文件的病毒检测方法、装置及存储介质制造方法及图纸

本发明专利技术公开了一种文件的病毒检测方法、装置及存储介质，属于互联网技术领域。所述方法包括：获取待检测文件；从待检测文件中提取至少两个操作代码；将提取的操作代码转换为图形文件；提取图形文件的图片特征，将提取的图片特征组成目标特征矩阵；将目标特征矩阵与病毒文件的特征矩阵进行匹配，以对待检测文件进行病毒检测。本发明专利技术通过获取待检测文件的操作代码，将待检测文件的操作代码转换为图形文件，并将从图形文件中提取的图片特征组成目标特征矩阵，进而通过将目标特征矩阵与病毒文件的特征矩阵进行匹配，对待检测文件进行病毒检测。由于无需包括特征片段，通过特征矩阵进行匹配，即可检测出变形后的病毒文件，因而检测结果更全面。

Virus detection method, device and storage medium for file

The invention discloses a virus detection method, a device and a storage medium for files, belonging to the technical field of Internet. The method comprises acquiring a file to be detected, extracting at least two operation codes from the file to be detected, converting the extracted operation codes into graphic files, extracting the picture features of the graphic files, and forming a target feature matrix from the extracted picture features, and matching the target feature matrix with the feature matrix of the virus file. The virus is detected by treating the detection files. By acquiring the operation code of the file to be detected, the operation code of the file to be detected is converted into a graphic file, and the picture features extracted from the graphic file are formed into a target feature matrix, which is then matched with the feature matrix of the virus file to detect the virus. . Because the deformed virus files can be detected by matching feature matrices without including feature fragments, the detection results are more comprehensive.

