了对更大范围的样本数据进行病毒识别,提高病毒识别的效率,通过向终端发送请求来获取终端中的样本数据,如可疑文件,或者加载安全设备中的样本数据,如某防御设备中的可疑文件,或者接收用户上传的待识别样本数据,如上传可疑文件sdf,或者爬取全部安装有安全防护软件网络中的样本数据,如爬取网页中的可疑文件等,本发明实施例不做具体限定。当需要进行病毒识别时,从存储在样本数据库中提取待识别的样本数据作为目标样本进行识别。
205、提取目标样本的特征信息,通过所述特征信息与预置异常特征进行对比确定所述目标样本中是否存在异常特征信息。
对于本发明实施例,所述目标文件为待进行防御的病毒木马文件,目标样本中的特征信息为目标文件中执行代码逻辑对应得特征,例如,逻辑参数、配置项、字符串等,本发明实施例不做具体限定。因此,提取特征信息后,将特征信息与预置异常信息进行对比,若相同,则可以确定目标样本中存在异常特征信息,若不相同,则可以确定目标样本中不存在异常特征信息。所述预置异常特征是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的。
需要说明的是,本发明实施例中,可以预先建立多个预置异常特征信息库,以使在进行异常特征信息识别时,对属于不同的异常特征信息进行同时进行识别,例如,如图3所示的识别流程,可以将样本中心中的目标样本同时通过多个识别的流程进行确定是否存在异常特征信息,其中,每个样本处理子流程即为对异常特征信息的识别。
另外,预置异常特征信息的确定,可以为:加载不同防御场景下的可疑文件;复制所述可疑文件所执行的预期动作对应的全部文件;在预置执行环境中执行所述可疑文件及所述全部文件,判断执行操作中是否存在攻击操作,以确定是否触发查杀事件、和/或修复事件;若触发查杀事件、和/或修复事件,则将所述可疑文件中的特征信息确定为异常特征信息,更新至所述预置异常特征库中。
206、根据已标记特征类别的样本集完成训练的异常特征预测模型,预测处理所述目标样本。
对于本发明实施例,利用已完成训练的异常特征预测模型预测处理目标样本,可以自动实现异常特征的分类标记,其中,异常特征预测模型可以为任意深度学习模型,如神经网络、支持向量机等,预测处理后,得到目标样本中的特征类别的标记。
207、结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
本步骤与图1所示的步骤103方法相同,在此不再赘述。
208、将已确定异常样本的特征信息存储至异常特征数据库中,并进行下发。
对于本发明实施例,为了实现对病毒的快速识别,提高病毒识别的效率,在确定出异常样本后,即确定出病毒木马后,将属于病毒木马的特征信息存储值异常特征数据库中,下发至需要进行病毒检测的客户端中,实现病毒特征的快速更新。
本发明提供了另一种病毒的识别方法,与现有网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作相比,本发明实施例通过识别目标样本中是否存在异常特征信息,以及利用已标记特征类别的样本集预测处理目标样本,结合确定异常特征信息以及被标记为异常特征类别的目标样本确定出异常样本,实现病毒识别的预先性,在病毒未开始进行攻击时,即使识别出病毒,以便对病毒进行防御,提高病毒防御的效率。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种病毒的识别装置,如图4所示,该装置包括:获取模块31、处理模块32、确定模块33。
获取模块31,用于获取目标样本;
处理模块32,用于识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
确定模块33,用于结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
本发明提供了一种病毒的识别装置,与现有网络安全工具识别计算机病毒时,均是在发现可疑病毒木马后,对其进行对应的特征的提取及检测等操作相比,本发明实施例通过识别目标样本中是否存在异常特征信息,以及利用已标记特征类别的样本集预测处理目标样本,结合确定异常特征信息以及被标记为异常特征类别的目标样本确定出异常样本,实现病毒识别的预先性,在病毒未开始进行攻击时,即使识别出病毒,以便对病毒进行防御,提高病毒防御的效率。
进一步的,作为对上述图2所示方法的实现,本发明实施例提供了另一种病毒的识别装置,如图5所示,该装置包括:获取模块41、处理模块42、确定模块43、训练模块44、测试模块45、执行模块46、下发模块47。
获取模块41,用于获取目标样本;
处理模块42,用于识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
确定模块43,用于结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
进一步地,所述处理模块42,具体用于提取目标样本的特征信息,通过所述特征信息与预置异常特征进行对比确定所述目标样本中是否存在异常特征信息,所述预置异常特征是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的。
进一步地,所述处理模块42,具体用于根据已标记特征类别的样本集完成训练的异常特征预测模型,预测处理所述目标样本。
进一步地,所述装置还包括:训练模块44,测试模块45,执行模块46,所述训练模块44,用于利用已标记特征类别的第一样本集对预设深度学习模型进行训练;
所述测试模块45,用于根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试;
所述确定模块46,还用于若通过学习测试,则将所述预设深度学习模型确定为异常特征预测模型;
所述执行模块47,用于若未通过学习测试,则执行利用已标记特征类别的第一样本集对预设深度学习模型进行训练的步骤。
进一步地,所述测试模块45,具体用于利用所述已训练的预设深度学习模型预测处理已标记特征类别的第二样本集,根据预测结果统计样本精准率及样本召回率,并判断所述样本精准率及所述样本召回率是否符合预设样本识别条件及预设样本召回条件。
