[发明专利]恶意程序预警方法、装置、计算机设备及存储介质

说明书

本发明公开了一种恶意程序预警方法、装置、计算机设备及存储介质，属于计算机技术领域。方法包括：获取目标名称词组集合和关键词集合，目标名称词组集合包括至少两个恶意程序的名称词组，关键词集合包括至少两个热点事件的关键词；确定目标名称集合中任一恶意程序的名称词组与关键词集合中任一关键词之间的相似度；将相似度符合目标规则的恶意程序确定为目标恶意程序，输出目标恶意程序的预警信息。本发明通过获取当前时段热点事件的标题，对恶意程序样本库中新增的恶意程序的名称进行比对，确定出名称与热点事件的标题相匹配的恶意程序，提高了对利用热点事件进行传播的恶意程序的识别准确率。

技术领域

本发明涉及计算机技术领域，特别涉及一种恶意程序预警方法、装置、计算机设备及存储介质。

背景技术

恶意程序(例如木马病毒等)一直是威胁用户电脑及终端安全的一大隐患，不仅数量庞大，类型繁多，影响范围也极其广泛。目前，恶意程序借助热点事件进行传播呈现集中爆发趋势，而借助热点事件传播的恶意程序通常为广告、诈骗、盗取用户信息类恶意程序，比如，在高考时期前后，恶意程序伪装成“高考复习大全”、“高考成绩查询”等应用进行传播，以获取用户信息进行违法操作。而这种借助热点事件传播的恶意程序由于其传播量相对较小，常规检测恶意程序的方法很难检测到这种传播方式的恶意程序。

针对于上述这种借助热点事件传播的恶意程序，通常采用人工监控对其进行识别，当发现有热点事件发生时，将该热点事件的关键词加入到鉴定器中，当鉴定器识别出有恶意程序的名称与热点事件的关键词匹配后，触发相关预警。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

首先，通过人工监控识别出借助热点事件传播的恶意程序，其识别出的准确率很大程度上取决于人工分析人员的经验，需要人工分析人员对热点事件非常敏感，但是，每个人工分析人员仅仅对自己所擅长的领域比较关注，对其不感兴趣的领域并不关注，导致了无法准确识别出借助热点事件传播的恶意程序；其次，人工监控所能关注到的热点数量是有限的，并且人工监控无法完成7x24小时持续监控，容易漏判一些借助热点事件传播的恶意程序；最后，上述现有的人工监控方法只能通过预先定义好的规则对恶意程序识别，判断其是否借助热点事件进行传播，当预先定义的规则不完善时，也会导致漏判一些借助热点事件传播的恶意程序。

发明内容

本发明实施例提供了一种恶意程序预警方法、装置、计算机设备及存储介质，可以解决现有技术中容易漏判利用热点事件进行传播的恶意程序的问题。该技术方案如下：

一方面，提供了一种恶意程序预警方法，方法包括：

获取目标名称词组集合和关键词集合，目标名称词组集合包括至少两个恶意程序的名称词组，关键词集合包括至少两个热点事件的关键词；

确定目标名称集合中任一恶意程序的名称词组与关键词集合中任一关键词之间的相似度；

将相似度符合目标规则的恶意程序确定为目标恶意程序，输出目标恶意程序的预警信息。

一方面，提供了一种恶意程序预警装置，装置包括：

获取模块，用于获取目标名称词组集合和关键词集合，目标名称词组集合包括至少两个恶意程序的名称词组，关键词集合包括至少两个热点事件的关键词；

确定模块，用于确定目标名称集合中任一恶意程序的名称词组与关键词集合中任一关键词之间的相似度；

预警模块，用于将相似度符合目标规则的恶意程序确定为目标恶意程序，输出目标恶意程序的预警信息。

在一种可能的实现方式中，上述确定模块用于：

计算任一名称词组与任一关键词之间的余弦相似度和最短编辑距离；

对余弦相似度和最短编辑距离加权求和，将所获得的数值确定为任一名称词组与任一关键词之间的相似度。