[发明专利]病毒检测方法、装置及设备

说明书

技术领域

本发明涉及计算机领域，尤其涉及一种病毒检测方法、装置及设备。

背景技术

随着互联网技术的发展，病毒的种类及数量都在不断则增长，其中木马病毒由于其独有的危害性，导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，从而导致木马病毒泛滥成灾。

传统的针对木马病毒的查杀方法多为采用人工分析匹配或人工启动规则等方式来检测。该人工分析匹配或人工启动规则的方式至少存在如下弊端：

人力成本较高，且对分析人员的专业技能要求较高；

另外，病毒检测速度难以保证，因此，检测效率较低；

同时，也很难及时准确的发现未知的病毒。

发明内容

本发明解决的技术问题之一是提供一种病毒检测方法、装置及设备，降低人力成本的同时，提高病毒检测的效率及准确性。

根据本发明一方面的一个实施例，提供了一种病毒检测方法，包括：

识别待检测文件的文件格式，从而确定所述待检测文件所属类别；

提取所述待检测文件的与所述类别对应的特征向量；

将所述特征向量输入到对应类别的病毒检测模型中，来检测所述待检测文件是否为病毒文件。

可选地，确定所述待检测文件所属类别包括：

确定所述待检测文件所属类别为指定类别中任一种；或

所述待检测文件非指定类别中任一种，则确定所述待检测文件为其他类别。

可选地，所述指定类别包括以下至少一种：

自解压缩包类别、安装包类别、编译器类别、壳类别。

可选地，与所述自解压缩包类别对应的特征向量包括以下至少一项：

目录结构特征、文件的校验和特征、文件数据内容特征、压缩算法特征、执行脚本特征。

可选地，与所述安装包类别对应的特征向量包括以下至少一项：

目录结构特征、安装脚本特征、安装程序版本特征、安装文件校验和特征、安装插件特征、文件数据特征、按照界面图像特征。

可选地，与所述编译器类别对应的特征向量包括以下至少一项：

函数特征、类特征、变量特征、引用关系特征、字符串特征、数据块特征、逻辑特征、数据内容特征。

可选地，与所述壳类别对应的特征向量包括以下至少一项：

外壳程序特征、内部程序特征、压缩或加密特征。

可选地，与所述其他类别对应的特征向量包括以下至少一项：

程序结构特征、导入导出数据特征、文本字符串特征、数值特征、入口及函数特征、版本信息特征、图标图像特征。

可选地，所述对应类别的病毒检测模型为：

利用所述类别对应的特征向量基于机器学习算法训练得到的病毒检测模型。

根据本发明另一方面的一个实施例，提供了一种病毒检测装置，包括：

用于识别待检测文件的文件格式，从而确定所述待检测文件所属类别的单元；

用于提取所述待检测文件的与所述类别对应的特征向量的单元；

用于将所述特征向量输入到对应类别的病毒检测模型中，来检测所述待检测文件是否为病毒文件的单元。

可选地，所述待检测文件所属类别包括：

指定类别中任一种；或指定类别外的其他类别。

可选地，所述指定类别包括以下至少一种：

自解压缩包类别、安装包类别、编译器类别、壳类别。

可选地，与所述自解压缩包类别对应的特征向量包括以下至少一项：

目录结构特征、文件的校验和特征、文件数据内容特征、压缩算法特征、执行脚本特征。

可选地，与所述安装包类别对应的特征向量包括以下至少一项：

目录结构特征、安装脚本特征、安装程序版本特征、安装文件校验和特征、安装插件特征、文件数据特征、按照界面图像特征。

可选地，与所述编译器类别对应的特征向量包括以下至少一项：

函数特征、类特征、变量特征、引用关系特征、字符串特征、数据块特征、逻辑特征、数据内容特征。

可选地，与所述壳类别对应的特征向量包括以下至少一项：

外壳程序特征、内部程序特征、压缩或加密特征。

可选地，与所述其他类别对应的特征向量包括以下至少一项：

程序结构特征、导入导出数据特征、文本字符串特征、数值特征、入口及函数特征、版本信息特征、图标图像特征。

可选地，所述对应类别的病毒检测模型为：