进一步地,所述获取模块41,具体用于通过请求终端中的样本数据、加载安全设备中的样本数据、接收上传的样本数据、爬取安全网络中的样本数据,将全部的样本数据存储至样本数据库中,提取待识别的样本数据确定为目标样本。
进一步地,所述装置还包括:
下发模块47,用于将已确定异常样本的特征信息存储至异常特征数据库中,并进行下发。
本发明提供了另一种病毒的识别装置,本发明实施例通过识别目标样本中是否存在异常特征信息,以及利用已标记特征类别的样本集预测处理目标样本,结合确定异常特征信息以及被标记为异常特征类别的目标样本确定出异常样本,实现病毒识别的预先性,在病毒未开始进行攻击时,即使识别出病毒,以便对病毒进行防御,提高病毒防御的效率。
根据本发明一个实施例提供了一种存储介质,所述存储介质存储有至少一可执行指令,该计算机可执行指令可执行上述任意方法实施例中的病毒的识别方法。
图6示出了根据本发明一个实施例提供的一种计算机设备的结构示意图,本发明具体实施例并不对计算机设备的具体实现做限定。
如图6所示,该计算机设备可以包括:处理器(processor)502、通信接口(Communications Interface)504、存储器(memory)506、以及通信总线508。
其中:处理器502、通信接口504、以及存储器506通过通信总线508完成相互间的通信。
通信接口504,用于与其它设备比如客户端或其它服务器等的网元通信。
处理器502,用于执行程序510,具体可以执行上述病毒的识别方法实施例中的相关步骤。
具体地,程序510可以包括程序代码,该程序代码包括计算机操作指令。
处理器502可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。计算机设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器506,用于存放程序510。存储器506可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序510具体可以用于使得处理器502执行以下操作:
获取目标样本;
识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的资产数据的管理方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种病毒的识别方法,其特征在于,包括:
获取目标样本;
识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
2.根据权利要求1所述的方法,其特征在于,所述识别所述目标样本中是否存在异常特征信息包括:
提取目标样本的特征信息,通过所述特征信息与预置异常特征进行对比确定所述目标样本中是否存在异常特征信息,所述预置异常特征是根据不同防御场景下对可疑文件预期查杀、和/或修复确定的。
3.根据权利要求1所述的方法,其特征在于,所述根据已标记特征类别的样本集预测处理所述目标样本包括:
根据已标记特征类别的样本集完成训练的异常特征预测模型,预测处理所述目标样本。
4.根据权利要求3所述的方法,其特征在于,所述获取目标样本之前,所述方法还包括:
利用已标记特征类别的第一样本集对预设深度学习模型进行训练;
根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试;
若通过学习测试,则将所述预设深度学习模型确定为异常特征预测模型;
若未通过学习测试,则执行利用已标记特征类别的第一样本集对预设深度学习模型进行训练的步骤。
5.根据权利要求4所述的方法,其特征在于,所述根据已标记特征类别的第二样本集判断已训练的预设深度学习模型是否通过学习测试包括:
利用所述已训练的预设深度学习模型预测处理已标记特征类别的第二样本集,根据预测结果统计样本精准率及样本召回率,并判断所述样本精准率及所述样本召回率是否符合预设样本识别条件及预设样本召回条件。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述获取目标样本包括:
通过请求终端中的样本数据、加载安全设备中的样本数据、接收上传的样本数据、爬取安全网络中的样本数据,将全部的样本数据存储至样本数据库中,提取待识别的样本数据确定为目标样本。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
将已确定异常样本的特征信息存储至异常特征数据库中,并进行下发。
8.一种病毒的识别装置,其特征在于,包括:
获取模块,用于获取目标样本;
处理模块,用于识别所述目标样本中是否存在异常特征信息,并根据已标记特征类别的样本集预测处理所述目标样本;
确定模块,用于结合识别出存在异常特征信息的目标样本,以及预测处理得到的被标记为异常特征类别的目标样本确定为异常样本。
9.一种存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令使处理器执行如权利要求1-7中任一项所述的病毒的识别方法对应的操作。
10.一种计算机设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行如权利要求1-7中任一项所述的病毒的识别方法对应的操作。
CN201910943734.6A 2019-09-30 2019-09-30 病毒的识别方法及装置、存储介质、计算机设备 Pending CN112579878A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910943734.6A CN112579878A (zh) 2019-09-30 2019-09-30 病毒的识别方法及装置、存储介质、计算机设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910943734.6A CN112579878A (zh) 2019-09-30 2019-09-30 病毒的识别方法及装置、存储介质、计算机设备

