[发明专利]一种病毒程序检测方法、装置及检测服务器

权利要求书

1.一种病毒程序检测方法，其特征在于，包括：

调用应用程序模拟器，运行待检测程序；

记录所述待检测程序在运行过程中的行为日志；其中，所述行为日志至少包括：程序运行过程中触发的行为的标识和程序运行过程中的行为触发时间，其中，所述行为触发时间表示触发行为的标识对应的行为的时刻，与开始运行所述程序的时刻之间的时间；

将预设的参考集合中的行为的标识与所述行为日志中的行为的标识进行比对，判断所述参考集合中的行为的标识是否在所述行为日志中出现；其中，所述参考集合中至少包括预设的至少一个行为的标识，所述参考集合中的每个行为的标识分别对应一个向量元素，所述参考集合中所有的行为的标识对应的向量元素组成与所述参考集合对应的向量；

如果所述参考集合中的行为的标识在所述行为日志中出现，则判断所述参考集合中的所述行为的标识对应的行为触发时间，与所述行为日志中出现的所述行为的标识对应的行为触发时间之间的差值是否在预置的时间误差范围内；

如果所述参考集合中的所述行为的标识对应的行为触发时间，与所述行为日志中出现的所述行为的标识对应的行为触发时间之间的差值在预置的时间误差范围内，则将与所述参考集合对应的向量中的，与所述参考集合中的所述行为的标识对应的向量元素的值设置为第一数值，并将与所述参考集合对应的向量中的，未被设置为第一数值的向量元素的值设置为第二数值，得到所述待检测程序的行为特征向量；其中，所述行为特征是表示程序运行过程中触发的行为的特征；所述行为特征向量中的向量元素表征所述参考集合中的各个行为的标识是否在所述行为日志中出现；

分别统计所述行为特征向量中的每一个向量元素对应的行为的标识在所述行为日志中出现的次数，得到所述行为特征向量的附加特征向量，所述行为特征向量的附加特征向量中向量元素的顺序与所述行为特征向量中向量元素的顺序，均与所述参考集合中相应的行为的标识的顺序相一致；所述附加特征向量中的向量元素的值为所述行为特征向量中的向量元素对应的行为的标识在所述行为日志中出现的次数；

度量所述行为特征向量与预置的病毒行为特征向量库中的病毒行为特征向量的相似度；

根据两个附加特征向量的差向量与所述差向量所在坐标系原点的距离，与所述两个附加特征向量的和向量与所述和向量所在坐标系原点的距离，计算所述两个附加特征向量的差异值，并根据所述差异值得到所述两个附加特征向量的相似度；所述两个附加特征向量为所述行为特征向量的附加特征向量与预置的病毒行为特征向量库中的病毒行为特征向量的附加特征向量；

在所述行为特征向量与所述病毒行为特征向量库中的任意一个病毒行为特征向量的相似度超过预置的相似度阈值，以及所述行为特征向量的附加特征向量与所述病毒行为特征向量库中的病毒行为特征向量的附加特征向量的相似度超过预置的相似度阈值的情况下，确定所述待检测程序为病毒程序。

2.根据权利要求1所述的方法，其特征在于，所述度量所述行为特征向量与预置的病毒行为特征向量库中的病毒行为特征向量的相似度，包括：

统计所述行为特征向量与预置的病毒行为特征向量库中的病毒行为特征向量的相同位置的向量元素的值都为第一数值的向量元素数量，以及统计所述行为特征向量与所述病毒行为特征向量中的相同位置处的向量元素的值至少有一个为第一数值的向量元素总数；

计算所述相同位置的向量元素的值都为第一数值的向量元素数量，与所述相同位置处的向量元素的值至少有一个为第一数值的向量元素总数的比值，得到所述行为特征向量与所述病毒行为特征向量的相似度。

3.根据权利要求2所述的方法，其特征在于，所述度量所述行为特征向量与预置的病毒行为特征向量库中的病毒行为特征向量的相似度，包括：

如果所述行为特征向量的附加特征向量与所述病毒行为特征向量的附加特征向量的相似度大于预置的第一相似度阈值，则确定所述行为特征向量与所述病毒行为特征向量的相似度超过预置的相似度阈值。