【技术实现步骤摘要】
文件的病毒检测方法、装置及存储介质
本专利技术涉及互联网
，特别涉及一种文件的病毒检测方法、装置及存储介质。
技术介绍
随着互联网技术的发展，基于互联网的各种网络犯罪时有发生，网络犯罪不仅危害用户的财产安全，甚至影响社会稳定及国家安全。病毒文件作为网络犯罪的一种重要方式，如何从互联网上的海量文件中检测出带有病毒的文件，已成为了维护网络秩序的重要方式。相关技术在对文件进行病毒检测时，主要采用如下方法：采用人工的方式提取病毒文件的特征片段；对于任一待检测文件，如果该待检测文件中包含病毒文件的特征片段，则确定该待检测文件为病毒文件。由于相关技术仅在待检测文件包括病毒文件的特征片段时，才判定待检测文件为病毒文件，因而检测结果并不全面。
技术实现思路
为了解决现有技术的问题，本专利技术实施例提供了一种文件的病毒检测方法、装置及存储介质。所述技术方案如下：一方面，提供了一种文件的病毒检测方法，所述方法包括：获取待检测文件；从所述待检测文件中提取至少两个操作代码，不同操作代码能够执行不同的操作；将提取的操作代码转换为图形文件，所述图形文件的像素点由对应操作代码转换得到；提取所述图形文件的图片特征，将提取的图片特征组成目标特征矩阵；将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，以对所述待检测文件进行病毒检测。另一方面，提供了一种文件检测装置，所述装置包括：获取模块，用于获取待检测文件；提取模块，用于从所述待检测文件中提取至少两个操作代码，不同操作代码能够执行不同的操作；转换模块，用于将提取的操作代码转换为图形文件，所述图形文件的像素点由对应的操作代码转换得到；所述提取模块，用于提取所述图形文件的图片特征，将提取的图片特征组成目标特征矩阵；检测模块，用于将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，以对所述待检测文件进行病毒检测。另一方面，提供了一种服务器，所述服务器包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由所述处理器加载并执行以实现文件的病毒检测方法。另一方面，提供了一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或所述指令集由处理器加载并执行以实现文件的病毒检测方法。本专利技术实施例提供的技术方案带来的有益效果是：通过获取待检测文件的操作代码，将待检测文件的操作代码转换为图形文件，并将从图形文件中提取的图片特征组成目标特征矩阵，进而通过将目标特征矩阵与病毒文件的特征矩阵进行匹配，对待检测文件进行病毒检测。由于无需包括特征片段，通过特征矩阵进行匹配，即可检测出变形后的病毒文件，因而检测结果更全面。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的一种文件的病毒检测方法所涉及的实施环境；图2是本专利技术实施例提供的一种文件的病毒检测方法的流程图；图3是本专利技术实施例提供的待检测文件的结构示意图；图4是本专利技术实施例提供的一种待检测文件的处理过程示意图；图5是本专利技术实施例提供的病毒文件库的生成过程示意图；图6是本专利技术实施例提供的文件相似性计算过程的示意图；图7是本专利技术实施例提供的文件的病毒检测过程的示意图；图8是本专利技术实施例提供的文件的病毒检测过程的示意图；图9是本专利技术实施例提供的文件的病毒检测装置的示意图；图10是根据一示例性实施例示出的一种用于文件的病毒检测的服务器。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方式作进一步地详细描述。在执行本专利技术实施例之前，首先对本专利技术实施例涉及的名词进行解释。Android病毒文件：恶意Android应用，通常在用户不知情的情况下给用户的利益带来损失。Opcode指令：Android程序的执行部分，代表Android操作指令。图片指纹：图片中的关键节点，目前应用较为广泛的是SIFT(ScaleInvariantFeatureTransfrm，尺度不变特征变换)特征，该特征采用一种标准算法提取图片中若干具有代表性的像素点特征。SIFT特征：对图片的旋转、尺度缩放、亮度变化等保持尺度不变形，是一种非常稳定的具部特征。SIFT特征由64个数字组成的向量表示，对于一张图片而言，包括至少一个SIFT特征。向量：由至少一个数字组成的向量表示，在本专利技术实施例中用于表示SIFT特征。向量的余弦相似度：用于表示两个向量的相似程度。对于两个向量，余弦相似度越大，两个向量差别越小；余弦相似度越小，两个向量差别越小。余弦相似度的计算公式为：向量1*向量2/向量1的长度*向量2的长度。为了维护网络安全，相关技术通过人工方式提取出已知病毒文件的特征片段，并基于病毒文件的特征片段，对未知的待检测文件进行检测。当待检测文件中包括病毒文件的特征片段时，可判定该待检测文件为病毒文件，否则无法对该待检测文件的属性进行判定。采用该种方式存在以下两个缺陷：第一，需要人工提取病毒文件的特征片段，检测方式不够智能，且资源消耗较大；第二，当且仅当待检测文件包括病毒文件的特征片段时，判定待检测文件为病毒文件，一旦病毒文件发生变异，部分代码发生改变，相关技术是无法识别出该变异后的病毒文件的，检测结果不够全面。为了解决相关技术中存在的问题，本专利技术实施例从待检测文件中提取操作代码，并将提取的操作代码转换为图形文件，然后从图形文件中提取图片特征，将提取的图片特征组成目标特征矩阵，进而基于所提取的目标特征矩阵与病毒文件库包括的每个病毒文件进行匹配，从而实现对待检测文件的病毒检测。图1示出了本专利技术实施例提供的用于文件的病毒检测的服务器的结构示意图，该服务器包括：图片指纹生成子模块、病毒文件数据库准备子模块、检测流程控制子模块及相似度计算子模块。其中，图片指纹生成子模块为一个独立的模块，可被其他子模块调用，用于提取文件的操作代码，将所提取的操作代码转换为图形文件，并从图形文件中提取文件特征。该图形文件可以为图片、二维码、条形码等等。病毒库准备子模块用于获取大量的病毒文件，并调用图片指纹生成子模块获取各个病毒文件的特征矩阵。检测控制子模块调用图片指纹生成子模块获取待检测文件的目标特征矩阵，依次遍历病毒数据库所存储的每个特征矩阵，调用相似度计算子模块进行相似度计算，当相似指数达到指数阈值时，确定待检测文件为病毒文件。本专利技术实施例提供了一种文件的病毒检测方法，参见图2，本专利技术实施例提供的方法流程包括：201、服务器获取待检测文件。其中，待检测文件为一种类型未知的可执行文件，该可执行文件包括待检测文件所能执行的全部操作的代码，也即是，该待检测文件实际上为一个代码文件。依据所运行的操作系统，待检测文件包括Android文件、IOS文件及Windows文件等。以待检测文件为Android文件为例，待检测文件为一种后缀名为.apk的Android平台下可执行文件，该待检测文件的形式为一个zip压缩包，zip压缩包内的文件结构如本文档来自技高网...

