病毒库的获取方法及装置、设备、服务器、系统制造方法及图纸

本发明专利技术公开了一种病毒库的获取方法及装置、设备、服务器、系统，所述方法包括：获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。

Method, device, server and system for acquiring virus library

The invention discloses a method and a device for acquiring, equipment, system server, a virus database, the method comprises: obtaining a sample set, the sample set in the sample for malicious installation package to extract a set of features from the sample; in each sample, get the sample feature set, the sample characteristics including each sample feature extraction in the collection; for the sample feature set for feature selection by at least one set of target characteristics, among them, the target characteristics of the sample in the feature set to meet the characteristics of the first condition; the at least one set of target features to update the virus database.

【技术实现步骤摘要】
病毒库的获取方法及装置、设备、服务器、系统
本专利技术涉及互联网安全领域，尤其涉及一种病毒库的获取方法及装置、设备、服务器、系统。
技术介绍
随着移动终端的普及和发展，适用于终端的各种安装包应运而生，某些带有病毒的恶意安装包会在用户不知晓的情况下潜入到用户的终端中，对用户的信息安全和财产安全带来隐患。目前，可以通过在终端上设置杀毒引擎来检测终端接收的安装包是否带有病毒，杀毒引擎主要靠特征码技术来查杀恶意安装包，如图1所示，其流程主要包括：步骤S101、获取恶意的安装包作为样本；步骤、S102、人工处理分析提取，即分析人员根据经验对样本进行分析，从样本中提取分析人员认为有问题的代码；步骤S103、获取特征码，即分析人员将自己提取认为有问题的代码作为特征码输入杀毒引擎；步骤S104、多条特征码集合产生病毒库，即将人工提取的各条特征码集合在一起形成病毒库；步骤S105、杀毒引擎依靠特征码生成的病毒库，查杀样本，即杀毒引擎获取病毒库后，终端接收到的待检测安装包中是否包含所述病毒库中的特征码，若包含，则确定所述待检测安装包为恶意安装包，并在终端上显示该待检测安装包为恶意安装包的提示信息，提醒用户注意，保证用户的信息安全和财产安全。上述构成病毒库的特征码是依靠大量的人工分析来获取的，每天获取的特征码数量有限，时间成本高，效率低，且依赖分析人员的经验来提取特征码，出错误报的概率较高，而且，随着新的恶意安装包对现有特征码技术的对抗，采用特征码技术对部分安装包的检测率正在逐渐降低。
技术实现思路
有鉴于此，本专利技术实施例为解决现有技术中存在的至少一个问题而提供了一种病毒库的获取方法及装置、设备、服务器、系统，获取成本低且效率高，能够更准确地识别出新的恶意安装包。本专利技术的技术方案是这样实现的：第一方面，本专利技术实施例提供一种病毒库的获取方法，所述方法包括：获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。