The invention discloses a virus analysis method, device, device and medium, the method comprises acquiring a virus family set, the virus family set comprises at least one virus family, constructing a corresponding family model for each virus family to obtain a family model set corresponding to the virus family set, acquiring a new virus and acquiring a target virus family according to the new virus ; extract the first virus family model corresponding to the target virus family from the family model set; obtain the logical relationship between the new virus and each family member in the target virus family, add the new virus to the first virus family model according to the logical relationship to obtain the second virus family model; generate the new virus family model according to the second virus family model Virus analysis results. When a new virus is found, the invention can quickly locate the position of the new virus in the virus family model, and then automatically analyze the type of the new virus and its related virus version.
【技术实现步骤摘要】
一种病毒分析方法、装置、设备及介质
本专利技术涉及安全领域,尤其涉及一种病毒分析方法、装置、设备及介质。
技术介绍
近年来,制作病毒文件的作案人员呈现团伙化趋势,而病毒的发展也呈现家族式特点,相同病毒家族中的病毒文件通常具备相似的内容、功能或行为。现有技术中,为了及时发现病毒家族的新变种,需要高度依赖安全分析人员基于病毒文件之间的关联关系,文件相似度等内容,找到和相关病毒家族中某个病毒文件所关联的新变种并定位新变种之前的版本,并将该新变种进行分析处理,形成预警并将所述预警推送给相关人员进行处理。现有技术中通过安全分析人员进行人工分析的方式发现新变种,存在下述显著不足:对于安全分析人员的依赖度过高,并且要求安全分析人员具备对相关病毒家族的分析经验,这样才能快速确认新变种以及定位新变种之前的版本,这对于安全分析人员要求较高,耗费了人力资源;而同一个病毒家族可能存在多个成员,在每次发现疑似新变种并分析时,安全分析人员需要将疑似新变种和多个病毒家族的成员进行一一对比,才能确认新变种,并找到新变种的前一个版本对应的样本,这一过程将耗费大量精力,时间成本过高。
技术实现思路
为了解决现有技术中无法实现自动化的病毒变种识别和无法自动进行病毒分析的技术问题,本专利技术实施例提供一种病毒分析方法、装置、设备及介质。一方面,本专利技术提供了一种病毒分析方法,所述方法包括:获取病毒家族集,所述病毒家族集中包括至少一个病毒家族;对每个病毒家族构建对应的家族模型,以得到所述病毒家族集 ...
【技术保护点】
1.一种病毒分析方法,其特征在于,所述方法包括:/n获取病毒家族集,所述病毒家族集中包括至少一个病毒家族;/n对每个病毒家族构建对应的家族模型,以得到所述病毒家族集对应的家族模型集;/n获取新增病毒,根据所述新增病毒获取目标病毒家族;/n从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型;/n获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系,根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型;/n根据所述第二病毒家族模型生成所述新增病毒的分析结果。/n
【技术特征摘要】
1.一种病毒分析方法,其特征在于,所述方法包括:
获取病毒家族集,所述病毒家族集中包括至少一个病毒家族;
对每个病毒家族构建对应的家族模型,以得到所述病毒家族集对应的家族模型集;
获取新增病毒,根据所述新增病毒获取目标病毒家族;
从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型;
获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系,根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型;
根据所述第二病毒家族模型生成所述新增病毒的分析结果。
2.根据权利要求1所述的方法,其特征在于,所述对每个病毒家族构建对应的家族模型,包括:
获取所述病毒家族的各个家族成员之间的逻辑关系,所述家族成员包括病毒文件和关联域;
根据各个家族成员之间的逻辑关系构建病毒家族有向图;
遍历所述病毒家族有向图以得到至少一个待合并目标集,所述待合并目标集中的元素均具备相同的拓扑;
对于每个待合并目标集中的各个元素进行聚类,根据聚类结果进行合并以得到病毒家族有向图对应的病毒家族模型。
3.根据权利要求2所述的方法,其特征在于:所述对于每个待合并目标集中的各个元素进行聚类,并根据聚类结果进行合并以得到病毒家族有向图对应的病毒家族模型,包括;
判断各个待合并目标集中的各个元素之间是否相似,根据判断结果进行聚类以得到聚类结果;
将聚类结果中被聚为一类的元素合并为综合节点,以得到病毒家族有向图对应的病毒家族模型拓扑;
对各个综合节点中包括的家族成员按照其生成顺序进行排序,以得到病毒家族模型。
4.根据权利要求3所述的方法,其特征在于,所述判断各个待合并目标集中的各个元素之间是否相似,根据判断结果进行聚类以得到聚类结果,包括:
若所述元素只包括一个节点并且所述节点为病毒文件,则判断各个元素之间是否相似,通过比较病毒文件的文本的相似程度和/或比较病毒文件所执行的功能的相似程度而得到判断结果;
若所述元素只包括一个节点并且所述节点为关联域,则判断各个元素之间是否相似,通过比较关联域的位置相似程度和/或关联域所指向的设备的功能的相似程度而得到判断结果。
5.根据权利要求3所述的方法,其特征在于,所述判断各个待合并目标集中的各个元素之间是否相似,根据判断结果进行聚类以得到聚类结果,包括:
根据第一元素和所述元素构建待比较节点对集,所述待比较节点对集中的每个待比较节点对均包括第一元素中的一个节点和第二元素中的一个节点,每个待比较节点对中的元素在所述...
【专利技术属性】
技术研发人员:谭昱,彭宁,沈江波,曹有理,齐文杰,刘涛,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。