本发明专利技术实施例提供一种检测恶意程序的方法和装置,其中,该方法包括:获取待检测程序的日志数据;将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;通过所述决策树,确定所述待检测程序是否为恶意程序。本发明专利技术实施例解决了现有的恶意程序检测方式所存在准确性低,操作复杂度高的技术问题,达到了简单高效实现恶意程序检测的技术效果。
【技术实现步骤摘要】
一种检测恶意程序的方法和装置
本专利技术涉及计算机领域,具体涉及一种检测恶意程序的方法和装置。
技术介绍
目前在识别操作系统中的恶意程序的时候,主要有以下两种识别方式:1)基于特征码识别的识别方式:该方式主要是通过获取待检测程序的特征,其中,该特征可以包括:网络访问、文件读取、隐私数据访问等多维度的信息,进而生成匹配于当前样本的特征码,并将生成的特征码与现有特征库中的特征码进行比对,从而确定当前待检测程序是否为恶意程序。具体地,可以如图1所示,读入样本,获取多维度的特征数据,生成特征码,特征码校验,生成检测结果。其中,较为重要的环节是:获取多维度的特征数据,该环节将直接导致最终的特征校验能否顺利地发现恶意程序。因此,需要通过尽可能多的方式去挖掘多维度的数据。该方式不具备预测性,基于特征码的问题在于只能针对已经发现的恶意样本进行匹配,未知的样本则无法进行匹配。因为对于未知的样本,其特征码是未知的。且该方式准确性较低,主要体现在未知恶意样本的检测过程中。同时还需要维护一份非常庞大的特征码校验库,因为维护成本比较高。2)基于操作系统定向定制的方式:通过监控网络出入接口,监控文件读取接口,监控隐私数据读取接口,监控系统权限获取接口等,以截获样本程序的运行轨迹(即,获取运行日志),进而发现其恶意性。具体地,可以如图2所示,样本读入,输入定向定制的操作系统,结果输出。相比于上一种方式,该方式准确率更高,且具备一定的预测性。然而,因为其判断应用是否恶意的机制不是简单的特征码校验,而是从行为的角度上去审查,因此,会弱化对历史样本的依赖性。该方式涉及到源代码,不仅源码量大,而且源码结构复杂,对技术实现要求较高,时间成本和维护成本也比较高。因为,随着版本的升级,相应的接口存在调整的可能性,这也就表明有可能需要对每个发行版都进行对应的修改,维护成本比较高。针对现有的检测恶意程序的方法中所存在的准确性低、维护成本高等问题,目前尚未提出有效的解决方案。
技术实现思路
本专利技术实施例提供一种检测恶意程序的方法和装置,以便达到简单高效检测出恶意程序的目标。一方面,本专利技术实施例提供了一种检测恶意程序的方法,该方法包括:获取待检测程序的日志数据;将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;通过所述决策树,确定所述待检测程序是否为恶意程序。在一个实施方式中,在获取待检测程序的日志数据之前,所述方法还包括:获取训练数据;通过对所述训练数据进行训练,得到所述决策树。在一个实施方式中,获取所述训练数据包括:获取多个程序的应用文件;将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;将所述用户行为日志作为所述训练数据;相应的,在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。在一个实施方式中,所述用户行为日志是按照各个程序中各个行为是否触发,以及各个程序是否为恶意程序的方式存储的。在一个实施方式中,所述用户行为日志中的行为包括以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。另一方面,本专利技术实施例提供了一种检测恶意程序的装置,包括:获取模块,用于获取待检测程序的日志数据;输入模块,用于将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;确定模块,用于通过所述决策树,确定所述待检测程序是否为恶意程序。在一个实施方式中,上述检测恶意程序的装置还包括:建立模块,用于在获取待检测程序的日志数据之前,获取训练数据,并通过对所述训练数据进行训练,得到所述决策树。在一个实施方式中,所述建立模块包括:获取单元,用于获取多个程序的应用文件;放置单元,用于将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;模拟单元,用于在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;生成单元,用于将所述用户行为日志作为所述训练数据;相应的,所述建立模块具体用于在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。