第二方面，本专利技术实施例提供一种病毒库的获取装置，所述装置包括获取单元，提取单元，选择单元，更新单元，其中：所述获取单元，用于获取样本集合，所述样本集合中的样本为恶意的安装包；所述提取单元，用于从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；所述选择单元，用于对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；所述更新单元，用于将所述至少一组目标特征更新到病毒库中。第三方面，本专利技术实施例提供了一种病毒库的获取设备，所述设备包括处理器和外部通信接口，其中：所述外部通信接口，用于获取样本集合，所述样本集合中的样本为恶意的安装包；所述处理器，用于从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。第四方面，本专利技术实施例提供了一种第一服务器，所述第一服务器包括第一处理器和第一外部通信接口，其中:所述第一处理器，用于获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；第一外部通信接口，用于发送所述样本特征集合中的至少一组样本特征。第五方面，本专利技术实施例提供了一种第二服务器，所述第二服务器包括第二处理器和第二外部通信接口，其中:所述第二外部通信接口，用于接收至少一组样本特征；所述第二处理器，用于根据接收到的样本特征，得到至少一组目标特征，其中，所述目标特征为接收到的样本特征中满足第一条件的特征；所述第二外部通信接口，用于发送所述至少一组目标特征。第六方面，本专利技术实施例提供了一种第三服务器，所述第三服务器为ES服务器，包括第三处理器、存储器和第三外部通信接口，其中:所述第三外部通信接口，用于接收所述第一服务器发送至少一组样本特征；所述存储器，用于存储所述至少一组样本特征；所述第三外部通信接口，用于接收所述第二服务器发送的查询请求，所述查询请求用于请求所述第三服务器返回未发送给所述第二服务器的至少一组样本特征；所述第三处理器，用于获取所述查询请求对应的样本特征；所述第三外部通信接口，用于将所述对应的样本特征发送给第二服务器。第七方面，本专利技术实施例提供了一种病毒库获取系统，所述系统包括第一服务器、第二服务器和第三服务器，其中：所述第一服务器为上述的第一服务器；所述第二服务器为上述的第二服务器；所述第三服务器为上述的第三服务器；所述杀毒平台，用于接收至少一组目标特征，并将所述至少一组目标特征存储到病毒库。本专利技术实施例提供了一种病毒库的获取方法及装置、设备、服务器、系统，获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。本专利技术实施例的整个过程由计算设备自动完成，每天可以完成对海量的恶意安装包的特征提取和特征选择，得到大量的目标特征，与现有技术中的人力分析相比，花费时间少、效率高，且整个过程不存在人工干预的问题，计算设备可以自动选择出满足第一条件的目标特征。杀毒平台使用这样选择出来的目标特征来检测安装包，恶意安装包的研发者无法通过简单地调整安装包中的代码来绕过检测，能够更准确地识别出新的恶意安装包。附图说明图1为现有技术中的靠特征码技术来查杀病毒安装包的实现流程示例图；图2为本专利技术实施例一提供的一种病毒库的获取方法的实现流程示意图；图3为本专利技术实施例二提供的一种病毒库的获取方法的实现流程示意图；图4为本专利技术实施例三提供的一种病毒库的获取方法的实现流程示意图；图5为本专利技术实施例四提供的一种病毒库的获取装置的组成结构示意图；图6为本专利技术实施例五提供的一种病毒库的获取设备的硬件组成结构示意图；图7为本专利技术实施例六提供的一种第一服务器的硬件组成结构示意图；图8为本专利技术实施例六提供的一种第二服务器的硬件组成结构示意图；图9为本专利技术实施例六提供的一种第三服务器的硬件组成结构示意图；图10为本专利技术实施例七提供的一种系统的组成结构示意图。具体实施方式下面结合附图和具体实施例对本专利技术的技术方案进一步详细阐述。实施例一为了解决
技术介绍
中存在的问题，本专利技术实施例提供一种病毒库的获取方法，应用于计算设备，该方法所实现的功能可以通过计算设备中的处理器调用程序代码来实现，当然程序代码可以保存在计算机存储介质中，可见，该计算设备至少包括处理器和存储介质。这里，所述计算设备可以是任何具有信息处理能够的计算设备，例如可以是服务器或服务器集群。图2为本专利技术实施例一病毒库的获取方法的实现流程示意图，如图2所示，该病毒库的获取方法包括本文档来自技高网...

