CN112948829B - 文件查杀方法、系统、设备及存储介质 - Google Patents
文件查杀方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN112948829B CN112948829B CN202110237837.8A CN202110237837A CN112948829B CN 112948829 B CN112948829 B CN 112948829B CN 202110237837 A CN202110237837 A CN 202110237837A CN 112948829 B CN112948829 B CN 112948829B
- Authority
- CN
- China
- Prior art keywords
- sample
- file
- killing
- virus
- searching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 241000700605 Viruses Species 0.000 claims abstract description 146
- 238000013473 artificial intelligence Methods 0.000 claims abstract description 28
- 238000004806 packaging method and process Methods 0.000 claims abstract description 4
- 230000009467 reduction Effects 0.000 claims description 20
- 238000004422 calculation algorithm Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 10
- 238000004458 analytical method Methods 0.000 claims description 5
- 238000012856 packing Methods 0.000 claims description 2
- 238000000605 extraction Methods 0.000 description 15
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000004659 sterilization and disinfection Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013178 mathematical model Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Automatic Analysis And Handling Materials Therefor (AREA)
- Investigating Or Analysing Biological Materials (AREA)
Abstract
本发明涉及人工智能技术领域,公开了一种文件查杀方法、系统、设备及存储介质,所述方法包括:获取样本文件,对样本文件进行特征提取,对提取后的原始特征进行组包,获得目标特征,并将目标特征发送至病毒预测端,接收所述病毒预设端反馈的样本预测结果,样本预测结果是基于人工智能预测得到的,对样本预测结果进行预设操作,以实现对样本文件的查杀。本发明通过对样本文件的原始特征提取,将提取的原始特征进行组包并发送至病毒预测端进行人工智能预测,并根据样本预测结果对样本文件进行预设操作,相较于现有技术利用降维模型量化为特征向量并进行人工智能预测,能够有效降低内存和CPU占用率。
Description
技术领域
本发明涉及人工智能技术领域,尤其涉及文件查杀方法、系统、设备及存储介质。
背景技术
计算机病毒是编制或者在计算机程序中插入的破坏计算机功能的数据,其会影响计算机的正常使用并且能够自我复制,通常以一组计算机指令或者程序代码的形式呈现。而杀毒引擎就是一套判断特定程序行为是否为病毒程序(包括可疑程序)的技术机制。杀毒引擎是杀毒软件的主要部分,是检测和发现病毒的程序,而病毒库是已经发现的病毒的特征集合。在杀毒过程中,用病毒库中的特征去对照系统中的所有程序或文件,对于符合这些特征的程序或文件,判定为病毒。由于杀毒引擎对病毒进行查杀的过程中,会导致内存和CPU占用过高的问题,而现有技术中采用的是从待查杀的文件中提取相应的特征,并对所述提取的特征经过降维模型量化为特征向量并进行AI检测,但是所述方法并不能有效降低内存与CPU的占用过高的问题,尤其是在在云工作负载保护平台杀毒场景下,如何有效降低内存与CPU占用率过高的问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种文件查杀方法、系统、设备及存储介质,旨在解决无法有效降低内存和CPU占用率的技术问题。
为实现上述目的,本发明提供了一种文件查杀方法,应用于病毒查杀端,所述文件查杀方法包括以下步骤:
获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征;
对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端;
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的;
对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。
可选地,所述获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
获取样本文件和CPU使用率,根据所述样本文件确定对应的文件类型;
