用于检测感染型病毒的方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机领域,尤其涉及一种用于检测感染型病毒的方法及装置。
【背景技术】
[0002]感染型病毒是病毒中变种最多的一种类型的病毒。现有技术中,针对感染型病毒大多采用人工分析匹配或人工启动规则等方式来检测。由于感染型病毒会在传播自身的病毒代码的过程中,不断的变化着病毒本身的代码形式和执行逻辑,因此,需要人工不断添加更多的特征或规则以达到提高感染型病毒的检出率的目的,这就需要投入大量的人力资源,来手工处理这种不断变化的感染型病毒。该人工分析匹配或人工启动规则的方式不但存在人力成本高的问题,而且病毒检测速度难以保证,也很难及时准确的发现未知的感染型病毒。
【发明内容】
[0003]本发明解决的技术问题之一是提供用于检测感染型病毒的方法及装置,在降低人力成本的同时,快速准确的检测出感染型病毒。
[0004]根据本发明一方面的一个实施例,提供了一种用于检测感染型病毒的方法,包括:
[0005]提取待检测文件的特征向量;所述特征向量包括:易被感染型病毒感染的结构性特征;
[0006]利用基于所述特征向量进行机器学习得到的感染型病毒识别模型依据所述特征向量检测所述待检测文件是否为感染型病毒文件。
[0007]可选地,所述结构性特征包括以下至少一个:
[0008]入口点所在节、可执行节的个数、可执行节的名称、入口点所在节的熵值、入口点所在节内位置。
[0009]可选地,所述特征向量还包括:
[0010]入口点的代码的指令频率。
[0011]可选地,提取待检测文件的特征向量包括:
[0012]采用深度优先原则从入口点开始遍历指定深度的函数,直到所遍历的函数所包含的指令数量达到规定数量为止;
[0013]统计所遍历的函数所包含的所有指令的出现频率,得到入口点的代码的指令频率。
[0014]可选地,所述特征向量还包括:
[0015]A 口点的立即数的熵值的分布频率。
[0016]可选地,提取待检测文件的特征向量包括:
[0017]采用深度优先原则从入口点开始遍历指定深度的函数,直到所遍历的函数所包含的指令数量达到规定数量为止;
[0018]统计所遍历的函数所包含的所有指令的立即数;
[0019]计算所述立即数的熵值;
[0020]统计所述立即数的熵值的分布频率,得到入口点的立即数的熵值的分布频率。
[0021 ] 可选地,所述熵值包括:
[0022]二进制熵值、十进制熵值和十六进制熵值。
[0023]根据本发明另一方面的一个实施例,提供了一种用于检测感染型病毒的装置,包括:
[0024]用于提取待检测文件的特征向量的单元;所述特征向量包括:易被感染型病毒感染的结构性特征;
[0025]用于利用基于所述特征向量进行机器学习得到的感染型病毒识别模型依据所述特征向量检测所述待检测文件是否为感染型病毒文件的单元。
[0026]可选地,所述结构性特征包括以下至少一个:
[0027]入口点所在节、可执行节的个数、可执行节的名称、入口点所在节的熵值、入口点所在节内位置。
[0028]可选地,所述特征向量还包括:
[0029]A 口点的代码的指令频率。
[0030]可选地,用于提取待检测文件的特征向量的单元包括:
[0031]用于采用深度优先原则从入口点开始遍历指定深度的函数,直到所遍历的函数所包含的指令数量达到规定数量为止的子单元;
[0032]用于统计所遍历的函数所包含的所有指令的出现频率,得到入口点的代码的指令频率的子单元。
[0033]可选地,所述特征向量还包括:
[0034]A 口点的立即数的熵值的分布频率。
[0035]可选地,用于提取待检测文件的特征向量的单元包括:
[0036]用于采用深度优先原则从入口点开始遍历指定深度的函数,直到所遍历的函数所包含的指令数量达到规定数量为止的子单元;
[0037]用于统计所遍历的函数所包含的所有指令的立即数的子单元;
[0038]用于计算所述立即数的熵值的子单元;
[0039]用于统计所述立即数的熵值的分布频率,得到入口点的立即数的熵值的分布频率的子单元。
[0040]可选地,所述熵值包括:
[0041]二进制熵值、十进制熵值和十六进制熵值。
[0042]本申请实施例通过提取待检测文件的特征向量,所述特征向量包括易被感染型病毒感染的结构性特征,利用基于所述特征向量进行机器学习得到的感染型病毒识别模型,依据所述特征向量检测所述待检测文件是否为感染型病毒文件。其克服了人工分析识别和人工启动规则人工成本高的问题,且该基于感染型病毒识别模型的感染型病毒检测方法大大提高了检测速度,并可有效检测出未知感染型病毒。
[0043]本领域普通技术人员将了解,虽然下面的详细说明将参考图示实施例、附图进行,但本发明并不仅限于这些实施例。而是,本发明的范围是广泛的,且意在仅通过后附的权利要求限定本发明的范围。
【附图说明】
[0044]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0045]图1是根据本发明一个实施例的用于检测感染型病毒的方法的流程图。
[0046]图2是根据本发明另一个实施例的感染型病毒识别模型训练方法的流程图。
[0047]图3是根据本发明另一个实施例的用于检测感染型病毒的方法的流程图。
[0048]图4是根据本发明另一个实施例的感染型病毒识别模型训练方法的流程图。
[0049]图5是根据本发明一个实施例的采用深度优先原则遍历入口点指令示意图。
[0050]图6是根据本发明一个实施例的入口点的代码的指令频率分布曲线图。
[0051]图7是根据本发明一个实施例的未被病毒感染文件的入口点的立即数的熵值的分布频率与被感染型病毒感染文件的入口点的立即数的熵值的分布频率对比示意图。
[0052]图8是根据本发明一个实施例的用于检测感染型病毒的装置的结构示意图。
[0053]图9是根据本发明一个实施例的特征向量提取单元的结构示意图。
[0054]图10是根据本发明另一个实施例的特征向量提取单元的结构示意图。
[0055]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0056]感染型病毒是将自身加入在其它的程序或动态库文件(DLL的一种)中,从而实现随被感染程序同步运行的功能,进而对感染电脑进行破坏和自身传播。感染型病毒由于其自身的特性,需要附加到其他宿主程序上进行运行,并且为了躲避杀毒软件的查杀,通常感染型病毒都会将自身分割、变形或加密后,再将自身的一部分或者全部附加到宿主程序上。一旦一个病毒文件执行,它很有可能就将系统中的绝大多数程序文件都加入病毒代码,进而传播给其它的电脑,因此,人工识别的方法很难快速准确的识别出感染型病毒,且较难发现未知的感染型病毒。本申请实施例针对感染型病毒提出一种检测方法,该方法是基于训练出的感染型病毒识别模型来检测感染型病毒。
[0057]下面结合附图对本发明作进一步详细描述。
[0058]图1是根据本发明一个实施例的用于检测感染型病毒的方法的流程图。本发明中的方法主要通过计算机设备中的操作系统或处理控制器来完成。将操作系统或处理控制器称为用于检测感染型病毒的装置。该计算机设备包括但不限于以下中的至少一个:用户设备、网络设备。用户设备包括但不限于计算机、智能手机、PDA等。网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算的由大量计算机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。
[0059]如图1中所示,该用于检测感染型病毒的方法主要包括如下步骤:
[0060]S100、提取待检测文件的特征向量;所述特征向量包括:易被感染型病毒感染的结构性特征;
[0061]S110、利用基于所述特征向量进行机器学习得到的感染型病毒识别模型依据所述特征向量检测所述待检测