[发明专利]一种病毒检测方法、装置和介质

权利要求书

1.一种病毒检测方法，其特征在于，所述方法包括：

获取包含父子文件的可疑文件，所述可疑文件中的父文件为白文件，所述可疑文件中的子文件的文件属性为灰或者未知；

确定所述父文件的第一基础静态特征以及所述子文件的第二基础静态特征；

基于样本文件集、所述第一基础静态特征和所述第二基础静态特征生成所述可疑文件对应的第一分布特征；

获取所述样本文件集中每个样本文件对应的对象标识，得到对象标识集；

获取所述可疑文件对应的目标对象标识，以及基于所述目标对象标识和所述对象标识集确定所述可疑文件对应的第二分布特征；

以所述第一基础静态特征、所述第二基础静态特征、所述第一分布特征和所述第二分布特征为输入，利用白利用病毒的病毒检测模型输出所述可疑文件的病毒检测结果；

其中，所述病毒检测模型是基于所述样本文件集中已标注的样本文件对应的特征进行机器学习训练确定的，所述样本文件对应的特征包括所述样本文件中父子文件的基础静态特征、所述样本文件对应的第一分布特征和所述样本文件对应的第二分布特征。

2.根据权利要求1所述的方法，其特征在于，所述病毒检测模型的训练过程包括如下步骤：

获取所述样本文件集，以及将所述样本文件集划分为正负样本文件集和可疑样本文件集，所述正负样本文件集中的正样本文件携带的病毒标注指示白利用病毒；

基于所述正负样本文件集对应的特征，使用预设机器学习模型进行病毒检测训练，在训练中调整所述预设机器学习模型的模型参数至所述预设机器学习模型输出的病毒检测结果与输入的样本文件所携带的病毒标注相匹配；

将调整后的模型参数所对应的预设机器学习模型作为候选模型；

以所述可疑样本文件集对应的特征为输入，利用所述候选模型输出每个可疑样本文件的病毒检测结果；

基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注；

基于携带有病毒标注的可疑样本文件，使用所述候选模型进行病毒检测训练，在训练中调整所述候选模型的模型参数至所述候选模型输出的病毒检测结果与输入的样本文件所携带的病毒标注相匹配；

将调整后的模型参数所对应的候选模型作为所述病毒检测模型。

3.根据权利要求2所述的方法，其特征在于，所述基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注，包括：

当所述可疑样本文件的病毒检测结果指示所述可疑样本文件是白利用病毒时，基于所述预设判定规则获取所述可疑样本文件对应的分布特征；

当所述可疑样本文件对应的分布特征符合预设要求时，为所述可疑样本文件添加负样本文件携带的病毒标注。

4.根据权利要求2所述的方法，其特征在于，所述基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注，包括：

当所述可疑样本文件的病毒检测结果指示所述可疑样本文件是白利用病毒时，基于所述预设判定规则获取所述可疑样本文件中父文件的数字签名和子文件的数字签名；

当所述父文件的数字签名和所述子文件的数字签名相同时，为所述可疑样本文件添加负样本文件携带的病毒标注。

5.根据权利要求2所述的方法，其特征在于，所述基于所述可疑样本文件的病毒检测结果和预设判定规则，为所述可疑样本文件添加病毒标注，包括：

当所述可疑样本文件的病毒检测结果指示所述可疑文件为白利用病毒时，将所述可疑样本文件中的子文件加入可疑子文件集；

基于所述可疑子文件集中每个可疑子文件对应的静态特征和动态特征，对所述可疑子文件集进行聚类处理得到至少一个可疑子文件子集；

分别从每个所述可疑子文件子集中选择一个可疑子文件作为参考子文件；

基于所述预设判定规则确定所述参考子文件的病毒属性，基于所述参考子文件的病毒属性确定所述参考子文件对应的可疑样本文件的参考病毒标注，以及将所述参考病毒标注作为所述参考子文件所在可疑子文件子集中每个可疑子文件对应的可疑样本文件的病毒标注；

分别利用每个所述可疑子文件子集中参考子文件对应的参考病毒标注标注同一可疑子文件子集中每个可疑子文件对应的可疑样本文件。