[发明专利]一种宏病毒处理方法、装置和存储介质在审
申请号: | 201910699264.3 | 申请日: | 2019-07-31 |
公开(公告)号: | CN111191233A | 公开(公告)日: | 2020-05-22 |
发明(设计)人: | 申金娟;毕磊;于涛;郭晓龙;苏蒙;姜澎;吴彬;屈亚鑫;张友旭;崔精兵;郭长宇;赵子云 | 申请(专利权)人: | 腾讯科技(深圳)有限公司 |
主分类号: | G06F21/56 | 分类号: | G06F21/56 |
代理公司: | 深圳翼盛智成知识产权事务所(普通合伙) 44300 | 代理人: | 黄威 |
地址: | 518057 广东省深圳*** | 国省代码: | 广东;44 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 宏病毒 处理 方法 装置 存储 介质 | ||
1.一种宏病毒处理方法,其特征在于,包括:
获取待处理宏病毒;
对所述待处理宏病毒中的宏代码进行识别;
根据识别结果确定所述宏代码中的特征码;
根据所述宏代码中的特征码生成宏病毒特征;
基于所述宏病毒特征生成宏病毒特征库,对所述待处理宏病毒进行查杀。
2.根据权利要求1所述的宏病毒处理方法,其特征在于,对所述待处理宏病毒中的宏代码进行识别,包括:
对所述宏代码按预设策略进行计算;
将计算结果与预设阈值进行对比;
当所述计算结果超过预设阈值时,确定所述宏代码为第一代码;
当所述计算结果未超过预设阈值时,确定所述宏代码为第二代码。
3.根据权利要求2所述的宏病毒处理方法,其特征在于,对所述宏代码按预设策略进行计算,包括:
识别所述宏代码中的关键字;
在所述宏代码中去除所述关键字,得到处理后的宏代码
计算所述处理后的宏代码中垃圾代码占比,得到第一占比值;
计算所述处理后的宏代码中复杂型变量名占比,得到第二占比值;
计算所述处理后的宏代码中字符串与数字串的混合运算的变量占比,得到第三占比值。
4.根据权利要求2所述的宏病毒处理方法,其特征在于,当所述计算结果超过预设阈值时,确定所述宏代码为第一代码,包括:
获取所述第一占比值对应的预设第一阈值、所述第二占比值对应预设第二阈值和所述第三占比值对应预设第三阈值;
分别将所述第一占比值与预设第一阈值、所述第二占比值与预设第二阈值和所述第三占比值与预设第三阈值进行对比,当所述第一占比值、所述第二占比值和所述第三占比值中至少存在一个占比值高于对应的预设阈值时,则所述宏代码为第一代码;
当所述计算结果未超过预设阈值时,确定所述宏代码为第二代码,包括:当所述第一占比值、所述第二占比值和所述第三占比值都未超过对应的预设阈值时,则所述宏代码为第二代码。
5.根据权利要求1所述的宏病毒出来方法,其特征在于,基于识别结果,确定所述宏代码中的特征码,包括:
当所述宏代码为第一代码时,在所述宏代码中提取混淆串,基于所述混淆串,生成第一特征码;
当所述宏代码为第二代码时,对所述宏代码进行聚类,在聚类得到的各个类别的宏代码中提取恶意黑串,基于所述恶意黑串,生成第二特征码。
6.根据权利要求1所述的宏病毒处理方法,其特征在于,根据所述宏代码中的特征码,生成待处理宏病毒特征,包括:
采用训练后识别模型分别对所述第一特征码和所述第二特征码进行识别;
根据识别结果,生成待处理宏病毒特征。
7.根据权利要求6所述的宏病毒处理方法,其特征在于,采用训练后识别模型分别对所述第一特征码和所述第二特征码进行识别之前,还包括:
采集多个特征码样本,所述特征码样本包括已知宏病毒特征真实值的第一特征码和第二特征码;
采用预设识别模型对所述特征码样本进行预测,得到宏病毒特征的预测值;
根据所述宏病毒特征的预测值与宏病毒特征的真实值对所述预设识别模型进行收敛,得到训练后识别模型。
8.根据权利要求1所述的宏病毒处理方法,其特征在于,还包括:
采集多个宏代码样本,所述宏代码样本包括已确定的多个第一代码和第二代码;
基于所述多个宏代码样本,统计各个第一代码和所述各个第二代码中的字符串与数字的混淆运算的变量占比值、复杂型变量名占比和垃圾代码占比值,得到各个所述第一代码的第一占比值集和所述第二代码的第二占比值集;
基于所述第一占比值集和所述第二占比值集中的各个占比值,确定所述预设第一阈值、所述预设第二阈值和所述预设第三阈值。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于腾讯科技(深圳)有限公司,未经腾讯科技(深圳)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910699264.3/1.html,转载请声明来源钻瓜专利网。