The invention discloses a method and a device for acquiring, equipment, system server, a virus database, the method comprises: obtaining a sample set, the sample set in the sample for malicious installation package to extract a set of features from the sample; in each sample, get the sample feature set, the sample characteristics including each sample feature extraction in the collection; for the sample feature set for feature selection by at least one set of target characteristics, among them, the target characteristics of the sample in the feature set to meet the characteristics of the first condition; the at least one set of target features to update the virus database.
【技术实现步骤摘要】
病毒库的获取方法及装置、设备、服务器、系统
本专利技术涉及互联网安全领域,尤其涉及一种病毒库的获取方法及装置、设备、服务器、系统。
技术介绍
随着移动终端的普及和发展,适用于终端的各种安装包应运而生,某些带有病毒的恶意安装包会在用户不知晓的情况下潜入到用户的终端中,对用户的信息安全和财产安全带来隐患。目前,可以通过在终端上设置杀毒引擎来检测终端接收的安装包是否带有病毒,杀毒引擎主要靠特征码技术来查杀恶意安装包,如图1所示,其流程主要包括:步骤S101、获取恶意的安装包作为样本;步骤、S102、人工处理分析提取,即分析人员根据经验对样本进行分析,从样本中提取分析人员认为有问题的代码;步骤S103、获取特征码,即分析人员将自己提取认为有问题的代码作为特征码输入杀毒引擎;步骤S104、多条特征码集合产生病毒库,即将人工提取的各条特征码集合在一起形成病毒库;步骤S105、杀毒引擎依靠特征码生成的病毒库,查杀样本,即杀毒引擎获取病毒库后,终端接收到的待检测安装包中是否包含所述病毒库中的特征码,若包含,则确定所述待检测安装包为恶意安装包,并在终端上显示该待检测安装包为恶意安装包的提示信息,提醒用户注意,保证用户的信息安全和财产安全。上述构成病毒库的特征码是依靠大量的人工分析来获取的,每天获取的特征码数量有限,时间成本高,效率低,且依赖分析人员的经验来提取特征码,出错误报的概率较高,而且,随着新的恶意安装包对现有特征码技术的对抗,采用特征码技术对部分安装包的检测率正在逐渐降低。
技术实现思路
有鉴于此,本专利技术实施例为解决现有技术中存在的至少一个问题而提供了一种病毒库的获 ...
【技术保护点】
一种病毒库的获取方法,其特征在于,所述方法包括:获取样本集合,所述样本集合中的样本为恶意的安装包;从每个样本中提取一组样本特征,得到样本特征集合,所述样本特征集合中包括提取的各组样本特征;对所述样本特征集合进行特征选择,得到至少一组目标特征,其中,所述目标特征为所述样本特征集合中满足第一条件的特征;将所述至少一组目标特征更新到病毒库中。
【技术特征摘要】
1.一种病毒库的获取方法,其特征在于,所述方法包括:获取样本集合,所述样本集合中的样本为恶意的安装包;从每个样本中提取一组样本特征,得到样本特征集合,所述样本特征集合中包括提取的各组样本特征;对所述样本特征集合进行特征选择,得到至少一组目标特征,其中,所述目标特征为所述样本特征集合中满足第一条件的特征;将所述至少一组目标特征更新到病毒库中。2.根据权利要求1所述的方法,其特征在于,所述从每个样本中提取一组样本特征,包括:第一服务器提取一个样本中的第一文件和/或第二文件,其中,所述第一文件为所述样本的主程序文件,所述第二文件为所述样本的全局配置文件;所述第一服务器从所述第一文件中提取一组第一样本特征,从所述第二文件中提取一组第二样本特征,其中,所述一组样本特征包括一组第一样本特征和/或一组第二样本特征。3.根据权利要求2所述的方法,其特征在于,所述第一文件为编译器编译主程序生成的主程序文件;所述第一服务器从所述第一文件中提取一组第一样本特征,包括:所述第一服务器从所述第一文件中提取所述编译器编译所述主程序时加入的至少一个数据作为一组第一样本特征。4.根据权利要求2所述的方法,其特征在于,所述第一服务器从所述第二文件中提取一组第二样本特征,包括:所述第一服务器提取所述第二文件中的至少一个第一字符串;所述第一服务器计算每个第一字符串的循环冗余校验CRC码,其中,所述一组第二样本特征为至少一个CRC码。