根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。
可选地,所述获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
获取样本文件和CPU使用率,根据所述样本文件确定对应的文件类型;
根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。
可选地,所述获取CPU使用率之前,还包括:
获取单位时间片内预设CPU的消耗量;
根据所述消耗量对预设CPU进行计算,并对计算后的预设CPU进行精准切片,获得当前CPU使用率;
获取预设CPU控制算法,根据所述预设CPU控制算法以及当前时间对所述当前CPU使用率进行控制处理,以获得CPU使用率。
可选地,所述根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
根据所述文件类型,获得对应的预设样本文件特征;
根据所述CPU使用率和所述预设样本文件特征对所述样本文件进行特征提取,获得所述样本文件的原始特征。
可选地,所述接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的,包括:
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。
可选地,所述接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的,包括:
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过对所述加密后的目标特征进行解包和解密以得到获得所述原始特征以及对所述原始特征进行人工智能预测得到的。
可选地,所述对所述对应的样本信息进行预设操作,以实现对所述样本文件的查杀,包括:
对所述样本预测结果进行解密;
对解密后的样本预测结果进行分析,根据分析后的样本预测结果进行预设操作,以实现对所述样本文件的查杀。
可选地,所述对解密后的样本预测结果进行分析,根据分析后的样本预测结果进行预设操作,以实现对所述样本文件的查杀,包括:
判断所述分析后的样本预测结果的状态是否为黑状态;
若所述分析后的样本预测结果的状态为黑状态,则执行拦截操作,以实现对所述样本文件的查杀。
此外,为实现上述目的,本发明还提出一种文件查杀系统,所述文件查杀系统应用于文件查杀方法,所述系统包括病毒查杀端和病毒预测端,所述病毒查杀端和病毒预测端采用无线连接;
所述病毒查杀端,用于获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征;
所述病毒查杀端,还用于对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端;
所述病毒预测端,用于对所述目标特征进行人工智能预测并反馈对应的样本预测结果;
所述病毒查杀端,还用于接收所述病毒预设端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的;
所述病毒查杀端,还用于接收所述病毒预设端反馈的样本预测结果,并对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。
此外,为实现上述目的,本发明还提出一种文件查杀设备,所述文件查杀设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的文件查杀程序,所述文件查杀程序配置为实现如上文所述的文件查杀方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有文件查杀程序,所述文件查杀程序被处理器执行时实现如上文所述的文件查杀方法的步骤。
本发明提出的文件查杀方法,通过获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端,接收所述病毒预设端反馈的样本预测结果,样本预测结果是基于人工智能预测得到的,接收所述病毒预设端反馈的样本预测结果,并对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。本发明通过对所述样本文件的原始特征提取,将提取的原始特征进行组包,并将组包后原始特征的发送至病毒预测端,以使所述病毒预测端对进行人工智能预测,获得对应的样本预测结果,根据样本预测结果对所述样本文件进行预设操作,能够有效降低内存和CPU占用率。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的文件查杀设备的结构示意图;
图2为本发明文件查杀方法第一实施例的流程示意图;
图3为本发明文件查杀方法第二实施例的流程示意图;
图4为本发明文件查杀方法一实施例的整体流程示意图;
图5为本发明文件查杀方法第三实施例的流程示意图;
图6为本发明文件查杀装置第一实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的文件查杀设备结构示意图。
如图1所示,该文件查杀设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对文件查杀设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及文件查杀程序。
在图1所示的文件查杀设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明文件查杀设备中的处理器1001、存储器1005可以设置在文件查杀设备中,所述文件查杀设备通过处理器1001调用存储器1005中存储的文件查杀程序,并执行本发明实施例提供的文件查杀方法。
基于上述硬件结构,提出本发明文件查杀方法实施例。
参照图2,图2为本发明文件查杀方法第一实施例的流程示意图。
在第一实施例中,所述文件查杀方法包括以下步骤:
