病毒检测方法及装置制造方法及图纸

本发明专利技术涉及了一种病毒检测方法及装置，所述病毒检测方法包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。采用本发明专利技术所提供的病毒检测方法及装置解决了现有技术中因特征码依赖于人工提取而造成病毒检测准确率不高的问题。

Virus detection method and device

The invention relates to a virus detection method and a device, the virus detection method includes: acquiring a behavior log of a file to be detected, which represents the behavior of the file to be detected when it is triggered to execute in a running environment, obtaining a behavior vector from the behavior log of the file to be detected, and according to the The local eigenvector of the file to be detected is extracted from the behavior vector of the file to be detected; the global eigenvector for describing the overall behavior of the file to be detected is constructed according to the local eigenvector of the file to be detected; and the virus is predicted according to the global eigenvector of the file to be detected, and the virus to be detected is obtained. Detect virus labels for files. The virus detection method and device provided by the invention solves the problem that the virus detection accuracy is not high because the characteristic code depends on manual extraction in the prior art.

【技术实现步骤摘要】
病毒检测方法及装置
本专利技术涉及计算机
，尤其涉及一种病毒检测方法及装置。
技术介绍
随着计算机技术的发展，具有传染性、破坏性且携带恶意行为的病毒也日益增加，并在用户不知情时便对终端，例如智能手机造成危害。传统的病毒检测方法是：在病毒库中对待检测文件进行特征码匹配搜索，如果待检测文件命中病毒库中的特征码，则认为待检测文件为病毒。上述病毒检测过程中，主要基于特征码的静态检测，所谓的静态检测指的是由分析人员通过查看样本中二进制片段的方式或者反编译样本的方式进行源代码分析，以提取出病毒对应的特征码。由上可知，特征码的提取依赖于人工实现，仍存在效率低下的缺陷，进而导致病毒检测准确率不高。
技术实现思路
为了解决上述技术问题，本专利技术的一个目的在于提供一种病毒检测方法及装置。其中，本专利技术所采用的技术方案为：一种病毒检测方法，包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。一种病毒检测装置，包括：行为日志获取模块，用于获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；行为向量获取模块，用于从所述待检测文件的行为日志中获取行为向量；局部向量获取模块，用于根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；全局向量获取模块，用于根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；病毒预测模块，用于根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。一种病毒检测装置，包括处理器及存储器，所述存储器上存储有计算机可读指令，所述计算机可读指令被所述处理器执行时实现如上所述的病毒检测方法。一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的病毒检测方法。在上述技术方案中，从所获取到待检测文件的行为日志中获取行为向量，以根据待检测文件的行为向量提取得到待检测文件的局部特征向量，并根据待检测文件的局部特征向量构建用于描述待检测文件整体行为的全局特征向量，进而根据待检测文件的全局特征向量进行病毒预测，得到待检测文件的病毒标签，其中，待检测文件的行为日志表征待检测文件在运行环境中运行时被触发执行的行为。也就是说，病毒检测所采用的行为向量基于待检测文件在运行环境中运行时被触发执行的行为，避免在病毒检测过程中依赖于人工提取特征码，从而解决效率低下的问题，保证较高的病毒检测准确率。此外，通过病毒检测模型，既能学习到用于描述相邻行为的局部特征，又能学习到用于描述整体行为的全局特征，有效地保障了病毒检测的泛化能力，进一步有利于提高病毒检测准确率。应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本专利技术。附图说明此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本专利技术的实施例，并于说明书一起用于解释本专利技术的原理。图1为一种病毒检测方法所涉及的实施环境在一实施例的示意图。图2为一种病毒检测方法所涉及的实施环境在另一实施例的示意图。图3是根据一示例性实施例示出的一种病毒检测装置的硬件结构框图。图4是根据一示例性实施例示出的一种病毒检测方法的流程图。图5是根据一示例性实施例示出的另一种病毒检测方法的流程图。图6是图4对应实施例中步骤330在一个实施例的流程图。图7是根据一示例性实施例示出的另一种病毒检测方法的流程图。图8是图7对应实施例中步骤510在一个实施例的流程图。图9是一应用场景中一种病毒检测方法的具体实现示意图。图10是一应用场景中模型训练分支的具体实现示意图。图11是一应用场景中病毒检测分支的具体实现示意图。图12是一应用场景中病毒检测模型架构的具体实现示意图。图13是根据一示例性实施例示出的一种病毒检测装置的框图。图14是根据一示例性实施例示出的另一种病毒检测装置的框图。图15是根据一示例性实施例示出的第一标识转化单元931在一个实施例的框图。图16是根据一示例性实施例示出的另一种病毒检测装置的框图。图17是图16对应实施例中第二行为向量获取模块1110在一个实施例的框图。通过上述附图，已示出本专利技术明确的实施例，后文中将有更详细的描述，这些附图和文字描述并不是为了通过任何方式限制本专利技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本专利技术的概念。具体实施方式这里将详细地对示例性实施例执行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本专利技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本专利技术的一些方面相一致的装置和方法的例子。如前所述，病毒检测过程主要基于特征码的静态检测，即特征码的提取不需要病毒的动态执行，而依赖于人工实现。随着病毒的逐步增多，特征码提取时间过长将导致效率难以提升，而且人为因素直接影响特征码的提取质量，既对分析人员的要求较高，造成人力成本较高，还容易引起病毒检测出错，造成病毒检测准确率不高，例如，疑似病毒因特征码提取不够准确而导致误检、漏检等。此外，对于加固、源代码混淆加密的病毒，分析人员提取特征码愈发困难，而针对母体并不包含恶意代码的病毒，通过反编译病毒的方式也无法由母体提取得到特征码。为了使病毒检测过程不依赖于静态提取的特征码，现有技术中提出了一种基于动态行为规则的病毒检测方法，该方法中，分析人员根据病毒行为，例如发送短信、加载冗余信息等等，人工制定行为规则，且随着病毒行为的变化将动态调整行为规则，以此提高病毒检测准确率。然而，由于行为规则仍然需要分析人员根据病毒行为进行人工制定，仍存在效率低下的缺陷，而且人工经验受限于低维度的病毒行为特征，一旦病毒行为特征高维度，人工发现病毒行为并依此进行行为规则的制定相对困难，这将导致病毒检测准确率提高有限。为此，本专利技术特提出了一种不依赖于人工实现的病毒检测方法，能够有效地提高病毒检测准确率，相应地，该种病毒检测方法所对应的病毒检测装置部署于具有冯诺依曼体系的电子设备中，例如，电子设备可以是智能手机、服务器等，在此不进行限定。图1为一种病毒检测方法所涉及的实施环境在一实施例的示意图。该实施环境包括终端110以及用于部署病毒检测装置200的服务端130。其中，终端110可以是智能手机、平板电脑、笔记本电脑、台式电脑或者其他提供联网功能的电子设备，在此不进行限定。终端110与服务端130之间预先建立无线网络连接或者有线网络连接，通过所建立的连接实现终端110与服务端130之间的数据传输。例如，数据为疑似病毒。具体地，在用户允许的情况下，终端110将不定期地收集终端110中的疑似病毒，并上报至服务端130作进一步的病毒检测。通过终端110与服务端130交互，服务端130将不定期地接收到疑似病毒，并通过病毒检测装置200对接收到的疑似病毒(视为待检测文件和/或训练样本文档来自技高网...