5.根据权利要求2所述的方法,其特征在于,所述一组样本特征包括一组第一样本特征或一组第二样本特征,则所述对所述样本特征集合进行特征选择,得到至少一组目标特征,包括:所述第一服务器向第二服务器发送所述样本特征集合中的至少一组样本特征;所述第二服务器接收到所述至少一组样本特征后,根据接收的所述至少一组样本特征,更新决策树上的节点和节点对应的属性值,所述决策树上的节点用于表示样本特征中的特征;在所述第二服务器更新决策树的第一更新参数满足第二条件时,所述第二服务器停止更新决策树,得到最终的决策树;所述第二服务器根据所述最终的决策树,确定至少一组目标特征。6.根据权利要求2所述的方法,其特征在于,所述一组样本特征包括一组第一样本特征和一组第二样本特征,则所述对所述样本特征集合进行特征选择,得到至少一组目标特征,包括:所述第一服务器向第二服务器发送所述样本特征集合中的至少一组样本特征;所述第二服务器接收到所述至少一组样本特征后,根据所述至少一组样本特征中的第一样本特征,更新第一决策树上的第一节点和第一节点对应的属性值,根据所述至少一组样本特征中的第二样本特征,更新第二决策树上的第二节点和第二节点对应的属性值,其中,所述第一决策树上第一节点用于表示第一样本特征中的特征,所述第二决策树上的第二节点用于表示第二样本特征中的特征;在所述第二服务器更新第一决策树和/或第二决策树的第二更新参数满足第三条件时,所述第二服务器停止更新所述第一决策树,得到最终的第一决策树,停止更新所述第二决策树,得到最终的第二决策树;所述第二服务器根据所述最终的第一决策树,确定至少一组第一特征,根据所述最终的第二决策树,确定至少一组第二特征,其中,所述一组第一特征为一组目标特征,所述一组第二特征为一组目标特征。7.根据权利要求5或6所述的方法,其特征在于,所述第一服务器每次向第二服务器发送至少一组样本特征,包括:所述第一服务器向第三服务器发送至少一组样本特征;所述第三服务器接收并存储所述至少一组样本特征,所述第三服务器为ES服务器;所述第二服务器向所述第三服务器发送查询请求,所述查询请求用于请求所述第三服务器返回未发送给所述第二服务器的至少一组样本特征;所述第三服务器接收到所述查询请求后,获取所述查询请求对应的样本特征,并将所述对应的样本特征发送给第二服务器。8.根据权利要求7所述的方法,其特征在于,所述第二服务器得到目标特征后,所述方法还包括:所述第二服务器向所述第三服务器发送删除请求,所述删除请求用于请求所述第三服务器删除所述第三服务器存储的样本特征中的部分样本特征,所述部分样本特征的每个样本特征中都至少包含一组目标特征;所述第三服务器接收到所述删除请求后,删除所述部分样本特征。9.根据权利要求5或6所述的方法,其特征在于,所述将所述至少一组目标特征更新到病毒库中,包括:所述第二服务器将所述至少一组目标特征发送给杀毒平台;所述杀毒平台接收所述至少一组目标特征,并将所述至少一组目标特征存储到病毒库。10.根据权利要求9所述的方法,其特征在于,所述方法还包括:所述杀毒平台获取待检测安装包的特征;所述杀毒平台判断所述待检测安装包的特征是否包含所述病毒库中的任一组目标特征;在所述待检测安装包的特征中包含有所述病毒库中的任一组目标特征时,确定所述待检测安装包为恶意安装包。11.一种病毒库的获取装置,其特征在于,所述装置包括获取单元,提取单元,选择单元,更新单元,其中:所述获取单元,用于获取样本集合,所述样本集合中的样本为恶意的安装包;所述提取单元,用于从每个样本中提取一组样本特征,得到样本特征集合,所述样本特征集合中包括提取的各组样本特征;所述选择单元,用于对所述样本特征集合进行特征选择,得到至少一组目标特征,其中,所述目标特征为所述样本特征集合中满足第一条件的特征;所述更新单元,用于将所述至少一组目标特征更新到病毒库中。12.根据权利要求11所述的装置,其特征在于,所述提取单元,用于提取一个样本中的第一文件和/或第二文件,从所述第一文件中提取一组第一样本特征,从所述第二文件中提取一组第二样本特征,其中,所述第一文件为所述样本的主程序文件,所述第二文件为所述样本的全局配置文件,所述一组样本特征包括一组第一样本特征和/或一组第二样本特征。13.根据权利要求12所述的装置,其特征在于,所述第一文件为编译器编译主程序生成的主程序文件;所述提取单元,用于从所述第一文件中提取所述编译器编译所述主程序时加入的至少一个数据作为一组第一样本特征。14.根据权利要求12所述的装置,其特征在于,所述提取单元,用于提取所述第二文件中的至少一个第一字符串,计算每个第一字符串的循环冗余校验CRC码,其中,所述一组第二样本特征为至少一个CRC码。15.根据权利要求12所述的装置,其特征在于,所述一组样本特征包括一组第一样本特征或一组第二样本特征,则,...
【专利技术属性】
技术研发人员:姜澎,郭晓龙,申金娟,吴彬,苏蒙,于涛,毕磊,王俊豪,王炳堪,辛调琴,任光辉,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。