CN114417331A - 病毒特征可信度的确定方法、装置、电子设备及存储介质 - Google Patents
病毒特征可信度的确定方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114417331A CN114417331A CN202111680640.8A CN202111680640A CN114417331A CN 114417331 A CN114417331 A CN 114417331A CN 202111680640 A CN202111680640 A CN 202111680640A CN 114417331 A CN114417331 A CN 114417331A
- Authority
- CN
- China
- Prior art keywords
- determining
- dimension
- sample
- feature
- classification label
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/241—Classification techniques relating to the classification model, e.g. parametric or non-parametric approaches
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Virology (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Evolutionary Biology (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种病毒特征可信度的确定方法、装置、电子设备及介质,涉及网络安全技术领域,能够确定病毒特征的可信度。所述方法包括:获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。本发明实施例提供的技术方案适用于对病毒特征的可信度进行确定。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种病毒特征可信度的确定方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展,以及互联网应用的逐步普及,计算机病毒对计算机信息或系统所起破坏作用也日益严重。
目前,反病毒引擎对计算机病毒的主要检测方式为病毒特征匹配方式,反病毒引擎通过扫描计算机中的文件或程序,将其与计算机病毒特征(通常存储于计算机病毒特征库)相对比,如果匹配,则认定上述检测的计算机文件或程序包含计算机病毒,如果不匹配,则认定上述检测的计算机文件或者程序不包含计算机病毒。
但是,采用上述病毒特征匹配方式对病毒进行检测时,检测结果的可靠性与病毒特征的可信度紧密相关,例如,在计算机病毒特征的可信度较低的情况下,对计算机中的文件或者程序进行检测,通过病毒特征匹配方法,获取到的病毒特征命中的样本文件,会存在较高的误报率,目前现有技术中尚缺乏对病毒特征的可信度进行有效检测的方法。
发明内容
有鉴于此,本发明实施例提供一种病毒特征可信度的确定方法、装置、电子设备及存储介质,能够确定病毒特征的可信度。
第一方面,本发明实施例提供一种病毒特征可信度的确定方法,所述方法包括:获取目标特征以及所述目标特征所命中的样本文件;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
可选的,所述获取所述目标特征的第一维度,包括:从所述目标特征的名称中,获取所述目标特征的第一子特征;根据所述第一子特征,确定所述目标特征的第一维度。
可选的,所述基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度,包括:基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
可选的,所述确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,包括:基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
可选的,所述方法还包括:判断所述可信度是否低于预设阈值;若低于预设阈值,则发出报警信息。
可选的,目标特征的维度包括以下中的至少一种:病毒类型维度以及编译器维度。
第二方面,本发明实施例提供一种病毒特征可信度的确定装置,所述装置包括:样本获取模块,用于获取目标特征以及所述目标特征所命中的样本文件;维度获取模块,用于获取所述目标特征的第一维度信息;建立模块,用于根据第一维度信息,为各样本文件分别建立分类标签;数量确定模块,用于基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;可信度确定模块,用于基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
可选的,所述维度获取模块包括:第一子特征获取单元,用于从所述目标特征的名称中,获取所述目标特征的第一子特征;维度确定单元,用于根据所述第一子特征,确定所述目标特征的第一维度。
可选的,所述可信度确定模块包括:数量占比确定单元,用于基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;可信度确定单元,用于根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
可选的,所述数量占比确定单元具体用于:基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
可选的,所述装置还包括:判断模块,用于判断所述可信度是否低于预设阈值;报警模块,用于若低于预设阈值,则发出报警信息。
可选的,目标特征的维度包括以下中的至少一种:病毒类型维度以及编译器维度。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行本发明的任一实施例提供的病毒特征可信度的确定方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以执行本发明的任一实施例提供的病毒特征可信度的确定方法。
