一种病毒检测的方法以及相关装置制造方法及图纸

本发明专利技术实施例公开了一种病毒检测的方法，包括：获取待检测文件的目标特征向量；采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；根据所述目标匹配结果确定所述待检测文件的病毒检测结果。本发明专利技术实施例中还提供了一种病毒检测装置。本发明专利技术实施例一方面可以节省人工提取特征码的过程，另一方面，能够准确地感知待检测文件的类型，有利于提升方案的安全性。

A Method of Virus Detection and Related Devices

【技术实现步骤摘要】
一种病毒检测的方法以及相关装置
本专利技术涉及信息安全
，尤其涉及一种病毒检测的方法以及相关装置。
技术介绍
随着计算机技术和网络技术的发展，病毒的种类越来越多，破坏性和隐蔽性很强的病毒长期存在。病毒是一个程序或是一段可执行码，就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。它们能把自身附着在各种类型的文件上，当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。目前，对于病毒的检测通常采用如下方式，首先，对人工标注出来的病毒样本进行分析，然后从病毒样本中抽取二进制片段作为特征码，如果待检测文件命中特征码，则表示该文件携带病毒。然而，采用上述方式判断文件中是否携带病毒，存在如下问题：由于特征码是提前确定好的，一旦出现新型病毒，则难以检测出该新型病毒，换言之，现有方案无法对未知病毒进行检测，不利于信息安全。
技术实现思路
本专利技术实施例提供了一种病毒检测的方法以及相关装置，一方面可以节省人工提取特征码的过程，另一方面，能够准确地感知待检测文件的类型，有利于提升方案的安全性。有鉴于此，本专利技术的第一方面第一提供了一种病毒检测的方法，包括：获取待检测文件的目标特征向量；采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；根据所述目标匹配结果确定所述待检测文件的病毒检测结果。本专利技术的第二方面第一提供了一种病毒检测装置，包括：获取模块，用于获取待检测文件的目标特征向量；生成模块，用于采用样本检测规则集合对所述获取模块获取的所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；确定模块，用于根据所述生成模块生成的所述目标匹配结果确定所述待检测文件的病毒检测结果。本专利技术的第三方面第一提供了一种病毒检测装置，包括：存储器、收发器、处理器以及总线系统；其中，所述存储器用于存储程序；所述处理器用于执行所述存储器中的程序，包括如下步骤：获取待检测文件的目标特征向量；采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；根据所述目标匹配结果确定所述待检测文件的病毒检测结果；所述总线系统用于连接所述存储器以及所述处理器，以使所述存储器以及所述处理器进行通信。本专利技术的第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术实施例中，提供了一种病毒检测的方法，首先获取待检测文件的目标特征向量，采用样本检测规则集合对目标特征向量进行匹配，以生成目标匹配结果，其中，样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，第一样本检测规则用于表示安全类型与路径信息之间的对应关系，第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，路径信息用于指示行为标识的出现概率，最后根据目标匹配结果确定待检测文件的病毒检测结果。通过上述方式，一方面可以节省人工提取特征码的过程，直接利用样本检测规则集合匹配得到待检测文件的匹配结果，该匹配结果可表示待检测文件的安全性，另一方面，样本检测规则集合至少包括用于检测安全类型和病毒类型的规则，能够准确地感知待检测文件的类型，有利于提升方案的安全性。附图说明图1为本专利技术实施例中病毒检测系统的一个架构示意图；图2为本专利技术实施例中病毒检测系统的一个调用关系示意图；图3为本专利技术实施例中病毒检测的方法一个实施例示意图；图4为本专利技术实施例中获取目标特征向量的一个流程示意图；图5为本专利技术实施例中生成决策树模型文件的一个流程示意图；图6为本专利技术实施例中生成样本检测规则的一个流程示意图；图7为本专利技术实施例中决策树模型的一个示意图；图8为本专利技术实施例中对待检测文件进行检验的一个流程示意图；图9为本专利技术应用场景中病毒检测的一个流程示意图；图10为本专利技术实施例中病毒检测装置的一个实施例示意图；图11为本专利技术实施例中病毒检测装置的一个结构示意图。具体实施方式本专利技术实施例提供了一种病毒检测的方法以及相关装置，一方面可以节省人工提取特征码的过程，另一方面，能够准确地感知待检测文件的类型，有利于提升方案的安全性。本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。应理解，本专利技术主要可应用于安卓(Android)病毒的检测，此外，也可以应用于其他类型的病毒检测，例如计算机病毒检测、苹果系统(iphoneoperationsystem，iOS)病毒检测以及微软系统(Windows)病毒检测等，本方案将以Android病毒检测为例进行介绍。Android会同一系列核心应用程序包一起发布，该应用程序包包括客户端、短信息服务(ShortMessageService，SMS)程序、日历、地图、浏览器以及联系人管理程序等。与此同时，Android系统也面临这Android病毒的侵害，例如“百脑虫木马”(会感染推广类应用程序)、“蜥蜴之尾木马”(会感染系统库文件，替换系统文件，注入系统进程，窃取用户信息以及监听通话与短信等)以及“权限杀手”(会对抗安全软件、监听短信、弹广告、推广以及刷流量)等。本方案不但可以对这些已知的Android病毒进行检测，还可以对其他未知的Android病毒进行检测。请参阅图1，图1为本专利技术实施例中病毒检测系统的一个架构示意图，如图所示，本方案中的病毒检测装置可部署于服务器，在服务器得到病毒检测结果之后，将该病毒检测结果发送至终端设备，以使得用户可以通过终端设备的显示界面了解待检测文件的病毒检测结果。可选地，本方案中的病毒检测装置也可部署于终端设备，由终端设备直接对待检测文件进行检测，并将病毒检测结果展示于前端的显示界面。本专利技术中的病毒检测装置可包括四个逻辑模块，每个逻辑模块用于实现相应的功能。请参阅图2，图2为本专利技术实施例中病毒检测系统的一个调用关系示意图，如图所示，这四本文档来自技高网...

【技术保护点】
1.一种病毒检测的方法，其特征在于，包括：获取待检测文件的目标特征向量；采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；根据所述目标匹配结果确定所述待检测文件的病毒检测结果。

【技术特征摘要】
1.一种病毒检测的方法，其特征在于，包括：获取待检测文件的目标特征向量；采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，其中，所述样本检测规则集合中包含第一样本检测规则以及第二样本检测规则，所述第一样本检测规则用于表示安全类型与路径信息之间的对应关系，所述第二样本检测规则用于表示病毒类型与路径信息之间的对应关系，所述路径信息用于指示行为标识的出现概率；根据所述目标匹配结果确定所述待检测文件的病毒检测结果。2.根据权利要求1所述的方法，其特征在于，所述获取待检测文件的目标特征向量，包括：获取所述待检测文件的日志信息，其中，所述日志信息包含N个行为标识以及N个触发时间，所述N为大于或等于1的整数；统计所述N个行为标识中每个行为标识的出现概率；根据所述N个触发时间以及所述每个行为标识的出现概率，生成所述待检测文件的所述目标特征向量。3.根据权利要求1所述的方法，其特征在于，所述采用样本检测规则集合对所述目标特征向量进行匹配之前，所述方法还包括：获取安全样本的特征向量以及病毒样本的特征向量；通过决策树模型获取所述安全样本的特征向量对应的所述第一样本检测规则，其中，所述决策树模型用于输出所述路径信息以及样本类型，所述样本类型包括所述安全类型以及所述病毒类型；通过所述决策树模型获取所述病毒样本的特征向量对应的所述第二样本检测规则。4.根据权利要求3所述的方法，其特征在于，所述通过决策树模型获取所述安全样本的特征向量对应的所述第一样本检测规则，包括：将所述安全样本的特征向量输入至所述决策树模型，得到X条第一待选样本检测规则，其中，所述X为大于或等于1的整数；从所述X条第一待选样本检测规则中选择满足预设规则生成条件的Y条所述第一样本检测规则，其中，所述Y为大于或等于1，且小于或等于所述X的整数；所述通过所述决策树模型获取所述病毒样本的特征向量对应的所述第二样本检测规则，包括：将所述病毒样本的特征向量输入至所述决策树模型，得到Q条第二待选样本检测规则，其中，所述Q为大于或等于1的整数；从所述Q条第二待选样本检测规则中选择满足预设规则生成条件的P条所述第二样本检测规则，其中，所述P为大于或等于1，且小于或等于所述Q的整数。5.根据权利要求4所述的方法，其特征在于，所述从所述X条第一待选样本检测规则中选择满足预设规则生成条件的Y条所述第一样本检测规则，包括：从所述X条第一待选样本检测规则中选择路径长度大于预设长度门限的Y条所述第一样本检测规则；所述从所述Q条第二待选样本检测规则中选择满足预设规则生成条件的P条所述第二样本检测规则，包括：从所述Q条第二待选样本检测规则中选择路径长度大于所述预设长度门限的P条所述第二样本检测规则。6.根据权利要求4或5所述的方法，其特征在于，所述从所述X条第一待选样本检测规则中选择满足预设规则生成条件的Y条所述第一样本检测规则，包括：从所述X条第一待选样本检测规则中选择正向节点比例大于预设比例门限的所述Y条所述第一样本检测规则，其中，所述正向节点比例表示正向节点数量在总节点数量所占的比例，所述正向节点表示包含行为标识的节点；所述从所述Q条第二待选样本检测规则中选择满足预设规则生成条件的P条所述第二样本检测规则，包括：从所述Q条第二待选样本检测规则中选择正向节点比例大于预设比例门限的所述P条所述第二样本检测规则。7.根据权利要求1所述的方法，其特征在于，所述采用样本检测规则集合对所述目标特征向量进行匹配，以生成目标匹配结果，包括：若所述目标特征向量满足第一样本检测规则，则生成第一匹配结果；若所述目标特征向量不满足所述第一样本检测规则，则判断所述目标特征向量是否满足所述第二样本检测规则，若所述目标特征向量满足所述第二样本检测规则，则生成第二...

【专利技术属性】
技术研发人员：雷经纬，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东,44