一种病毒检测方法、装置和介质制造方法及图纸

本发明专利技术公开了一种病毒检测方法、装置和介质。所述方法包括：获取包含父子文件的可疑文件，所述可疑文件中的父文件为白文件，所述可疑文件中的子文件的文件属性为灰或者未知；确定所述父文件的第一基础静态特征以及所述子文件的第二基础静态特征；基于样本文件集、所述第一基础静态特征和所述第二基础静态特征，生成所述可疑文件对应的第一分布特征；以所述第一基础静态特征、所述第二基础静态特征和所述第一分布特征为输入，利用白利用病毒的病毒检测模型输出所述可疑文件的病毒检测结果；所述病毒检测模型是基于所述样本文件集中已标注的样本文件对应的特征进行机器学习训练确定的。本发明专利技术可以提高病毒检测的准确性和适应性。

The invention relates to a virus detection method, device and medium

【技术实现步骤摘要】
一种病毒检测方法、装置和介质
本专利技术涉及互联网通信
，尤其涉及一种病毒检测方法、装置和介质。
技术介绍
随着通信技术的不断发展，互联网已经融入了生活的方方面面。然而，网络黑产作为互联网发展的衍生物也变得无孔不入，日益严峻地威胁着网络安全。网络黑产中将病毒伪装为安全无害的父文件所对应的子文件，随着父文件的启动，恶意的子文件也被加载或执行。实为病毒的子文件能够破坏计算机功能或者破坏数据，可以影响计算机使用并且能够自我复制。我们将这类基于白利用技术（也叫白加黑利用技术）得到的父子文件合称为白利用病毒。相关技术中，检测白利用病毒主要通过样本鉴定和主动防御的方式。样本鉴定的方式基于子文件的静态特征或者动态特征，容易被病毒绕过。主动防御的方式大部分是基于进程检测，并不能有效较好的覆盖更细分类下的病毒。因此，需要提供对白利用病毒更有效的检测方案。
技术实现思路
为了解决现有技术应用在对白利用病毒进行检测时准确性低等问题，本专利技术提供了一种病毒检测方法、装置和介质：一方面，本专利技术提供了一种病毒检测方法，所述方法包括：本文档来自技高网...

【技术保护点】
1.一种病毒检测方法，其特征在于，所述方法包括：/n获取包含父子文件的可疑文件，所述可疑文件中的父文件为白文件，所述可疑文件中的子文件的文件属性为灰或者未知；/n确定所述父文件的第一基础静态特征以及所述子文件的第二基础静态特征；/n基于样本文件集、所述第一基础静态特征和所述第二基础静态特征生成所述可疑文件对应的第一分布特征；/n以所述第一基础静态特征、所述第二基础静态特征和所述第一分布特征为输入，利用白利用病毒的病毒检测模型输出所述可疑文件的病毒检测结果；/n其中，所述病毒检测模型是基于所述样本文件集中已标注的样本文件对应的特征进行机器学习训练确定的。/n

【技术特征摘要】
1.一种病毒检测方法，其特征在于，所述方法包括：
获取包含父子文件的可疑文件，所述可疑文件中的父文件为白文件，所述可疑文件中的子文件的文件属性为灰或者未知；
确定所述父文件的第一基础静态特征以及所述子文件的第二基础静态特征；
基于样本文件集、所述第一基础静态特征和所述第二基础静态特征生成所述可疑文件对应的第一分布特征；
以所述第一基础静态特征、所述第二基础静态特征和所述第一分布特征为输入，利用白利用病毒的病毒检测模型输出所述可疑文件的病毒检测结果；
其中，所述病毒检测模型是基于所述样本文件集中已标注的样本文件对应的特征进行机器学习训练确定的。


2.根据权利要求1所述的方法，其特征在于，所述基于样本文件集、所述第一基础静态特征和所述第二基础静态特征计算所述可疑文件对应的第一分布特征之后，所述方法还包括：
获取所述样本文件集中每个所述样本文件对应的对象标识，得到对象标识集；
获取所述可疑文件对应的目标对象标识；
基于所述目标对象标识和所述对象标识集确定所述可疑文件对应的第二分布特征；
相应的，以所述第一基础静态特征、所述第二基础静态特征和所述第一分布特征为输入，利用白利用病毒的病毒检测模型输出所述可疑文件的病毒检测结果，包括：
以所述第一基础静态特征、所述第二基础静态特征、所述第一分布特征和所述第二分布特征为输入，利用所述病毒检测模型输出所述可疑文件的病毒检测结果。


3.根据权利要求1所述的方法，其特征在于，所述病毒检测模型的训练过程包括如下步骤：
获取所述样本文件集，以及将所述样本文件集划分为正负样本文件集和可疑样本文件集，所述正负样本文件集中的正样本文件携带的病毒标注指示白利用病毒；
基于所述正负样本文件集对应的特征，使用预设机器学习模型进行病毒检测训练，在训练中调整所述预设机器学习模型的模型参数至所述预设机器学习模型输出的病毒检测结果与输入的样本文件所携带的病毒标注相匹配；
将调整后的模型参数所对应的预设机器学习模型作为候选模型；
以所述可疑样本文件集对应的特征为输入，利用所述候选模型输出每个可疑样本文件的病毒检测结果；
基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注；
基于携带有病毒标注的可疑样本文件，使用所述候选模型进行病毒检测训练，在训练中调整所述候选模型的模型参数至所述候选模型输出的病毒检测结果与输入的样本文件所携带的病毒标注相匹配；
将调整后的模型参数所对应的候选模型作为所述病毒检测模型。


4.根据权利要求3所述的方法，其特征在于，所述基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注，包括：
当所述可疑样本文件的病毒检测结果指示所述可疑样本文件是白利用病毒时，基于所述预设判定规则获取所述可疑样本文件对应的分布特征；
当所述可疑样本文件对应的分布特征符合预设要求时，为所述可疑样本文件添加负样本文件携带的病毒标注。


5.根据权利要求3所述的方法，其特征在于，所述基于所述可疑样本文件的病毒检测结果...

【专利技术属性】
技术研发人员：刘敏，齐文杰，魏向前，程虎，沈江波，彭宁，曹有理，谭昱，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44