Publications (1)

Publication Number Publication Date
CN112579878A true CN112579878A (zh) 2021-03-30

Family

ID=75116881

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910943734.6A Pending CN112579878A (zh) 2019-09-30 2019-09-30 病毒的识别方法及装置、存储介质、计算机设备

Country Status (1)

Country Link
CN (1) CN112579878A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104700030A (zh) * 2013-12-04 2015-06-10 腾讯科技(深圳)有限公司 一种病毒数据查找方法、装置及服务器
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN107563201A (zh) * 2017-09-08 2018-01-09 北京奇虎科技有限公司 基于机器学习的关联样本查找方法、装置及服务器
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN108009424A (zh) * 2017-11-22 2018-05-08 北京奇虎科技有限公司 病毒行为检测方法、装置及系统
EP3460704A1 (en) * 2016-05-19 2019-03-27 Tencent Technology (Shenzhen) Company Limited Virus database acquisition method and device, equipment, server and system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104700030A (zh) * 2013-12-04 2015-06-10 腾讯科技(深圳)有限公司 一种病毒数据查找方法、装置及服务器
EP3460704A1 (en) * 2016-05-19 2019-03-27 Tencent Technology (Shenzhen) Company Limited Virus database acquisition method and device, equipment, server and system
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN106778268A (zh) * 2016-11-28 2017-05-31 广东省信息安全测评中心 恶意代码检测方法与系统
CN107563201A (zh) * 2017-09-08 2018-01-09 北京奇虎科技有限公司 基于机器学习的关联样本查找方法、装置及服务器
CN108009424A (zh) * 2017-11-22 2018-05-08 北京奇虎科技有限公司 病毒行为检测方法、装置及系统

Similar Documents

Publication Publication Date Title
CN113032792B (zh) 系统业务漏洞检测方法、系统、设备及存储介质
US11048798B2 (en) Method for detecting libraries in program binaries
CN110866258B (zh) 快速定位漏洞方法、电子装置及存储介质
CN110474900B (zh) 一种游戏协议测试方法及装置
CN111107096A (zh) 一种Web站点安全防护方法及装置
US20220014542A1 (en) Security Threat Detection by Converting Scripts Using Validation Graphs
CN111338692B (zh) 基于漏洞代码的漏洞分类方法、装置及电子设备
CN111385270A (zh) 基于waf的网络攻击检测方法及装置
CN107247902A (zh) 恶意软件分类系统及方法
CN109815697B (zh) 误报行为处理方法及装置
CN106790025B (zh) 一种对链接进行恶意性检测的方法及装置
CN114024761B (zh) 网络威胁数据的检测方法、装置、存储介质及电子设备
US11321453B2 (en) Method and system for detecting and classifying malware based on families
CN113765850A (zh) 物联网异常检测方法、装置、计算设备及计算机存储介质
CN113098827A (zh) 基于态势感知的网络安全预警方法及装置
CN112579878A (zh) 病毒的识别方法及装置、存储介质、计算机设备
CN106446687B (zh) 恶意样本的检测方法及装置
CN116170186A (zh) 基于网络流量分析的攻击代码在线检测方法和装置
CN109800581B (zh) 软件行为的安全防护方法及装置、存储介质、计算机设备
CN111552970B (zh) 基于三位一体综合画像的恶意代码检测及恶意性定位方法
CN112488562B (zh) 一种业务实现方法及装置
CN112671741B (zh) 一种网络防护的方法、装置、终端及存储介质
CN117056918A (zh) 一种代码分析方法及相关设备
CN114884686A (zh) 一种php威胁识别方法及装置
CN112347479A (zh) 恶意软件检测的误报纠正方法、装置、设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210330

RJ01 Rejection of invention patent application after publication