[发明专利]一种病毒检测方法、装置、设备及存储介质

说明书

本发明公开了一种病毒检测方法、装置、设备及存储介质，该方法包括：获取待测文件，计算所述待测文件的文件特征得到待测特征值，将所述待测特征值与预设的病毒特征库中各特征值进行比对，如果所述病毒特征库中存在与所述待测特征值匹配的特征值，则确定所述待测文件存在病毒，否则，监控所述待测文件在内核空间的操作得到待测操作信息；将所述待测操作信息与预设的病毒行为库中各操作信息进行比对，如果所述病毒行为库中存在与所述待测操作信息匹配的操作信息，则确定所述待测文件存在病毒，否则，确定所述待测文件不存在病毒。可见，本申请将对病毒的静态检测与动态检测相结合，使得实现病毒检测时具有较高的准确率。

技术领域

本发明涉及计算机及互联网技术领域，更具体地说，涉及一种病毒检测方法、装置、设备及存储介质。

背景技术

随着科学科技的发展，尤其是信息化进程的不断加快，计算机及互联网在人们日常生活中发挥的作用越来越大，普及率也越来越高。计算机及互联网在各方面给人们带来便利、提高效率的同时，计算机及互联网的安全问题也接踵而至，尤其是计算机病毒的存在成为了信息安全的一大威胁。

随着计算机病毒的病毒技术不断发展，出现了DOS病毒、PE病毒、木马、蠕虫、僵尸网络等计算机病毒，其中，PE病毒的数量呈不断上升趋势，且PE 病毒也是木马、蠕虫、僵尸网络等病毒的间接手段，因此PE病毒引起的安全问题也越来越受到人们的关注。但是目前用于实现PE病毒检测的技术方案存在准确率较低的问题。

发明内容

本发明的目的是提供一种病毒检测方法、装置、设备及存储介质，能够实现病毒检测时达到较高的准确率。

为了实现上述目的，本发明提供如下技术方案：

一种病毒检测方法，包括：

获取待测文件，计算所述待测文件的文件特征得到待测特征值，将所述待测特征值与预设的病毒特征库中各特征值进行比对，如果所述病毒特征库中存在与所述待测特征值匹配的特征值，则确定所述待测文件存在病毒，否则，监控所述待测文件在内核空间的操作得到待测操作信息；

将所述待测操作信息与预设的病毒行为库中各操作信息进行比对，如果所述病毒行为库中存在与所述待测操作信息匹配的操作信息，则确定所述待测文件存在病毒，否则，确定所述待测文件不存在病毒。

优选的，所述病毒特征库中的特征值包括文件静态特征值及文件相似特征值；计算得到所述待测特征值，将所述待测特征值与所述病毒特征库中各特征值进行比对，包括：

计算所述待测文件的文件静态特征得到第一待测特征值，将所述第一待测特征值与预设的病毒特征库中各特征值进行比对，如果所述病毒特征库中存在与所述第一待测特征值相同的特征值，则确定所述待测文件存在病毒，否则，计算所述待测文件的文件相似特征得到第二待测特征值；

将所述第二待测特征值与所述病毒特征库中各特征值进行比对，如果所述病毒特征库中存在与所述第二待测特征值的匹配度大于匹配度阈值的特征值，则确定所述待测文件存在病毒，否则，执行所述监控所述待测文件在内核空间的操作得到待测操作信息的步骤。

优选的，将所述第二待测特征值与所述病毒特征库中各特征值进行比对，包括：

将所述第二待测特征值切片得到相应数量的待测数据块，在所述病毒数据库中对每个所述待测数据块进行查找；所述第二待测特征值为simhash值；

如果查找的结果为每个所述待测数据块对应的海明距离的总和不大于对应距离阈值，则确定所述病毒特征库中存在与所述第二待测特征值的匹配度大于匹配度阈值的特征值。

优选的，确定所述病毒行为库中存在与所述待测操作信息匹配的操作信息之后，还包括：