步骤S10,获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征。
需要说明的是,本实施例的执行主体可为文件查杀设备,还可为其他可实现相同或相似功能的设备,也可以为病毒查杀端,本实施例对此不作限制,在本实施例中,以文件查杀设备为例进行说明。
应当理解的是,所述对样本文件进行特征提取是使用病毒查杀端进行完成的,所述病毒查杀端指的是对样本文件中的病毒进行辨别的设备端,在所述病毒查杀端可以对包含病毒的样本文件进行查杀,再根据判断结果执行对应的操作,在所述样本文件中存在病毒时,需要对文件病毒进行查杀,查杀的具体流程是集成监控识别、病毒扫描和清除、自动升级以及主动防御等功能,主要是对一切已知的对计算机有危害的程序代码进行清除,根据病毒类型的不同,查杀的方式也有所区别,通常是采用特定的杀毒软件,例如A病毒需要使用B软件进行杀毒,C病毒需要使用D软件进行杀毒,此时由于病毒不同,B软件无法对C病毒进行查杀,D软件不能对A病毒进行查杀等等。
可以理解的是,所述获取样本文件是基于云工作负载保护平台(Cloud WorkloadProtection Platforms,CWPP)下完成的,它为信息安全领导者提供了一种集成的方式,通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载,而不用考虑工作负载运行的位置,可以理解成为基于代理的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云以及混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。
应当理解的是,所述对所述样本文件进行特征提取具体是在获得样本文件后,对所述文件的特征提取,所述提取的特征是最能代表所述样本文件的特征,所述提取的特征即为目标特征,例如所述样本文件中包含A、B以及C三个特征,其中B是最能代表所述样本文件的特征,那么提取的特征即为B特征,而不应该是A或C特征。
在具体实施中,病毒查杀端获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征。
步骤S20,对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端。
应当理解的是,所述病毒预测端指的是对所述样本文件中的目标特征进行预测的设备端,通过所述病毒预测端可以判断所述样本文件中是否包含病毒,在获得到所述样本文件的目标特征后,经过人工智能预测能够确定所述样本文件中是否存在病毒代码或者病毒程序,所述样本文件病毒指的是计算机病毒的一种,主要通过感染计算机中的可执行文件和命令文件,可执行文件类型是以.exe形式显示的,命令文件是以.com形式显示的,文件型病毒是对计算机的源文件进行修改,使其成为新的带毒文件,一旦计算机运行该文件就会被感染,从而达到传播的目的,文件型病毒分两类:一种是将病毒加在com前部,另一种是加在文件尾部。
在具体实施中,病毒查杀端对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端。
步骤S30,接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的。
可以理解的是,所述人工智能预测指的是通过人工智能系统对所述样本文件中的病毒进行预测,确定所述待查杀的样本中是否包含病毒,所述人工智能系统指的是人工智能实时分析处理数学模型,示例性地,可以由数据通讯机、数据处理机、数据显示器、学习机、推理机、控制器、警报器、数据库等中的一种或多种组成,在本实施例中可以对非常准确的判断出所述样本文件中是否存在病毒,能够最大限度地发挥对样本文件中病毒的辨别作用,所述获得的样本预测结果是两种,一种是A状态的样本文件,另一种是B状态的样本文件,定义所述A状态的样本文件为包含病毒的样本文件。
在具体实施中,病毒查杀端接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的。
步骤S40,对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。
应当理解的是,所述对所述样本预测结果进行预设操作指的是首先需要判断样本预测结果中样本文件的状态信息,不同的样本文件的状态信息不同,执行的操作也有所区别,例如若所述样本文件的状态信息是黑状态,则需要对所述样本文件进行拦截,不会进入到下一层,若所述样本文件的状态信息是白状态,则需要对所述样本文件进行放过,可以对所述样本文件进行正常使用,从而实现对所述样本文件的查杀。
在具体实施中,病毒查杀端对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。
本实施例通过在病毒查杀端获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端接收所述病毒预设端反馈的样本预测结果,样本预测结果是基于人工智能预测得到的,对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。本实施例通过对所述样本文件的原始特征提取,将提取的原始特征进行组包,并将组包后的发送至病毒预测端进行人工智能预测,获得对应的样本预测结果,根据样本预测结果对所述样本文件进行预设操作,能够有效降低内存和CPU占用率。
在一实施例中,如图3所述,基于第一实施例提出本发明文件查杀方法第二实施例,所述步骤S10,包括:
步骤S101,获取样本文件和CPU使用率,根据所述样本文件确定对应的文件类型。
可以理解的是,所述获取样本文件指的是在所述病毒查杀端接收待检测的样本文件,文件类型的分类就是按照所述样本文件中的特征不同进行区分的,因此不同的样本文件类型对应的样本文件特征各有不同,例如PE文件特征的特定的字符串、汇编指令等;针对office文件的宏特征,更进一步的宏的一些统计特征等;针对其他类型的文件,其他类型的特征等,当然,对于不同类型的样本文件的处理方式也存在区别,例如A1类型的样本文件处理方式是A2,而B2类型的样本文件处理方式是B2,因此确认所述样本的类型是非常有必要的。
