The invention relates to a virus detection method and a device, the virus detection method includes: acquiring a behavior log of a file to be detected, which represents the behavior of the file to be detected when it is triggered to execute in a running environment, obtaining a behavior vector from the behavior log of the file to be detected, and according to the The local eigenvector of the file to be detected is extracted from the behavior vector of the file to be detected; the global eigenvector for describing the overall behavior of the file to be detected is constructed according to the local eigenvector of the file to be detected; and the virus is predicted according to the global eigenvector of the file to be detected, and the virus to be detected is obtained. Detect virus labels for files. The virus detection method and device provided by the invention solves the problem that the virus detection accuracy is not high because the characteristic code depends on manual extraction in the prior art.
【技术实现步骤摘要】
病毒检测方法及装置
本专利技术涉及计算机
,尤其涉及一种病毒检测方法及装置。
技术介绍
随着计算机技术的发展,具有传染性、破坏性且携带恶意行为的病毒也日益增加,并在用户不知情时便对终端,例如智能手机造成危害。传统的病毒检测方法是:在病毒库中对待检测文件进行特征码匹配搜索,如果待检测文件命中病毒库中的特征码,则认为待检测文件为病毒。上述病毒检测过程中,主要基于特征码的静态检测,所谓的静态检测指的是由分析人员通过查看样本中二进制片段的方式或者反编译样本的方式进行源代码分析,以提取出病毒对应的特征码。由上可知,特征码的提取依赖于人工实现,仍存在效率低下的缺陷,进而导致病毒检测准确率不高。
技术实现思路
为了解决上述技术问题,本专利技术的一个目的在于提供一种病毒检测方法及装置。其中,本专利技术所采用的技术方案为:一种病毒检测方法,包括:获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;从所述待检测文件的行为日志中获取行为向量;根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。一种病毒检测装置,包括:行为日志获取模块,用于获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;行为向量获取模块,用于从所述待检测文件的行为日志中获取行为向量;局部向量获取模块,用于根据所述待检测文件的行为向量提取得到所述待检测文件的局部 ...
【技术保护点】
1.一种病毒检测方法,其特征在于,包括:获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;从所述待检测文件的行为日志中获取行为向量;根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。
【技术特征摘要】
1.一种病毒检测方法,其特征在于,包括:获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;从所述待检测文件的行为日志中获取行为向量;根据所述待检测文件的行为向量提取得到所述待检测文件的局部特征向量;根据所述待检测文件的局部特征向量构建用于描述所述待检测文件整体行为的全局特征向量;根据所述待检测文件的全局特征向量进行病毒预测,得到所述待检测文件的病毒标签。2.如权利要求1所述的方法,其特征在于,所述运行环境由计算机模拟器提供,所述获取待检测文件的行为日志之前,所述方法还包括:在启动的计算机模拟器中输入所述待检测文件,通过所述待检测文件的输入进行所述待检测文件的模拟运行;在所述待检测文件被模拟运行过程中,根据所述待检测文件被模拟触发执行的行为生成所述待检测文件的行为日志,并存储至所述系统日志;所述获取待检测文件的行为日志,包括:从所述系统日志中提取得到所述待检测文件的行为日志。3.如权利要求1所述的方法,其特征在于,所述从所述待检测文件的行为日志中获取行为向量,包括:对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量。4.如权利要求3所述的方法,其特征在于,所述对所述行为日志中用于表示所述行为的行为标识进行转化,得到所述待检测文件的行为向量,包括:根据所述行为日志中的行为触发时间进行行为标识排序;将排序后的行为标识顺序拼接为所述待检测文件的行为向量。5.如权利要求1所述的方法,其特征在于,所述从所述待检测文件的行为日志中获取行为向量之后,所述方法还包括:对所述待检测文件的行为向量进行向量化处理,使得所述待检测文件的局部特征提取是根据向量化处理后的行为向量进行的。6.如权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:获取训练样本的行为向量和病毒标签,所述病毒标签用于指示所述训练样本是否为病毒;将所述训练样本的行为向量和病毒标签输入第一级神经网络,得到所述训练样本的局部特征向量;根据所述训练样本的局部特征向量引导第二级神经网络进行训练,学习得到所述训练样本的全局特征向量;将所述训练样本的全局特征向量输入分类器,得到病毒检测模型,以调用所述病毒检测模型对所述待检测文件进行病毒检测。7.如权利要求6所述的方法,其特征在于,所述获取训练样本的行为向量和病毒标签,包括:获取配置有样本标签的所述训练样本;在计算机模拟器中运行所述训练样本,得到所述训练样本的行为日志;将所述训练样本的行为日志中行为标识转化为所述训练样本的行为向量。8.一种病毒检测装置,其特征在于,包括:行为日志获取模块,用于获取待检测文件的行为日志,所述行为日志表征所述待检测文件在运行环境中运行时被触发执行的行为;行为向量获取模块...
【专利技术属性】
技术研发人员:万文强,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。