本申请提供一种病毒识别方法及装置,其中,病毒识别方法包括:利用蜜罐技术引诱攻击者利用病毒进行攻击,并获取攻击者的攻击行为日志;根据攻击行为日志提取病毒的特征信息;将特征信息输入至病毒识别模型,识别病毒类型。因此,可以通过蜜罐技术引诱攻击者利用病毒进行攻击,以对攻击者的攻击行为进行检测,从而可以更加具有针对性和准确性地获取攻击者利用病毒进行攻击的攻击行为日志。然后,可以从上述攻击行为日志中提取多维度的多特征输入至病毒识别模型,从而可以降低正常数据的误判率,提高病毒识别的准确度。
A method and device of virus recognition
【技术实现步骤摘要】
一种病毒识别方法及装置
本申请涉及数据处理领域,具体而言,涉及一种病毒识别方法及装置。
技术介绍
勒索病毒是近年来比较流行的一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。传统针对勒索病毒的识别方式,通常是过病毒某一类特征(比如调用文件加密库)来识别。但是,采用这种方式进行识别的准确度较低,当存在新型病毒时,会无法识别,从而导致被病毒攻击的后果。
技术实现思路
本申请实施例的目的在于提供一种病毒识别方法及装置,用以解决病毒识别准确度较低的技术问题。为了实现上述目的,本申请实施例所提供的技术方案如下所示:第一方面,本申请实施例提供一种病毒识别方法,包括:利用蜜罐技术引诱攻击者利用病毒进行攻击,并获取所述攻击者的攻击行为日志;根据所述攻击行为日志提取所述病毒的特征信息;将所述特征信息输入至病毒识别模型,识别所述病毒的类型。因此,可以通过蜜罐技术引诱攻击者利用病毒进行攻击,以对攻击者的攻击行为进行检测,从而可以更加具有针对性和准确性地获取攻击者利用病毒进行攻击的攻击行为日志。然后,可以从上述攻击行为日志中提取多维度的多特征输入至病毒识别模型,从而可以降低正常数据的误判率,提高病毒识别的准确度。在本申请的可选实施例中,在将所述特征信息输入至病毒识别模型,识别所述病毒类型之后,所述病毒识别方法还包括:根据所述病毒类型确定应对策略。因此,在确定病毒的类型之后,可以有针对性的确定应对策略,以防止该病毒造成进一步的威胁。在本申请的可选实施例中,在所述将所述特征信息输入至病毒识别模型之前,所述病毒识别方法还包括:获取用于训练所述病毒识别模型的训练样本;根据所述训练样本确定所述病毒识别模型。因此,可以首先获取大量的训练样本,以对病毒识别模型进行训练,增加该病毒识别模型可以识别的病毒特征,从而提高对于病毒识别的准确度。在本申请的可选实施例中,所述病毒识别模型为C4.5决策树模型;所述根据所述训练样本确定所述病毒识别模型,包括:根据所述训练样本构建所述C4.5决策树模型。因此,可以采用C4.5决策树模型作为病毒识别模型,从而使得对病毒的识别过程有更高的智能型、稳定性以及精确性,从而提高对于病毒识别的准确度。在本申请的可选实施例中,所述根据所述训练样本构建所述C4.5决策树模型,包括:确定所述训练样本中的病毒特征信息集,其中,所述病毒特征信息集携带有对应的病毒类型标签;确定所述病毒特征信息集中每个特征的信息增益率;根据所述信息增益率最高的特征的特征值对数据进行划分,获得多个分支;去除所述信息增益率最高的特征,并在每个所述分支中重复根据所述信息增益率最高的特征的特征值对数据进行划分的步骤,直至所述分支不能再次划分,获得划分完成的C4.5决策树模型。在本申请的可选实施例中,在所述获得划分完成的C4.5决策树模型之后,所述病毒识别方法还包括:获取用于测试所述C4.5决策树模型的测试样本;根据所述测试样本,对所述划分完成的C4.5决策树模型进行后剪枝,获得构建完成的所述C4.5决策树模型。因此,可以利用测试样本对的C4.5决策树模型进行后剪枝,避免由于训练样本太庞大造成的C4.5决策树模型过度拟合的问题,从而进一步提高对于病毒识别的准确度。在本申请的可选实施例中,在将所述特征信息输入至病毒识别模型,识别所述病毒类型之后,所述病毒识别方法还包括:对所述病毒类型及对应的所述特征信息进行数据分析,获取出现次数大于预设阈值的公共特征;将所述公共特征回归输入所述病毒识别模型,以扩充所述病毒识别模型的特征库。因此,可以通过对病毒数据进行分析,统计分析得到病毒的公共行为以及公共特征,并利用分析得到的公共行为以及公共特征扩充病毒识别模型的特征库,以实现对病毒识别模型进行优化,从而可以有效的检测新型或者变种的病毒,进一步提高对于病毒识别的准确度。第二方面,本申请实施例提供一种病毒识别装置,包括:第一获取模块,用于利用蜜罐技术引诱攻击者利用病毒进行攻击,并获取所述攻击者的攻击行为日志;提取模块,用于根据所述攻击行为日志提取所述病毒的特征信息;识别模块,用于将所述特征信息输入至病毒识别模型,识别所述病毒的类型。