进一步的,所述CPU使用率是通过获取单位时间片内预设CPU的消耗量;根据所述消耗量对预设CPU进行计算,并对计算后的预设CPU进行精准切片,获得当前CPU使用率;获取预设CPU控制算法,根据所述预设CPU控制算法以及当前时间对所述当前CPU进行控制处理得到的,例如,所述单位时间内预设CPU的消耗量为A,对预设CPU进行计算和精准切片得到的当前CPU使用率为B,再获取预设CPU控制算法,根据预设CPU控制算法对当前CPU使用率进行控制处理,以得到CPU使用率,从而更加合理对CPU的运用,以降低CPU的占用率。
在具体实施中,病毒查杀端获取样本文件和CPU使用率,根据所述样本文件确定对应的文件类型。
步骤S102,根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。
可以理解的是,所述获得所述样本文件的原始特征指的是在获得不同类型的样本文件后,对所述不同类型中的样本文件的特征进行特征提取,提取获得结果即为所述样本文件的原始特征。
应当理解的是,所述CPU指的是中央处理器,包括运算逻辑部件、寄存器部件以及控制部件等,由于CWPP场景对CPU使用敏感,因此需要对CPU使用率进行控制,通过对特征提取部分CPU使用计算并精准切片,通过计算每个时间片内预设CPU的耗用,使用预设CPU控制算法进行对应处理,使得杀毒引擎能够在预期CPU平稳控制场景下进行特征提取,获得所述样本文件的原始特征,通过预设CPU控制算法对预设CPU进行控制,使得在对所述样本文件进行特征提取时需要多少CPU,就提供对应的CPU,例如在所述样本文件进行特征提取时所需CPU为2%,那么病毒查杀端就会提供2%的CPU,从而达到精准控制的目的。
在具体实施中,病毒查杀端根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。
参照图4,所述图4为本发明文件查杀方法一实施例的整体流程示意图,具体流程为:在病毒查杀端对样本文件进行采集,并对采集获得的样本文件进行CPU控制,获得对所述样本文件进行特征提取对应的CPU,再对对所述样本文件进行特征提取,获得所述样本文件的原始特征,将所述样本文件的原始特征进行组包,在组包完成后,对组包后的原始特征进行加密,并将加密后的原始特征发送至病毒预测端,在所述病毒预测端对所述加密后的原始特征进行解密,获得解密后的原始特征,并将解密后的原始特征进行解包,获得所述样本文件的目标特征,通过特征与模型解耦策略对所述目标特征进行降维,并对降维后的目标特征进行人工智能预测,获得对应的样本预测结果,将所述对应的预测结果进行加密,并将加密后的预测结果发送至病毒查杀端,在所述病毒查杀端对所述加密后的预测结果进行解密,根据所述解密后的预测结果获得所述样本文件的状态信息,根据所述状态信息执行对应的操作。
本实施例中通过获取样本文件和CPU使用率,根据所述样本文件确定对应的文件类型;根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。本实施例通过获取单位时间片内预设CPU的消耗量,根据所述消耗量对预设CPU进行计算,并对计算后的预设CPU使用率进行精准切片,获得当前CPU使用率,获取预设CPU控制算法,根据所述预设CPU控制算法以及当前时间对所述当前CPU使用率进行控制处理,以获得CPU使用率,获取样本文件,根据所述样本文件获得对应的文件类型,并根据所述文件类型和所述目标CPU对所述样本文件进行特征提取,获得所述样本文件的原始特征,从而提高了CPU的利用率和获得原始特征的准确性。
在一实施例中,如图5所述,基于第一实施例提出本发明文件查杀方法第三实施例,所述步骤S30,包括:
步骤S301,接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。
可以理解的是,所述预设策略可以为特征与模型解耦策略,也可以为其他策略,本实施例对此不作限制,以特征与模型解耦策略为例进行说明,所述特征与模型解耦策略指的是能够将输入的特征进行解耦,获得输入特征的不同参数信息,并对输入特征的不同参数信息进行分别处理,例如通过特征与模型解耦策略将目标特征解耦为A、B以及C三种参数信息,再对A、B以及C三种参数进行分别处理,通过特征与模型解耦策略主要是降低目标特征中特征的耦合度。
应当理解的是,所述对目标特征进行降维指的是将PE文件中特定的字符串和汇编指令以及office文件中宏特征等特征的维度降低,降维方法可以采用线性,也可以采用非线性降维,非线性降维又分为基于核函数和基于特征值的策略,例如,若所述目标特征的原始维度为D,则通过所述特征与模型解耦策略处理后目标特征的原始维度D-1,从而实现对目标特征的降维,实现轻量化病毒查杀端的杀毒。
可以理解的是,所述样本预测结果中的样本文件状态分为两种,一种是黑状态,另一种是白状态,根据样本文件状态的不同,执行的操作也有所区别,例如,若所述样本文件为黑状态,则需要执行拦截操作,若所述样本文件为白状态,则执行放过操作,执行下一步骤。
在具体实施中,病毒查杀端接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。
可以理解的是,所述人工智能预测指的是通过人工智能系统对所述样本文件中的病毒进行预测,确定所述待查杀的样本中是否包含病毒,所述人工智能三要素为数据、算力以及算法,通过人工智能三要素能够获得针对各种病毒的检测策略,通过所述人工智能预测后,可以获得对应的样本预测结果,所述样本预测结果分为两种,一种是所述样本文件的状态为黑状态,另外一种是所述样本文件的状态为白状态,若所述样本文件的状态为黑状态,则对所述样本文件执行拦截操作,若所述样本文件的状态为白状态,则执行放过操作,从而实现对所述样本文件的查杀。