【技术保护点】
1.一种病毒检测方法，其特征在于，包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。

【技术特征摘要】
1.一种病毒检测方法，其特征在于，包括：获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；从所述待检测文件的行为日志中获取行为向量；根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量；根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量；根据所述待检测文件的全局特征向量进行病毒预测，得到所述待检测文件的病毒标签。2.如权利要求1所述的方法，其特征在于，所述运行环境由计算机模拟器提供，所述获取待检测文件的行为日志之前，所述方法还包括：在启动的计算机模拟器中输入所述待检测文件，通过所述待检测文件的输入进行所述待检测文件的模拟运行；在所述待检测文件被模拟运行过程中，根据所述待检测文件被模拟触发执行的行为生成所述待检测文件的行为日志，并存储至所述系统日志；所述获取待检测文件的行为日志，包括：从所述系统日志中提取得到所述待检测文件的行为日志。3.如权利要求1所述的方法，其特征在于，所述从所述待检测文件的行为日志中获取行为向量，包括：对所述行为日志中用于表示所述行为的行为标识进行转化，得到所述待检测文件的行为向量。4.如权利要求3所述的方法，其特征在于，所述对所述行为日志中用于表示所述行为的行为标识进行转化，得到所述待检测文件的行为向量，包括：根据所述行为日志中的行为触发时间进行行为标识排序；将排序后的行为标识顺序拼接为所述待检测文件的行为向量。5.如权利要求1所述的方法，其特征在于，所述从所述待检测文件的行为日志中获取行为向量之后，所述方法还包括：对所述待检测文件的行为向量进行向量化处理，使得所述待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。6.如权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：获取训练样本的行为向量和病毒标签，所述病毒标签用于指示所述训练样本是否为病毒；将所述训练样本的行为向量和病毒标签输入第一级神经网络，得到所述训练样本的局部特征向量；根据所述训练样本的局部特征向量引导第二级神经网络进行训练，学习得到所述训练样本的全局特征向量；将所述训练样本的全局特征向量输入分类器，得到病毒检测模型，以调用所述病毒检测模型对所述待检测文件进行病毒检测。7.如权利要求6所述的方法，其特征在于，所述获取训练样本的行为向量和病毒标签，包括：获取配置有样本标签的所述训练样本；在计算机模拟器中运行所述训练样本，得到所述训练样本的行为日志；将所述训练样本的行为日志中行为标识转化为所述训练样本的行为向量。8.一种病毒检测装置，其特征在于，包括：行为日志获取模块，用于获取待检测文件的行为日志，所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为；行为向量获取模块...

【专利技术属性】
技术研发人员：万文强，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44