因此,可以利用第一获取模块通过蜜罐技术引诱攻击者利用病毒进行攻击,以对攻击者的攻击行为进行检测,从而可以更加具有针对性和准确性地获取攻击者利用病毒进行攻击的攻击行为日志。然后,可以利用提取模块从上述攻击行为日志中提取多维度的多特征输入至病毒识别模型,从而可以降低正常数据的误判率,提高病毒识别的准确度。在本申请的可选实施例中,所述病毒识别装置还包括:第一确定模块,用于根据所述病毒类型确定应对策略。因此,在确定病毒的类型之后,可以利用第一确定模块有针对性的确定应对策略,以防止该病毒造成进一步的威胁。在本申请的可选实施例中,所述病毒识别装置还包括:第二获取模块,用于获取用于训练所述病毒识别模型的训练样本;第二确定模块,用于根据所述训练样本确定所述病毒识别模型。因此,可以首先利用第二获取模块获取大量的训练样本,以对病毒识别模型进行训练,增加该病毒识别模型可以识别的病毒特征,从而提高对于病毒识别的准确度。在本申请的可选实施例中,所述病毒识别模型为C4.5决策树模型;所述第二确定模块还用于:根据所述训练样本构建所述C4.5决策树模型。因此,可以采用C4.5决策树模型作为病毒识别模型,从而使得对病毒的识别过程有更高的智能型、稳定性以及精确性,从而提高对于病毒识别的准确度。在本申请的可选实施例中,所述第二确定模块还用于:确定所述训练样本中的病毒特征信息集,其中,所述病毒特征信息集携带有对应的病毒类型标签;确定所述病毒特征信息集中每个特征的信息增益率;根据所述信息增益率最高的特征的特征值对数据进行划分,获得多个分支;去除所述信息增益率最高的特征,并在每个所述分支中重复根据所述信息增益率最高的特征的特征值对数据进行划分的步骤,直至所述分支不能再次划分,获得划分完成的C4.5决策树模型。在本申请的可选实施例中,所述病毒识别装置还包括:第三获取模块,用于获取用于测试所述C4.5决策树模型的测试样本;剪枝模块,用于根据所述测试样本,对所述划分完成的C4.5决策树模型进行后剪枝,获得构建完成的所述C4.5决策树模型。因此,可以利用剪枝模块利用测试样本对的C4.5决策树模型进行后剪枝,避免由于训练样本太庞大造成的C4.5决策树模型过度拟合的问题,从而进一步提高对于病毒识别的准确度。在本申请的可选实施例中,所述病毒识别装置还包括:分析模块,用于对所述病毒类型及对应的所述特征信息进行数据分析,获取出现次数大于预设阈值的公共特征;优化模块,用于将所述公共特征回归输入所述病毒识别模型,以扩充所述病毒识别模型的特征库。因此,可以利用分析模块对病毒数据进行分析,统计分析得到病毒的公共行为以及公共特征,并利用优化模块利用分析得到的公共本文档来自技高网...
【技术保护点】
1.一种病毒识别方法,其特征在于,包括:/n利用蜜罐技术引诱攻击者利用病毒进行攻击,并获取所述攻击者的攻击行为日志;/n根据所述攻击行为日志提取所述病毒的特征信息;/n将所述特征信息输入至病毒识别模型,识别所述病毒的类型。/n
【技术特征摘要】
1.一种病毒识别方法,其特征在于,包括:
利用蜜罐技术引诱攻击者利用病毒进行攻击,并获取所述攻击者的攻击行为日志;
根据所述攻击行为日志提取所述病毒的特征信息;
将所述特征信息输入至病毒识别模型,识别所述病毒的类型。
2.根据权利要求1所述的病毒识别方法,其特征在于,在将所述特征信息输入至病毒识别模型,识别所述病毒类型之后,所述病毒识别方法还包括:
根据所述病毒类型确定应对策略。
3.根据权利要求1所述的病毒识别方法,其特征在于,在所述将所述特征信息输入至病毒识别模型之前,所述病毒识别方法还包括:
获取用于训练所述病毒识别模型的训练样本;
根据所述训练样本确定所述病毒识别模型。
4.根据权利要求3所述的病毒识别方法,其特征在于,所述病毒识别模型为C4.5决策树模型;
所述根据所述训练样本确定所述病毒识别模型,包括:
根据所述训练样本构建所述C4.5决策树模型。
5.根据权利要求4所述的病毒识别方法,其特征在于,所述根据所述训练样本构建所述C4.5决策树模型,包括:
确定所述训练样本中的病毒特征信息集,其中,所述病毒特征信息集携带有对应的病毒类型标签;
确定所述病毒特征信息集中每个特征的信息增益率;
根据所述信息增益率最高的特征的特征值对数据进行划分,获得多个分支;
去除所述信息增益率最高的特征,并在每个所述分支中重复根据所述信息增益率最高的特征的特征值对数据进行划分的步骤,直至所述分支不能再次划分,获得划分完成的C4.5决策树模型。
【专利技术属性】
技术研发人员:向吉,杨珩,
申请(专利权)人:成都知道创宇信息技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。