应当理解的是,对所述样本预测结果进行解密;对解密后的样本预测结果进行分析,判断所述分析后的样本预测结果的状态是否为黑状态;若所述分析后的样本预测结果的状态为黑状态,则执行拦截操作,以实现对所述样本文件的查杀。
本实施例通过接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。本实施例通过接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过获取特征与模型解耦策略并根据所述特征与模型解耦策略将所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的,从而能够有效降低内存和CPU占用率。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有文件查杀程序,所述文件查杀程序被处理器执行时实现如上文所述的文件查杀方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,参照图6,本发明实施例还提出一种文件查杀系统,所述文件查杀系统应用于文件查杀方法,所述系统包括病毒查杀端10和病毒预测端20,所述病毒查杀端和病毒预测端采用无线连接;
所述病毒查杀端10,用于获取样本文件,再根据判断结果执行对应的操作,在所述样本文件中存在病毒时,需要对文件病毒进行查杀,根据病毒类型的不同,查杀的方式也有所区别,通常是采用特定的杀毒软件,例如A病毒需要使用B软件进行杀毒,C病毒需要使用D软件进行杀毒,此时由于病毒不同,B软件无法对C病毒进行查杀,D软件不能对A病毒进行查杀等等,在获得样本文件后,对所述文件的特征提取,所述提取的特征是最能代表所述样本文件的特征,所述提取的特征即为目标特征。
所述病毒查杀端10,还用于在得到原始特征后,对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端20。
所述病毒预测端20,用于接收到所述病毒预测端10发送的目标特征,对目标特征进行降维指的是将PE文件中特定的字符串和汇编指令以及office文件中宏特征等特征的维度降低,降维方法可以采用线性,也可以采用非线性降维,非线性降维又分为基于核函数和基于特征值的策略,例如,若所述目标特征的原始维度为D,则通过所述特征与模型解耦策略处理后目标特征的原始维度D-1,通过人工智能系统对所述样本文件中的病毒进行预测,确定所述待查杀的样本中是否包含病毒,并反馈对应的样本预测结果。
所述病毒查杀端10,还用于接收所述病毒预测端20反馈的样本预测结果,所述样本预测结果是通过获取特征与模型解耦策略并根据所述特征与模型解耦策略将所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的,所述特征与模型解耦策略指的是能够将输入的特征进行解耦,获得输入特征的不同参数信息,并对输入特征的不同参数信息进行分别处理。
所述病毒查杀端10,还用于根据所述样本预测结果执行预设操作,所述预设操作分为两种,一种是拦截操作,另一种是放过操作,根据样本预测结果的不同,执行的操作也有所不同,若所述样本文件的状态为白状态,则执行放过操作,从而实现对所述样本文件的查杀,以实现对所述样本文件的查杀。
本发明提出的文件查杀方法,通过获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端,接收所述病毒预设端反馈的样本预测结果,样本预测结果是基于人工智能预测得到的,对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。本发明通过对所述样本文件的原始特征提取,将提取的原始特征进行组包,并将组包后原始特征的发送至病毒预测端,接收所述病毒预设端反馈的样本预测结果,样本预测结果是基于人工智能预测得到的,根据样本预测结果对所述样本文件进行预设操作,从而能够有效降低内存和CPU占用率。
需要说明的是,以上所描述的工作流程仅仅是示意性的,并不对本发明的保护范围构成限定,在实际应用中,本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的,此处不做限制。
另外,未在本实施例中详尽描述的技术细节,可参见本发明任意实施例所提供的文件查杀方法,此处不再赘述。
本发明所述文件查杀装置的其他实施例或具有实现方法可参照上述各方法实施例,此处不在赘余。
此外,需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器(Read Only Memory,ROM)/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (12)
1.一种文件查杀方法,其特征在于,应用于病毒查杀端,所述文件查杀方法包括以下步骤:
获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征;
对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端;
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的;
对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀;
所述获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
获取样本文件和CPU使用率;
根据所述样本文件和所述CPU使用率对所述样本文件进行特征提取,获得所述样本文件的原始特征。
2.如权利要求1所述的文件查杀方法,其特征在于,所述根据所述样本文件和所述CPU使用率对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
根据所述样本文件确定对应的文件类型;
