【技术实现步骤摘要】
一种病毒识别方法、装置、设备及可读存储介质
[0001]本申请涉及计算机
,特别涉及一种病毒识别方法、装置、设备及可读存储介质。
技术介绍
[0002]在现有技术中,一般通过动态行为分析和静态特征分析来识别病毒。其中,动态行为分析需要用沙箱工具执行病毒文件,通过分析病毒的动态特征来识别病毒,这种方法需要将病毒运行一段时间来看它执行了哪些操作,检测速度较慢。静态特征分析需要预先准备大量有标签的病毒文件,但目前有标签的病毒文件数量有限,难以完成机器学习模型的训练,且机器学习模型都是黑盒模型,误报率难以控制。
[0003]因此,如何提高病毒识别效率和准确率,是本领域技术人员需要解决的问题。
技术实现思路
[0004]有鉴于此,本申请的目的在于提供一种病毒识别方法、装置、设备及可读存储介质,以提高病毒识别效率和准确率。其具体方案如下:
[0005]第一方面,本申请提供了一种病毒识别方法,包括:
[0006]利用病毒检测工具对各个无标签病毒文件进行检测,确定各个无标签病毒文件所属的病毒家族...
【技术保护点】
【技术特征摘要】
1.一种病毒识别方法,其特征在于,包括:利用病毒检测工具对各个无标签病毒文件进行检测,确定各个无标签病毒文件所属的病毒家族;针对每个病毒家族,利用聚类算法对当前病毒家族包括的所有病毒文件进行分类,获得当前病毒家族对应的多个病毒变种;提取各个病毒变种中的所有病毒文件共有的病毒特征,并根据所述病毒特征生成各个病毒变种对应的病毒识别规则;利用各个病毒识别规则识别并标记待识别的病毒文件。2.根据权利要求1所述的病毒识别方法,其特征在于,所述聚类算法对当前病毒家族包括的所有病毒文件进行分类,包括:将当前病毒家族包括的各个病毒文件分别转化为文件特征图;利用所述聚类算法对各个文件特征图进行分类,获得当前病毒家族对应的多个病毒变种。3.根据权利要求2所述的病毒识别方法,其特征在于,所述将当前病毒家族包括的各个病毒文件分别转化为文件特征图,包括:针对当前病毒家族包括的每个病毒文件,根据当前病毒文件的字节信息、熵信息和结构信息分别生成字节子图、熵子图和结构子图;将所述字节子图、熵子图和结构子图依次水平拼接为所述文件特征图。4.根据权利要求3所述的病毒识别方法,其特征在于,所述根据当前病毒文件的字节信息、熵信息和结构信息分别生成字节子图、熵子图和结构子图,包括:将当前病毒文件转化为整型数组,并根据当前病毒文件的大小确定子图宽度;将所述整型数组包括的每个整型数映射为像素值,获得字节像素序列,并将所述字节像素序列按照所述子图宽度重构为所述字节子图;按照预设的滑动窗口计算所述整型数组对应的多个熵值,将各个熵值映射为像素值,获得熵像素序列,并将所述熵像素序列按照所述子图宽度重构为所述熵子图;将当前病毒文件...
【专利技术属性】
技术研发人员:刘彦南,赖雅斌,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。