【技术保护点】
1.一种文件的病毒检测方法，其特征在于，所述方法包括：获取待检测文件；从所述待检测文件中提取至少两个操作代码，不同操作代码能够执行不同的操作；将提取的操作代码转换为图形文件，所述图形文件的像素点由对应操作代码转换得到；提取所述图形文件的图片特征，将提取的图片特征组成目标特征矩阵；将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，以对所述待检测文件进行病毒检测。

【技术特征摘要】
1.一种文件的病毒检测方法，其特征在于，所述方法包括：获取待检测文件；从所述待检测文件中提取至少两个操作代码，不同操作代码能够执行不同的操作；将提取的操作代码转换为图形文件，所述图形文件的像素点由对应操作代码转换得到；提取所述图形文件的图片特征，将提取的图片特征组成目标特征矩阵；将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，以对所述待检测文件进行病毒检测。2.根据权利要求1所述的方法，其特征在于，所述从所述待检测文件中提取至少两个操作代码，包括：对所述待检测文件进行解析，得到至少一个代码片段，每个代码片段包括至少一个操作代码；根据预设的操作代码，从所述至少一个代码片段中，提取与所述预设的操作代码相同的至少两个操作代码。3.根据权利要求1所述的方法，其特征在于，所述将提取的操作代码转换为图形文件，包括：从操作代码数据库中，获取每个操作代码对应的代码编号，所述操作代码数据库中存储有操作代码与代码编号之间的对应关系；根据每个操作代码对应的代码编号，将每个操作代码转换为一个像素点；将提取的操作代码转换的像素点组成所述图形文件。4.根据权利要求3所述的方法，其特征在于，所述根据每个操作代码对应的代码编号，将每个操作代码转换为一个像素点，包括：将每个操作代码对应的代码编号转化为十六进制字节；将每个十六进制字节转换为十进制字节；通过将每个转换后的十进制字节作为像素点的像素值，将每个操作代码转换为一个像素点。5.根据权利要求1至4中任一项所述的方法，其特征在于，所述将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，以对所述待检测文件进行病毒检测，包括：将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，得到所述待检测文件与病毒文件的相似数值；如果所述待检测文件与病毒文件的相似数值大于指定阈值，则确定所述待检测文件为病毒文件。6.根据权利要求5所述的方法，其特征在于，所述目标特征矩阵包括至少一个目标特征向量，特征矩阵包括至少一个特征向量，每个目标特征向量和每个特征向量具有相同维度；所述将所述目标特征矩阵与病毒文件的特征矩阵进行匹配，得到所述待检测文件与病毒文件的相似数值，包括：计算每个目标特征向量与所述病毒文件包括的每个特征向量之间相似度；如果任一目标特征向量与任一特征向量之间的相似度大于相似度阈值，则确定所述目标特征向量与所述特征向量相似；将所述病毒文件中与所述至少一个目标特征向量相似的特征向量的数量，作为所述待检测文件与所述病毒文件的相似数值。7.根据权利要求5所述的方法，其特征在于，所述每个病毒文件对应一个病毒类型标签；所述确定所述待检测文件为病毒文件之后，还包括：根据每个病毒文件的病毒类型标签和所述待检测文件与每个病毒文件的相似数值，确定所述待检测文件的类型。8....

【专利技术属性】
技术研发人员：雷经纬，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44