根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征。
3.如权利要求2所述的文件查杀方法,其特征在于,所述获取CPU使用率之前,还包括:
获取单位时间片内预设CPU的消耗量;
根据所述消耗量对预设CPU进行计算,并对计算后的预设CPU进行精准切片,获得当前CPU使用率;
获取预设CPU控制算法,根据所述预设CPU控制算法以及当前时间对所述当前CPU使用率进行控制处理,以获得CPU使用率。
4.如权利要求2所述的文件查杀方法,其特征在于,所述根据所述CPU使用率和所述文件类型对所述样本文件进行特征提取,获得所述样本文件的原始特征,包括:
根据所述文件类型,获得对应的预设样本文件特征;
根据所述CPU使用率和所述预设样本文件特征对所述样本文件进行特征提取,获得所述样本文件的原始特征。
5.如权利要求1所述的文件查杀方法,其特征在于,所述接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的,包括:
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。
6.如权利要求5所述的文件查杀方法,其特征在于,所述接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的,包括:
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过获取特征与模型解耦策略并根据所述特征与模型解耦策略将所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的。
7.如权利要求5所述的文件查杀方法,其特征在于,所述接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过预设策略对所述目标特征进行降维以及对降维后的目标特征进行人工智能预测得到的,包括:
接收所述病毒预测端反馈的样本预测结果,所述样本预测结果是通过对加密后的目标特征进行解包和解密以得到获得所述原始特征以及对所述原始特征进行人工智能预测得到的。
8.如权利要求1所述的文件查杀方法,其特征在于,所述对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀,包括:
对所述样本预测结果进行解密;
对解密后的样本预测结果进行分析,根据分析后的样本预测结果进行预设操作,以实现对所述样本文件的查杀。
9.如权利要求8所述的文件查杀方法,其特征在于,所述对解密后的样本预测结果进行分析,根据分析后的样本预测结果进行预设操作,以实现对所述样本文件的查杀,包括:
判断所述分析后的样本预测结果的状态是否为黑状态;
若所述分析后的样本预测结果的状态为黑状态,则执行拦截操作,以实现对所述样本文件的查杀。
10.一种文件查杀系统,其特征在于,所述文件查杀系统应用于如权利要求1至9中任一项所述的文件查杀方法,所述系统包括病毒查杀端和病毒预测端,所述病毒查杀端和病毒预测端采用无线连接;
所述病毒查杀端,用于获取样本文件,对所述样本文件进行特征提取,获得所述样本文件的原始特征,具体用于获取样本文件和CPU使用率;根据所述样本文件和所述CPU使用率对所述样本文件进行特征提取,获得所述样本文件的原始特征;
所述病毒查杀端,还用于对所述原始特征进行组包,获得目标特征,并将所述目标特征发送至病毒预测端;
所述病毒预测端,用于对所述目标特征进行人工智能预测并反馈对应的样本预测结果;
所述病毒查杀端,还用于接收所述病毒预设端反馈的样本预测结果,所述样本预测结果是基于人工智能预测得到的;
所述病毒查杀端,还用于对所述样本预测结果进行预设操作,以实现对所述样本文件的查杀。
11.一种文件查杀设备,其特征在于,所述文件查杀设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的文件查杀程序,所述文件查杀程序配置有实现如权利要求1至9中任一项所述的文件查杀方法的步骤。
12.一种存储介质,其特征在于,所述存储介质上存储有文件查杀程序,所述文件查杀程序被处理器执行时实现如权利要求1至9中任一项所述的文件查杀方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110237837.8A CN112948829B (zh) | 2021-03-03 | 2021-03-03 | 文件查杀方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110237837.8A CN112948829B (zh) | 2021-03-03 | 2021-03-03 | 文件查杀方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112948829A CN112948829A (zh) | 2021-06-11 |
| CN112948829B true CN112948829B (zh) | 2023-11-03 |
Family
ID=76247509
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110237837.8A Active CN112948829B (zh) | 2021-03-03 | 2021-03-03 | 文件查杀方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112948829B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114039774B (zh) * | 2021-11-08 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种恶意pe程序的阻断方法、检测方法及装置 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779249A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 恶意程序检测方法及扫描引擎 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
| WO2017036154A1 (zh) * | 2015-09-02 | 2017-03-09 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器、计算机存储介质 |
| CN107358096A (zh) * | 2017-07-10 | 2017-11-17 | 成都虫洞奇迹科技有限公司 | 文件病毒查杀方法及系统 |
| CN108920958A (zh) * | 2018-07-13 | 2018-11-30 | 深圳市联软科技股份有限公司 | 检测pe文件异常行为的方法、装置、介质及设备 |
| CN109800797A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 基于ai的文件黑白判断方法、装置及设备 |
| CN110008698A (zh) * | 2018-01-04 | 2019-07-12 | 深圳市腾讯计算机系统有限公司 | 病毒检测方法及装置 |
| CN110210215A (zh) * | 2018-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| CN110210216A (zh) * | 2018-04-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| CN110619213A (zh) * | 2018-06-20 | 2019-12-27 | 深信服科技股份有限公司 | 基于多模型特征的恶意软件识别方法、系统及相关装置 |
| CN110837640A (zh) * | 2019-11-08 | 2020-02-25 | 深信服科技股份有限公司 | 恶意文件的查杀方法、查杀设备、存储介质及装置 |
| CN111290967A (zh) * | 2020-03-10 | 2020-06-16 | 武汉联影医疗科技有限公司 | 一种软件缺陷预测方法、装置、设备及存储介质 |
| CN112100453A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种字符串分布统计方法、系统、设备及计算机存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11444957B2 (en) * | 2018-07-31 | 2022-09-13 | Fortinet, Inc. | Automated feature extraction and artificial intelligence (AI) based detection and classification of malware |
-
2021
- 2021-03-03 CN CN202110237837.8A patent/CN112948829B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102779249A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 恶意程序检测方法及扫描引擎 |
| CN104134039A (zh) * | 2014-07-24 | 2014-11-05 | 北京奇虎科技有限公司 | 病毒查杀方法、客户端、服务器以及病毒查杀系统 |
| WO2016058403A1 (zh) * | 2014-10-14 | 2016-04-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、系统及设备 |
| WO2017036154A1 (zh) * | 2015-09-02 | 2017-03-09 | 腾讯科技(深圳)有限公司 | 一种信息处理方法及服务器、计算机存储介质 |
| CN107358096A (zh) * | 2017-07-10 | 2017-11-17 | 成都虫洞奇迹科技有限公司 | 文件病毒查杀方法及系统 |
| CN110008698A (zh) * | 2018-01-04 | 2019-07-12 | 深圳市腾讯计算机系统有限公司 | 病毒检测方法及装置 |
| CN110210215A (zh) * | 2018-03-21 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| CN110210216A (zh) * | 2018-04-13 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种病毒检测的方法以及相关装置 |
| CN110619213A (zh) * | 2018-06-20 | 2019-12-27 | 深信服科技股份有限公司 | 基于多模型特征的恶意软件识别方法、系统及相关装置 |
| CN108920958A (zh) * | 2018-07-13 | 2018-11-30 | 深圳市联软科技股份有限公司 | 检测pe文件异常行为的方法、装置、介质及设备 |
| CN109800797A (zh) * | 2018-12-29 | 2019-05-24 | 360企业安全技术(珠海)有限公司 | 基于ai的文件黑白判断方法、装置及设备 |
| CN112100453A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种字符串分布统计方法、系统、设备及计算机存储介质 |