本发明的实施例提供的病毒特征可信度的确定方法、装置、电子设备及存储介质,能够获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。这样一来,就能够根据目标特征以及目标特征命中的样本文件的数量,对病毒特征的可信度进行确定。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种病毒特征可信度的确定方法的流程示意图;
图2为本发明实施例提供的一种病毒特征可信度的确定装置的结构示意图;
图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种病毒特征可信度的确定方法,该方法可以由软件和/或硬件实现的病毒特征可信度的确定装置执行,参见图1,该方法可以包括:
S11,获取目标特征以及所述目标特征所命中的样本文件。
其中,所述样本文件的数量为两个以上。
S12,获取所述目标特征的第一维度信息。
S13,根据第一维度信息,为各样本文件分别建立分类标签。
S14,基于各样本文件的分类标签,确定各分类标签下的样本文件的数量。
为便于描述,下面将上述四个步骤结合起来进行说明。
具体而言,目标特征即为需要对其可信度进行确定的病毒特征。在反病毒引擎查杀计算机病毒的过程中,通过将计算机中的文件或者程序与病毒特征库中的目标特征进行匹配,来对计算机中的待检测文件或者程序进行检测。通常情况下,每种计算机病毒对应病毒特征库中的一个病毒特征,一个病毒特征对应一个或一个以上的子特征。在特征匹配过程中,采用目标特征对待检测文件进行校验,若对于目标特征中每项子特征的校验结果均为校验通过,则该待检测文件即为目标特征命中的病毒文件(或者程序)或被病毒感染的文件(或者程序),在本发明实施例中称为目标特征命中的样本文件,感染的病毒即为目标特征对应的病毒。
目标特征中的每个子特征对应一个维度。举例而言,目标特征可以包括两个子特征,第一子特征对应的维度为病毒类型维度,第二子特征对应的维度为编译器维度。
在病毒类型维度下,可以对目标特征命中的样本文件建立相应的分类标签,在同一分类标签下的样本文件属于同一类型,从而实现对样本文件的分类。举例而言,目标特征命中的样本数量为1000个,采用动态分析的方法,可以对样本文件的类型进行识别。在对上述所有的样本文件进行动态分析之后,可以根据样本文件的类型建立相应的分类标签在利用分类标签对样本文件完成分类之后,即可通过统计方法确定在各标签下的样本文件的数量。
S15,基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
在前述步骤中,已经获取了在病毒类型这一维度下各种类型的样本对应的样本数量,然后根据第一维度下符合要求的样本文件的数量,可以确定目标特征在第一维度下的可信度。
本发明的实施例提供的病毒特征可信度的确定方法,能够获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。这样一来,就能够根据目标特征以及目标特征命中的样本文件的数量,对病毒特征的可信度进行确定。
可选的,在本发明的一个实施例中,步骤S11中,所述获取目标特征以及所述目标特征所命中的样本文件,可以包括:接收客户端上传的目标特征以及所述目标特征所命中的样本文件。
具体而言,本发明实施例可以应用于服务器端,每一台服务器端是为多台客户端服务的,因此,服务器端可以从其对应的多台客户端中获取目标特征以及目标特征命中的样本文件,从而能够扩大获取的样本文件的数量,从统计学角度而言,获取的样本文件的数量越大,在后续处理过程中获取的目标特征的可信度的精确度越高。从另一角度而言,通过实时从客户端获取数据,能够获得最新的样本文件,从而也能够获得最新的目标特征的可信度数据。
可选的,在本发明的一个实施例中,所述获取所述目标特征的第一维度,包括:从所述目标特征的名称中,获取所述目标特征的第一子特征;根据所述第一子特征,确定所述目标特征的第一维度。
在本发明实施例中,基于前述的举例,首先可以获得目标特征的第一子特征,其中第一子特征可以为目标特征中包括的子特征中任意一种,具体可以根据技术人员的需要选择一个子特征作为第一子特征,通过VirusTotal (VirusTotal,是一个提供免费的可疑文件分析服务的网站)的分析器对其进行分析,可以获得第一子特征对应的维度为病毒类型维度。同理,通过 VirusTotal的分析器对目标特征的其他子特征进行分析,可以获得目标特征的其他子特征对应的维度。
可选的,在本发明的一个实施例中,步骤S15中,所述基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度,可以包括:基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
在本发明实施例中,基于前述的举例,目标特征在病毒类型这一维度下的标签为NULL类型,以及A病毒类型,且这两种标签下的样本数量分别为200 和800,两者在总体样本数量1000中的数量占比分别为20%,80%。其中,A 病毒类型的样本文件才是符合条件的样本文件,而NULL类型的样本文件并不是病毒类型的文件,因此可以确定目标特征在病毒维度下的可信度为80%。
需要说明的是,上述内容仅以病毒类型维度进行实例性说明,在本发明实施例中,所述目标特征的维度可以包括以下格式类型中的至少一种:病毒类型维度,编译器维度。因此,对于目标特征中的编译器维度,同样可以采用与上述相同的方式在编译器维度对目标特征命中的样本文件采用分类标签进行分类,以确定目标特征在编译器维度下的可信度。
可选的,在本发明的一个实施例中,所述确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,可以包括:基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
在本发明实施例中,仍以前述的举例为例进行说明,目标特征在病毒类型这一维度下的标签为NULL类型以及A病毒类型,且这两种标签下的样本数量分别为200和800,两者在总体样本数量1000中的数量占比分别为20%和80%。因此在1000个样本文件中,有80%的样本文件是与第一子特征匹配正确的样本文件,其余20%的样本文件则是匹配错误的,可以确定目标特征在病毒维度下的可信度为80%。
可选的,在本发明的一个实施例中,本发明实施例提供的病毒特征可信度的确定方法还可以包括:判断所述可信度是否低于预设阈值;若低于预设阈值,则发出报警信息。
在本发明实施例中,若目标特征的可信度低于技术人员设定的预设阈值,则表明目标特征的可信度不能够满足技术人员的要求,在这种情况下,为了方便技术人员及时获知这种情况,可以向技术人员发出报警信息,例如目标特征在病毒类型这一维度下的可信度为80%,低于技术人员在病毒类型维度下设置的预设阈值85%,则可以向技术人员发出报警信息。并且还可以进一步将目标特征的详细信息发送至技术人员,以便于技术人员进行相应的分析和优化。
相应的,如图2所示,本发明的实施例还提供一种病毒特征可信度的确定装置2,包括:样本获取模块21,用于获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;维度获取模块22,用于获取所述目标特征的第一维度信息;建立模块23,用于根据第一维度信息,为各样本文件分别建立分类标签;数量确定模块24,用于基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;可信度确定模块25,用于基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
本发明的实施例提供的病毒特征可信度的确定装置,能够获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。这样一来,就能够根据目标特征以及目标特征命中的样本文件的数量,对病毒特征的可信度进行确定。
可选的,样本获取模块21具体用于:接收客户端上传的目标特征以及所述目标特征所命中的样本文件。
可选的,维度获取模块22包括:第一子特征获取单元,用于从所述目标特征的名称中,获取所述目标特征的第一子特征;维度确定单元,用于根据所述第一子特征,确定所述目标特征的第一维度。
可选的,可信度确定模块25包括:数量占比确定单元,用于基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;可信度确定单元,用于根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
可选的,所述数量占比确定单元具体用于:基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
可选的,装置2还包括:判断模块,用于判断所述可信度是否低于预设阈值;报警模块,用于若低于预设阈值,则发出报警信息。
可选的,目标特征的维度包括以下中的至少一种:病毒类型维度以及编译器维度。
本发明实施例提供的病毒特征可信度的确定装置与前述的病毒特征可信度的确定方法属于同一发明构思,未在病毒特征可信度的确定装置中描述的技术细节可参见前述的病毒特征可信度的确定方法中的相关描述,在此不再赘述。
相应的,本发明实施例还提供一种电子设备,图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1所示实施例的流程。如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器 33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
此外,本发明的实施例还提供一种计算机程序介质,该计算机程序介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现本发明任一实施例提供的方法,因此也能实现相应的有益技术效果,前文已经进行了相应说明,此处不再赘述。
本发明的实施例提供的病毒特征可信度的确定方法、装置、电子设备及存储介质,能够获取目标特征以及所述目标特征所命中的样本文件;所述样本文件的数量为两个以上;获取所述目标特征的第一维度信息;根据第一维度信息,为各样本文件分别建立分类标签;基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。这样一来,就能够根据目标特征以及目标特征命中的样本文件的数量,对病毒特征的可信度进行确定。此外,本发明的实施例可以应用于服务器端,接收客户端上传的目标特征以及所述目标特征所命中的样本文件这一方式,从而能够获得数量较多且最新的样本文件。本发明实施例可以从目标特征的名称中,获取子特征,并根据子特征确定目标特征的维度。本发明实施例可以根据各分类标签下的样本文件的数量在总体样本数量中的数量占比,对目标特征在第一维度下的可信度进行确定。更具体的,本发明实施例可以根据与第一子特征相匹配的样本文件的数量,对目标特征在第一维度下的可信度进行确定。本发明实施例中的目标特征的维度可以包括病毒类型维度以及编译器维度中的一种或者多种。为了方便技术人员获知目标特征的可信度低于技术人员设定的预设阈值的情况,本发明实施例可以在目标特征的可信度低于技术人员设定的预设阈值时,发出报警信息。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种病毒特征可信度的确定方法,其特征在于,所述方法包括:
获取目标特征以及所述目标特征所命中的样本文件;
获取所述目标特征的第一维度信息;
根据第一维度信息,为各样本文件分别建立分类标签;
基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;
基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标特征的第一维度,包括:
从所述目标特征的名称中,获取所述目标特征的第一子特征;
根据所述第一子特征,确定所述目标特征的第一维度。
3.根据权利要求2所述的方法,其特征在于,所述基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度,包括:
基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;
根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
4.根据权利要求3所述的方法,其特征在于,所述确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,包括:
基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;
确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
判断所述可信度是否低于预设阈值;
若低于预设阈值,则发出报警信息。
6.根据权利要求1至5中任一项所述的方法,其特征在于,目标特征的维度包括以下中的至少一种:病毒类型维度以及编译器维度。
7.一种病毒特征可信度的确定装置,其特征在于,所述装置包括:
样本获取模块,用于获取目标特征以及所述目标特征所命中的样本文件;
维度获取模块,用于获取所述目标特征的第一维度信息;
建立模块,用于根据第一维度信息,为各样本文件分别建立分类标签;
数量确定模块,用于基于各样本文件的分类标签,确定各分类标签下的样本文件的数量;
可信度确定模块,用于基于所述各分类标签下的样本文件的数量,确定所述目标特征在所述第一维度下的可信度。
8.根据权利要求7所述的装置,其特征在于,所述维度获取模块包括:
第一子特征获取单元,用于从所述目标特征的名称中,获取所述目标特征的第一子特征;
维度确定单元,用于根据所述第一子特征,确定所述目标特征的第一维度。
9.根据权利要求8所述的装置,其特征在于,所述可信度确定模块包括:
数量占比确定单元,用于基于所述各分类标签下的样本文件的数量,确定所述各分类标签下的样本文件的数量在总体样本数量中的数量占比;
可信度确定单元,用于根据所述各分类标签下的样本文件的数量在总体样本数量中的数量占比,确定所述目标特征在所述第一维度下的可信度。
10.根据权利要求9所述的装置,其特征在于,所述数量占比确定单元具体用于:
基于所述各分类标签下的样本文件的数量,确定与所述第一子特征相匹配的样本文件的数量;
确定所述第一子特征相匹配的样本文件的数量在总体样本数量中的数量占比。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
判断模块,用于判断所述可信度是否低于预设阈值;
报警模块,用于若低于预设阈值,则发出报警信息。
12.根据权利要求7至11中任一项所述的装置,其特征在于,目标特征的维度包括以下中的至少一种:病毒类型维度以及编译器维度。
13.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述1~6中任一权利要求所述的方法。
14.一种计算机程序介质,其特征在于,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~6任一所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111680640.8A CN114417331A (zh) | 2021-12-30 | 2021-12-30 | 病毒特征可信度的确定方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111680640.8A CN114417331A (zh) | 2021-12-30 | 2021-12-30 | 病毒特征可信度的确定方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114417331A true CN114417331A (zh) | 2022-04-29 |
Family
ID=81270781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111680640.8A Pending CN114417331A (zh) | 2021-12-30 | 2021-12-30 | 病毒特征可信度的确定方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114417331A (zh) |
-
2021
- 2021-12-30 CN CN202111680640.8A patent/CN114417331A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111030986A (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
CN105809471B (zh) | 一种获取用户属性的方法、装置及电子设备 | |
CN111090615A (zh) | 混合资产的分析处理方法、装置、电子设备及存储介质 | |
CN114329448A (zh) | 一种系统安全检测方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN114338102B (zh) | 安全检测方法、装置、电子设备及存储介质 | |
CN110737894A (zh) | 复合文档安全检测方法、装置、电子设备及存储介质 | |
CN113987489A (zh) | 一种网络未知威胁的检测方法、装置、电子设备及存储介质 | |
CN108804917B (zh) | 一种文件检测方法、装置、电子设备及存储介质 | |
CN111027065A (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
CN114513341B (zh) | 恶意流量检测方法、装置、终端及计算机可读存储介质 | |
CN114417331A (zh) | 病毒特征可信度的确定方法、装置、电子设备及存储介质 | |
CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
CN110801630B (zh) | 作弊程序确定方法、装置、设备和存储介质 | |
CN108881151B (zh) | 一种无关节点确定方法、装置及电子设备 | |
CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
CN113220949A (zh) | 一种隐私数据识别系统的构建方法及装置 | |
CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
CN110868382A (zh) | 一种基于决策树的网络威胁评估方法、装置及存储介质 | |
CN115038089B (zh) | 一种基于信息抽取的多端数据监听采集方法 | |
CN115964708A (zh) | 防误报的自动化特征提取方法、装置、电子设备及存储介质 | |
CN115987647A (zh) | 一种web漏洞检测方法、装置及电子设备 | |
CN114329464A (zh) | 一种反病毒引擎检测方法、装置、电子设备及存储介质 | |
CN114168953A (zh) | 一种恶意代码检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |