一种病毒分析方法、装置、设备及介质制造方法及图纸

本发明专利技术公开了一种病毒分析方法、装置、设备及介质，所述方法包括获取病毒家族集，所述病毒家族集中包括至少一个病毒家族；对每个病毒家族构建对应的家族模型，以得到所述病毒家族集对应的家族模型集；获取新增病毒，根据所述新增病毒获取目标病毒家族；从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型；获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系，根据所述逻辑关系将所述新增病毒添加至第一病毒家族模型以得到第二病毒家族模型；根据第二病毒家族模型生成新增病毒的分析结果。本发明专利技术当发现新增病毒时，可快速定位新增病毒在病毒家族模型中的位置，进而对新增病毒的类型和其相关的病毒版本实现自动分析。

A virus analysis method, device, equipment and medium

The invention discloses a virus analysis method, device, device and medium, the method comprises acquiring a virus family set, the virus family set comprises at least one virus family, constructing a corresponding family model for each virus family to obtain a family model set corresponding to the virus family set, acquiring a new virus and acquiring a target virus family according to the new virus ; extract the first virus family model corresponding to the target virus family from the family model set; obtain the logical relationship between the new virus and each family member in the target virus family, add the new virus to the first virus family model according to the logical relationship to obtain the second virus family model; generate the new virus family model according to the second virus family model Virus analysis results. When a new virus is found, the invention can quickly locate the position of the new virus in the virus family model, and then automatically analyze the type of the new virus and its related virus version.

【技术实现步骤摘要】
一种病毒分析方法、装置、设备及介质
本专利技术涉及安全领域，尤其涉及一种病毒分析方法、装置、设备及介质。
技术介绍
近年来，制作病毒文件的作案人员呈现团伙化趋势，而病毒的发展也呈现家族式特点，相同病毒家族中的病毒文件通常具备相似的内容、功能或行为。现有技术中，为了及时发现病毒家族的新变种，需要高度依赖安全分析人员基于病毒文件之间的关联关系，文件相似度等内容，找到和相关病毒家族中某个病毒文件所关联的新变种并定位新变种之前的版本，并将该新变种进行分析处理，形成预警并将所述预警推送给相关人员进行处理。现有技术中通过安全分析人员进行人工分析的方式发现新变种，存在下述显著不足：对于安全分析人员的依赖度过高，并且要求安全分析人员具备对相关病毒家族的分析经验，这样才能快速确认新变种以及定位新变种之前的版本，这对于安全分析人员要求较高，耗费了人力资源；而同一个病毒家族可能存在多个成员，在每次发现疑似新变种并分析时，安全分析人员需要将疑似新变种和多个病毒家族的成员进行一一对比，才能确认新变种，并找到新变种的前一个版本对应的样本，这一过程将耗费大量精力，时间成本过高。
技术实现思路
为了解决现有技术中无法实现自动化的病毒变种识别和无法自动进行病毒分析的技术问题，本专利技术实施例提供一种病毒分析方法、装置、设备及介质。一方面，本专利技术提供了一种病毒分析方法，所述方法包括：获取病毒家族集，所述病毒家族集中包括至少一个病毒家族；对每个病毒家族构建对应的家族模型，以得到所述病毒家族集对应的家族模型集；获取新增病毒，根据所述新增病毒获取目标病毒家族；从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型；获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系，根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型；根据所述第二病毒家族模型生成所述新增病毒的分析结果。另一方面，本专利技术提供了一种病毒分析装置，所述装置包括：病毒家族集获取模块，用于获取病毒家族集，所述病毒家族集中包括至少一个病毒家族；家族模型构建模块，用于对每个病毒家族构建对应的家族模型，以得到所述病毒家族集对应的家族模型集；病毒分析参数获取模块，用于获取新增病毒，根据所述新增病毒获取目标病毒家族；第一病毒家族模型获取模块，用于从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型；模型重构模块，用于获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系，根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型；分析模块，用于根据所述第二病毒家族模型生成所述新增病毒的分析结果。另一方面，本专利技术提供了一种设备，其特征在于，所述设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现一种病毒分析方法。另一方面，本专利技术提供了一种计算机存储介质，其特征在于，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、至少一段程序、代码集或指令集由处理器加载并执行一种病毒分析方法。本专利技术提供了一种病毒分析方法、装置、设备及介质。本专利技术通过对病毒家族的成员进行建模，生成能够表征病毒家族的关系网络的病毒家族模型。当发现新增病毒的时候，可通过分析新增病毒与病毒家族各个家族成员之间的关系，快速定位新增病毒在病毒家族模型中的位置，进而对新增病毒的类型和其相关的病毒版本实现自动分析。进一步地，还可以根据自动分析的结果，对新增病毒和其相关的病毒进行自动化分析，确认其变化范畴，并基于变化程度，提供不同程度的预警。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案和优点，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。图1是本专利技术提供的一种病毒分析方法的一种实施场景图；图2是本专利技术提供的一种病毒分析方法流程图；图3是本专利技术提供的对每个病毒家族构建对应的家族模型流程图；图4是本专利技术提供的病毒家族有向图示意图；图5是本专利技术提供的另一病毒家族有向图示意图；图6是本专利技术提供的对于每个待合并目标集中的各个元素进行聚类，并根据聚类结果进行合并以得到病毒家族有向图对应的病毒家族模型流程图；图7是本专利技术提供的各个元素之间是否相似判定方法流程图；图8是本专利技术提供的病毒家族模型拓扑示意图；图9是本专利技术提供的另一病毒家族模型拓扑示例图；图10是本专利技术提供为病毒家族模型示意图；图11是本专利技术提供的第二病毒家族模型示意图；图12是本专利技术提供的另一第二病毒家族模型示意图；图13是本专利技术提供的本专利技术实施例中技术方案的逻辑示意图；图14是本专利技术提供的一种病毒分析装置框图；图15是本专利技术提供的一种用于实现本专利技术实施例所提供的方法的设备的硬件结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或服务器不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。为了使本专利技术实施例公开的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术实施例进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本专利技术实施例，并不用于限定本专利技术实施例。为了能够及时发现新增病毒，并发现新增病毒的相关其它病毒版本，实现自动化的病毒分析、预警。本专利技术实施例首先公开一种病毒分析方法的一种实施场景。参见图1，该实施场景包括：客户端01、业务服务器03、文件服务器05和病毒分析服务器07，所述业务服务器03和文件服务器05通信连接，所述业务服务器03通过与文件服务器05交互，对外提供业务服务，文件服务器05用于存储业务相关文件，所述文件服务器05中可运行有数据库系统。文件服务器05和病毒分析服务器07通信连本文档来自技高网...

【技术保护点】
1.一种病毒分析方法，其特征在于，所述方法包括：/n获取病毒家族集，所述病毒家族集中包括至少一个病毒家族；/n对每个病毒家族构建对应的家族模型，以得到所述病毒家族集对应的家族模型集；/n获取新增病毒，根据所述新增病毒获取目标病毒家族；/n从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型；/n获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系，根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型；/n根据所述第二病毒家族模型生成所述新增病毒的分析结果。/n

【技术特征摘要】
1.一种病毒分析方法，其特征在于，所述方法包括：
获取病毒家族集，所述病毒家族集中包括至少一个病毒家族；
对每个病毒家族构建对应的家族模型，以得到所述病毒家族集对应的家族模型集；
获取新增病毒，根据所述新增病毒获取目标病毒家族；
从所述家族模型集中提取所述目标病毒家族对应的第一病毒家族模型；
获取所述新增病毒与所述目标病毒家族中各个家族成员之间的逻辑关系，根据所述逻辑关系将所述新增病毒添加至所述第一病毒家族模型以得到第二病毒家族模型；
根据所述第二病毒家族模型生成所述新增病毒的分析结果。


2.根据权利要求1所述的方法，其特征在于，所述对每个病毒家族构建对应的家族模型，包括：
获取所述病毒家族的各个家族成员之间的逻辑关系，所述家族成员包括病毒文件和关联域；
根据各个家族成员之间的逻辑关系构建病毒家族有向图；
遍历所述病毒家族有向图以得到至少一个待合并目标集，所述待合并目标集中的元素均具备相同的拓扑；
对于每个待合并目标集中的各个元素进行聚类，根据聚类结果进行合并以得到病毒家族有向图对应的病毒家族模型。


3.根据权利要求2所述的方法，其特征在于：所述对于每个待合并目标集中的各个元素进行聚类，并根据聚类结果进行合并以得到病毒家族有向图对应的病毒家族模型，包括；
判断各个待合并目标集中的各个元素之间是否相似，根据判断结果进行聚类以得到聚类结果；
将聚类结果中被聚为一类的元素合并为综合节点，以得到病毒家族有向图对应的病毒家族模型拓扑；
对各个综合节点中包括的家族成员按照其生成顺序进行排序，以得到病毒家族模型。


4.根据权利要求3所述的方法，其特征在于，所述判断各个待合并目标集中的各个元素之间是否相似，根据判断结果进行聚类以得到聚类结果，包括：
若所述元素只包括一个节点并且所述节点为病毒文件，则判断各个元素之间是否相似，通过比较病毒文件的文本的相似程度和/或比较病毒文件所执行的功能的相似程度而得到判断结果；
若所述元素只包括一个节点并且所述节点为关联域，则判断各个元素之间是否相似，通过比较关联域的位置相似程度和/或关联域所指向的设备的功能的相似程度而得到判断结果。


5.根据权利要求3所述的方法，其特征在于，所述判断各个待合并目标集中的各个元素之间是否相似，根据判断结果进行聚类以得到聚类结果，包括：
根据第一元素和所述元素构建待比较节点对集，所述待比较节点对集中的每个待比较节点对均包括第一元素中的一个节点和第二元素中的一个节点，每个待比较节点对中的元素在所述...

【专利技术属性】
技术研发人员：谭昱，彭宁，沈江波，曹有理，齐文杰，刘涛，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44