| CN110837640A (zh) * | 2019-11-08 | 2020-02-25 | 深信服科技股份有限公司 | 恶意文件的查杀方法、查杀设备、存储介质及装置 |
| CN111290967A (zh) * | 2020-03-10 | 2020-06-16 | 武汉联影医疗科技有限公司 | 一种软件缺陷预测方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 基于规则的计算机病毒查杀引擎技术研究;樊星材;张子超;刘兴东;;计算机产品与流通(第09期);全文 * |
| 嵌入式设备病毒查杀机制的思考;丁宇;;信息安全与通信保密(第08期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112948829A (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10902117B1 (en) | Framework for classifying an object as malicious with machine learning for deploying updated predictive models | |
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| US10581879B1 (en) | Enhanced malware detection for generated objects | |
| KR102456579B1 (ko) | 암호화 관련 취약점 공격에 강인한 전자 장치 및 그 방법 | |
| EP2860657B1 (en) | Determining a security status of potentially malicious files | |
| US10853489B2 (en) | Data-driven identification of malicious files using machine learning and an ensemble of malware detection procedures | |
| US11882134B2 (en) | Stateful rule generation for behavior based threat detection | |
| CA3080589A1 (en) | Malicious script detection | |
| CN106682505A (zh) | 一种病毒检测方法、终端、服务器及系统 | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| US20080120720A1 (en) | Intrusion detection via high dimensional vector matching | |
| US10567398B2 (en) | Method and apparatus for remote malware monitoring | |
| JP7531816B2 (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
| CN116305129B (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
| CN112948829B (zh) | 文件查杀方法、系统、设备及存储介质 | |
| US10880316B2 (en) | Method and system for determining initial execution of an attack | |
| US11263307B2 (en) | Systems and methods for detecting and mitigating code injection attacks | |
| US11822651B2 (en) | Adversarial resilient malware detector randomization method and devices | |
| KR102465307B1 (ko) | 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 | |
| Roopak et al. | Android malware detection mechanism based on bayesian model averaging | |
| KR102702108B1 (ko) | 보안 취약점의 스캔 결과로부터 침입 차단 시스템의 룰을 추천하는 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| GB2572155A (en) | Threat detection system | |
| Milosevic et al. | Runtime Classification of Mobile Malware for Resource-constrained Devices | |
| Nasman | Malware Detection Based on Permissions on Android Platform Using Data Mining | |
| Jain et al. | Detection of Malicious Data using hybrid of Classification and Clustering Algorithms under Data Mining |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |