本申请公开了一种基于沙盒的病毒检测方法,所述病毒检测方法包括将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;提取第一行为分析报告中的病毒行为特征,并将病毒行为特征作为训练集训练分类模型;利用分类模型对可疑文件执行基于行为分析的病毒检测操作。本方法能够在保证检测准确率的前提下提高对于病毒的检测效率。本申请还公开了一种基于沙盒的病毒检测系统、一种计算机可读存储介质及一种基于沙盒的病毒检测装置,具有以上有益效果。
【技术实现步骤摘要】
一种基于沙盒的病毒检测方法、系统及相关装置
本专利技术涉及网络安全
,特别涉及一种基于沙盒的病毒检测方法、系统、一种计算机可读存储介质及一种基于沙盒的病毒检测装置。
技术介绍
随着科技的进步信息技术已经广泛地应用于社会的各个层面,为人们的生产、生活带来的极大地便利。但是,随之而来的存在有计算机病毒对数据进行破坏或资源占用,病毒对网络安全产生了极大地危害。现有技术中的杀毒软件主要是检测病毒文件是否存在病毒,对病毒文件进行特征匹配。但是黑客在使用病毒之前,会对病毒做各种免杀处理,因此常规的杀毒软件在病毒爆发的第一时间是很难检出病毒样本,因此现有技术中这种特征匹配进行检测的技术存在滞后性。因此,如何在保证检测准确率的前提下提高对于病毒的检测效率是本领域技术人员目前需要解决的技术问题。
技术实现思路
本申请的目的是提供一种基于沙盒的病毒检测方法、系统、一种计算机可读存储介质及一种基于沙盒的病毒检测装置,能够在保证检测准确率的前提下提高对于病毒的检测效率。为解决上述技术问题,本申请提供一种基于沙盒的病毒检测方法,该病毒检测方法包括:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;提取第一行为分析报告中的病毒行为特征,并将病毒行为特征作为训练集训练分类模型;利用分类模型对可疑文件执行基于行为分析的病毒检测操作。可选的,病毒行为特征包括网络行为特征、文件操作行为特征、进程和服务行为特征和模块加载行为特征。可选的,将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告包括:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到病毒样本对应的病毒特征分析结果和正常样本对应的正常特征分析结果;将病毒特征分析结果和正常特征分析结果进行对比分析得到第一行为分析报告。可选的,还包括:当接收到设备端发送的分类模型更新请求时,将当前周期生成的分类模型下发至设备端的设备端沙盒,以便设备端利用分类模型检测可疑文件是否为病毒文件。可选的,设备端利用分类模型检测可疑文件是否为病毒文件包括:当设备端检测到可疑文件时,将可疑文件输入至设备端沙盒并进行行为特征分析,得到第二行为分析报告;利用分类模型对第二行为分析报告进行基于行为分析的病毒检测操作,并根据检测结果判断可疑文件是否为病毒文件。本申请还提供了一种基于沙盒的病毒检测系统,该病毒检测系统包括:报告生成模块,用于将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;模型训练模块,用于提取第一行为分析报告中的病毒行为特征,并将病毒行为特征作为训练集训练分类模型;检测模块,用于利用分类模型对可疑文件执行基于行为分析的病毒检测操作。可选的,病毒行为特征包括网络行为特征、文件操作行为特征、进程和服务行为特征和模块加载行为特征。可选的,报告生成模块包括:特征分析单元,用于将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到病毒样本对应的病毒特征分析结果和正常样本对应的正常特征分析结果;对比单元,用于将病毒特征分析结果和正常特征分析结果进行对比分析得到第一行为分析报告。可选的,还包括:模型下发模块,用于当接收到设备端发送的分类模型更新请求时,将当前周期生成的分类模型下发至设备端的设备端沙盒,以便设备端利用分类模型检测可疑文件是否为病毒文件。可选的,还包括:可疑文件分析模块,用于当设备端检测到可疑文件时,将可疑文件输入至设备端沙盒并进行行为特征分析,得到第二行为分析报告;病毒检测模块,用于利用分类模型对第二行为分析报告进行基于行为分析的病毒检测操作,并根据检测结果判断可疑文件是否为病毒文件。本申请还提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序执行时实现上述基于沙盒的病毒检测方法执行的步骤。本申请还提供了一种基于沙盒的病毒检测装置,包括存储器和处理器,存储器中存储有计算机程序,处理器调用存储器中的计算机程序时实现上述基于沙盒的病毒检测方法执行的步骤。本专利技术提供了一种基于沙盒的病毒检测方法,包括:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;提取第一行为分析报告中的病毒行为特征,并将病毒行为特征作为训练集训练分类模型;利用分类模型对可疑文件执行基于行为分析的病毒检测操作。本专利技术将病毒样本和正常样本输入至云端沙盒使其在虚拟的沙盒中充分的发生变化,最终得到关于病毒样本的行为分析报告,该行为分析报告是病毒样本的基本的、通用行为,是无法通过免杀处理掩饰的,进而根据行为分析报告训练分类模型能够快速的检测病毒。现有技术是通过特征比对来对病毒进行监测的例如判断是否有特殊代码等,但是若对病毒做各种免杀处理改变其特殊代码则无法检测到病毒,这是现有技术检测病毒效率较低的根本原因。基于此本申请将病毒样本输入至云端沙盒,通过正常样本进行样本比对能够准确的分析病毒样本的行为特征进而得到第一行为分析报告,根据第一行为分析报告训练模型进行基于行为分析的病毒检测。由于本申请训练的分类模型是以第一行为分析报告为训练样本的,故本申请能够根据可疑文件的行为特征确定是否为病毒文件。进一步的由于病毒文件特有的行为特征是无法通过处理掩盖的,因此本申请的方案能够在保证检测准确率的前提下提高对于病毒的检测效率。本申请同时还提供了一种基于沙盒的病毒检测系统、一种计算机可读存储介质和一种基于沙盒的病毒检测装置,具有上述有益效果,在此不再赘述。附图说明为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例所提供的一种基于沙盒的病毒检测方法的流程图;图2为本申请实施例所提供的另一种基于沙盒的病毒检测方法的流程图;图3为本申请实施例所提供的一种基于沙盒的病毒检测系统的结构示意图。具体实施方式为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。下面请参见图1,图1为本申请实施例所提供的一种基于沙盒的病毒检测方法的流程图。具体步骤可以包括:S101:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;其中,本步骤的目的在于获得关于病毒样本的性为特征的第一行为分析报告,本步骤中所用到的病毒样本可以为大量的、具有代表性的病毒样本,病毒样本的多样性越丰富,本实施例所达到的检测效果越好。本实施例中与病毒样本一同输入云端沙盒的正常样本所起的作用在于:与病毒样本形成对比,正常样本的行为属于正常、合法的行为,而虽然病毒样本的所有行为不全是非正常、不合法的行为,但是只要病毒样本的某些行为与正常样本的行为不一致,那么可以认为该行为属于病毒样本的行为特征,也就是说正常样本在本实施例中起到了对照的作用。可以理解的是,正常样本应该同样具有多样性,使得本实施例能够得到较好的检测效果。云端沙盒是指在云端运行本文档来自技高网...
【技术保护点】
1.一种基于沙盒的病毒检测方法,其特征在于,包括:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;提取所述第一行为分析报告中的病毒行为特征,并将所述病毒行为特征作为训练集训练分类模型;利用所述分类模型对可疑文件执行基于行为分析的病毒检测操作。
【技术特征摘要】
1.一种基于沙盒的病毒检测方法,其特征在于,包括:将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;提取所述第一行为分析报告中的病毒行为特征,并将所述病毒行为特征作为训练集训练分类模型;利用所述分类模型对可疑文件执行基于行为分析的病毒检测操作。2.根据权利要求1所述病毒检测方法,其特征在于,所述病毒行为特征包括网络行为特征、文件操作行为特征、进程和服务行为特征和模块加载行为特征。3.根据权利要求1所述病毒检测方法,其特征在于,将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告包括:将所述病毒样本和所述正常样本输入至所述云端沙盒并进行行为特征分析,得到所述病毒样本对应的病毒特征分析结果和所述正常样本对应的正常特征分析结果;将所述病毒特征分析结果和所述正常特征分析结果进行对比分析得到所述第一行为分析报告。4.根据权利要求1所述病毒检测方法,其特征在于,还包括:当接收到设备端发送的分类模型更新请求时,将当前周期生成的所述分类模型下发至所述设备端的设备端沙盒,以便所述设备端利用所述分类模型检测可疑文件是否为病毒文件。5.根据权利要求4所述病毒检测方法,其特征在于,所述设备端利用所述分类模型检测可疑文件是否为病毒文件包括:当所述设备端检测到所述可疑文件时,将所述可疑文件输入至所述设备端沙盒并进行行为特征分析,得到第二行为分析报告;利用所述分类模型对所述第二行为分析报告进行基于行为分析的病毒检测操作,并根据检测结果判断所述可疑文件是否为所述病毒文件。6.一种基于沙盒的病毒检测系统,其特征在于,包括:报告生成模块,用于将病毒样本和正常样本输入至云端沙盒并进行行为特征分析,得到第一行为分析报告;模型训练模块,用于提取所述第一行为分析报告中的...
【专利技术属性】
技术研发人员:张斌,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。