【技术实现步骤摘要】
基于可视和非可视数据的威胁检测方法、装置及存储设备
本专利技术实施例涉及病毒检测领域,尤其涉及一种基于可视和非可视数据的威胁检测方法、装置及存储设备。
技术介绍
如今计算机越来越普及,帮助人们完成日常办公,同时也丰富了人们的娱乐生活。在每台计算机上都运行着各种软件,帮助人们实现不同的处理要求。随着网络的普及,每台计算机都连接到网络,形成了庞大复杂的网络体系,因此无论是个人还是公司都会通过网络进行各式各样的数据交换。但是由于各种设备都可以连接到网络环境中,势必会使网络环境变得不安全。一些具有恶意行为的设备可以通过互联网连接到个人主机,并获取一些隐秘信息或直接操控该个人主机。传统的病毒检测方法依赖于病毒库或特征值匹配,但是这种检测方法只能检测出已知病毒,对未知病毒并不有效。而病毒经常也会伪造自己,使用户感觉恶意程序就像以往授信的程序一样,例如病毒使用授信的应用程序图标作为自己文档的图标,仅仅通过观看图标,用户会认为这是一个正常的文本文件,但是这个文本文件却包含了后门程序,广告程序或者键盘记录文件等。因此目前迫切需要一种可以准确检...
【技术保护点】
1.一种基于可视和非可视数据的威胁检测方法,其特征在于:/n终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;/n将所述应用程序的唯一标识发送给服务器;/n服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;/n服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;/n所述信息库中包括:所有厂商的可视数据以及非可视数据信息。/n
【技术特征摘要】
1.一种基于可视和非可视数据的威胁检测方法,其特征在于:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;
将所述应用程序的唯一标识发送给服务器;
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;
服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;
所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
2.如权利要求1所述的方法,其特征在于,
所述可视数据为所述应用程序对应的图标;
所述非可视数据为所述应用程序的可移植的可执行文件结构,包括:位图、菜单、对话框、字符串、快捷键、图标组,版本以及厂商信息;
其中,厂商信息包括:厂商的厂商名、签名、时间戳、文件类型。
3.如权利要求2所述的方法,其特征在于,
将应用程序对应的图标和图标组转换成PNG格式。
4.如权利要求1所述的方法,其特征在于,服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件,具体为:
服务器接收所述应用程序的唯一标识;
利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度;
若可视数据相似度的熵值低于预定值,则所述应用程序为病毒文件;
若可视数据相似度的熵值不低于预定值,继续检测所述应用程序的非可视数据与信息库中该应用程序的非可视数据的相似度;
若非可视数据相似度低于预定值,则所述应用程序为病毒文件,否则,所述应用程序为可信文件。
5.如权利要求4所述的方法,其特征在于,利用图像识别检测所述应用程序的可视数据与信息库中该应用程序的可视数据的相似度,具体为:
对可视数据进行转换,包括:调整可视数据的尺寸、基于熵值的区域选择、将可视数据分割成不同属性的区域;
利用光谱还原减少图像噪声;
使用边缘检测算法进行相似度计算。
6.一种基于可视和非可视数据的威胁检测装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
终端提取应用程序的可视数据和非可视数据,形成所述应用程序的唯一标识;
将所述应用程序的唯一标识发送给服务器;
服务器接收所述应用程序的唯一标识,与信息库中该应用程序的标识信息进行相似度计算,判断终端上的所述应用程序是否为病毒文件;
服务器将所述应用程序是否为病毒文件的判断结果返回终端,若所述应用程序为病毒文件,则对该应用程序进行处置;
所述信息库中包括:所有厂商的可视数据以及非可视数据信息。
7.如权利要求6所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以...
【专利技术属性】
技术研发人员:付威,徐翰隆,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。