【技术保护点】
一种病毒库的获取方法，其特征在于，所述方法包括：获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。

【技术特征摘要】
1.一种病毒库的获取方法，其特征在于，所述方法包括：获取样本集合，所述样本集合中的样本为恶意的安装包；从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；将所述至少一组目标特征更新到病毒库中。2.根据权利要求1所述的方法，其特征在于，所述从每个样本中提取一组样本特征，包括：第一服务器提取一个样本中的第一文件和/或第二文件，其中，所述第一文件为所述样本的主程序文件，所述第二文件为所述样本的全局配置文件；所述第一服务器从所述第一文件中提取一组第一样本特征，从所述第二文件中提取一组第二样本特征，其中，所述一组样本特征包括一组第一样本特征和/或一组第二样本特征。3.根据权利要求2所述的方法，其特征在于，所述第一文件为编译器编译主程序生成的主程序文件；所述第一服务器从所述第一文件中提取一组第一样本特征，包括：所述第一服务器从所述第一文件中提取所述编译器编译所述主程序时加入的至少一个数据作为一组第一样本特征。4.根据权利要求2所述的方法，其特征在于，所述第一服务器从所述第二文件中提取一组第二样本特征，包括：所述第一服务器提取所述第二文件中的至少一个第一字符串；所述第一服务器计算每个第一字符串的循环冗余校验CRC码，其中，所述一组第二样本特征为至少一个CRC码。5.根据权利要求2所述的方法，其特征在于，所述一组样本特征包括一组第一样本特征或一组第二样本特征，则所述对所述样本特征集合进行特征选择，得到至少一组目标特征，包括：所述第一服务器向第二服务器发送所述样本特征集合中的至少一组样本特征；所述第二服务器接收到所述至少一组样本特征后，根据接收的所述至少一组样本特征，更新决策树上的节点和节点对应的属性值，所述决策树上的节点用于表示样本特征中的特征；在所述第二服务器更新决策树的第一更新参数满足第二条件时，所述第二服务器停止更新决策树，得到最终的决策树；所述第二服务器根据所述最终的决策树，确定至少一组目标特征。6.根据权利要求2所述的方法，其特征在于，所述一组样本特征包括一组第一样本特征和一组第二样本特征，则所述对所述样本特征集合进行特征选择，得到至少一组目标特征，包括：所述第一服务器向第二服务器发送所述样本特征集合中的至少一组样本特征；所述第二服务器接收到所述至少一组样本特征后，根据所述至少一组样本特征中的第一样本特征，更新第一决策树上的第一节点和第一节点对应的属性值，根据所述至少一组样本特征中的第二样本特征，更新第二决策树上的第二节点和第二节点对应的属性值，其中，所述第一决策树上第一节点用于表示第一样本特征中的特征，所述第二决策树上的第二节点用于表示第二样本特征中的特征；在所述第二服务器更新第一决策树和/或第二决策树的第二更新参数满足第三条件时，所述第二服务器停止更新所述第一决策树，得到最终的第一决策树，停止更新所述第二决策树，得到最终的第二决策树；所述第二服务器根据所述最终的第一决策树，确定至少一组第一特征，根据所述最终的第二决策树，确定至少一组第二特征，其中，所述一组第一特征为一组目标特征，所述一组第二特征为一组目标特征。7.根据权利要求5或6所述的方法，其特征在于，所述第一服务器每次向第二服务器发送至少一组样本特征，包括：所述第一服务器向第三服务器发送至少一组样本特征；所述第三服务器接收并存储所述至少一组样本特征，所述第三服务器为ES服务器；所述第二服务器向所述第三服务器发送查询请求，所述查询请求用于请求所述第三服务器返回未发送给所述第二服务器的至少一组样本特征；所述第三服务器接收到所述查询请求后，获取所述查询请求对应的样本特征，并将所述对应的样本特征发送给第二服务器。8.根据权利要求7所述的方法，其特征在于，所述第二服务器得到目标特征后，所述方法还包括：所述第二服务器向所述第三服务器发送删除请求，所述删除请求用于请求所述第三服务器删除所述第三服务器存储的样本特征中的部分样本特征，所述部分样本特征的每个样本特征中都至少包含一组目标特征；所述第三服务器接收到所述删除请求后，删除所述部分样本特征。9.根据权利要求5或6所述的方法，其特征在于，所述将所述至少一组目标特征更新到病毒库中，包括：所述第二服务器将所述至少一组目标特征发送给杀毒平台；所述杀毒平台接收所述至少一组目标特征，并将所述至少一组目标特征存储到病毒库。10.根据权利要求9所述的方法，其特征在于，所述方法还包括：所述杀毒平台获取待检测安装包的特征；所述杀毒平台判断所述待检测安装包的特征是否包含所述病毒库中的任一组目标特征；在所述待检测安装包的特征中包含有所述病毒库中的任一组目标特征时，确定所述待检测安装包为恶意安装包。11.一种病毒库的获取装置，其特征在于，所述装置包括获取单元，提取单元，选择单元，更新单元，其中：所述获取单元，用于获取样本集合，所述样本集合中的样本为恶意的安装包；所述提取单元，用于从每个样本中提取一组样本特征，得到样本特征集合，所述样本特征集合中包括提取的各组样本特征；所述选择单元，用于对所述样本特征集合进行特征选择，得到至少一组目标特征，其中，所述目标特征为所述样本特征集合中满足第一条件的特征；所述更新单元，用于将所述至少一组目标特征更新到病毒库中。12.根据权利要求11所述的装置，其特征在于，所述提取单元，用于提取一个样本中的第一文件和/或第二文件，从所述第一文件中提取一组第一样本特征，从所述第二文件中提取一组第二样本特征，其中，所述第一文件为所述样本的主程序文件，所述第二文件为所述样本的全局配置文件，所述一组样本特征包括一组第一样本特征和/或一组第二样本特征。13.根据权利要求12所述的装置，其特征在于，所述第一文件为编译器编译主程序生成的主程序文件；所述提取单元，用于从所述第一文件中提取所述编译器编译所述主程序时加入的至少一个数据作为一组第一样本特征。14.根据权利要求12所述的装置，其特征在于，所述提取单元，用于提取所述第二文件中的至少一个第一字符串，计算每个第一字符串的循环冗余校验CRC码，其中，所述一组第二样本特征为至少一个CRC码。15.根据权利要求12所述的装置，其特征在于，所述一组样本特征包括一组第一样本特征或一组第二样本特征，则，...

【专利技术属性】
技术研发人员：姜澎，郭晓龙，申金娟，吴彬，苏蒙，于涛，毕磊，王俊豪，王炳堪，辛调琴，任光辉，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44