在一个实施方式中,所述用户行为日志是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。在一个实施方式中,所述用户行为日志中的用户行为包括以下至少之一:是否访问网络、是否读取隐私数据、是否访问文件和是否获取系统权限。上述技术方案具有如下有益效果:因为采用了决策树来检测恶意程序,通过获取待检测程序的日志文件,通过决策树进行恶意程序的判断,从而解决了现有的恶意程序检测方式所存在准确性低,操作复杂度高的技术问题,达到了简单高效实现恶意程序检测的技术效果。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是基于特征码识别的识别方式的方法流程图;图2是基于操作系统定向定制的方式的方法流程图;图3是根据本专利技术实施例的检测恶意程序的方法的流程图;图4是根据本专利技术实施例的检测恶意程序的装置的结构框图;图5是根据本专利技术实施例的恶意程序检测示意图;图6是根据本专利技术实施例的决策树示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。考虑到现有的恶意程序检测方法中所存在的问题,在本专利技术实施例中提供了一种检测恶意程序的方法,如图3所示,可以包括以下步骤:步骤301:获取待检测程序的日志数据;例如,当前需要检测某程序是否为恶意程序,那么就可以获取该程序的日志数据,这个日志数据中有用户对该程序的用户行为数据。如果需要检测某份日志数据中是否存在恶意程序,那么也可以将该份日志文件拿过来作为待判断的日志数据进行恶意程序的检测。步骤302:将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序,所述决策树除叶节点之外的节点为恶意程序判定条件;即,通过决策树的方式检测是否有恶意程序,或者是否存在恶意程序。该决策树可以是按照以下方式建立的,包括:S1:获取训练数据;S2:通过对所述训练数据进行训练,得到所述决策树。为了获取进行决策树训练的数据,可以通过程序模拟器对程序进行模拟,并模拟用户的行为数据,因为这些程序都是开始就知道是否是恶意程序的,因此,基于这些行为数据,可以建立决策树,即,通过对已知是否恶意的程序的模拟以及用户行为的模拟,然后,通过模拟得到的用户行为数据,即可建立一个判断模型,即决策树。在一个实施方式中本文档来自技高网...
【技术保护点】
一种检测恶意程序的方法,其特征在于,包括:获取待检测程序的日志数据;将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序的判断结果,所述决策树除叶节点之外的节点为恶意程序判定条件;通过所述决策树,确定所述待检测程序是否为恶意程序。
【技术特征摘要】
1.一种检测恶意程序的方法,其特征在于,包括:获取待检测程序的日志数据;将所述日志数据输入预先建立的决策树,其中,所述决策树的叶节点为是否为恶意程序的判断结果,所述决策树除叶节点之外的节点为恶意程序判定条件;通过所述决策树,确定所述待检测程序是否为恶意程序。2.根据权利要求1所述的方法,其特征在于,在获取待检测程序的日志数据之前,所述方法还包括:获取训练数据;通过对所述训练数据进行训练,得到所述决策树。3.根据权利要求2所述的方法,其特征在于,获取所述训练数据包括:获取多个程序的应用文件;将多个程序的应用文件置于模拟器中,其中,所述多个程序中各个程序是否为恶意程序是已知的;在所述模拟器中,通过自动化模拟用户操作脚本,对所述多个程序的用户行为进行触发,并记录用户行为日志;将所述用户行为日志作为所述训练数据;相应的,在通过对所述训练数据进行训练,得到所述决策树的过程中,将得到的决策树中所述恶意程序判定条件设定为用户行为是否触发。4.根据权利要求3所述的方法,其特征在于,所述用户行为日志是按照各个程序中各个用户行为是否触发,以及各个程序是否为恶意程序的方式存储的。5.根据权利要求4所述的方法,其特征在于,所述用户行为日志中的用户行为包括以下至少之一:访问网络、读取隐私数据、访问文件和获取系统权限。6.一种检测恶意程序的装置,其特征在于,包括:获取模块,用于获取...
【专利技术属性】
技术研发人员:夏宇天,
申请(专利权)人:微梦创科网络科技中国有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。