[发明专利]一种病毒识别方法、装置、设备及可读存储介质

说明书

本申请公开了一种病毒识别方法、装置、设备及可读存储介质。本申请公开的方法包括：利用病毒检测工具对各个无标签病毒文件进行检测，确定各个无标签病毒文件所属的病毒家族；针对每个病毒家族，利用聚类算法对当前病毒家族包括的所有病毒文件进行分类，获得当前病毒家族对应的多个病毒变种；提取各个病毒变种中的所有病毒文件共有的病毒特征，并根据病毒特征生成各个病毒变种对应的病毒识别规则；利用各个病毒识别规则识别并标记待识别的病毒文件。本申请能够获得具有较高识别精度的病毒识别规则，利用该规则识别病毒文件，能够提高病毒识别效率和准确率。本申请公开的一种病毒识别装置、设备及可读存储介质，也同样具有上述技术效果。

技术领域

本申请涉及计算机技术领域，特别涉及一种病毒识别方法、装置、设备及可读存储介质。

背景技术

在现有技术中，一般通过动态行为分析和静态特征分析来识别病毒。其中，动态行为分析需要用沙箱工具执行病毒文件，通过分析病毒的动态特征来识别病毒，这种方法需要将病毒运行一段时间来看它执行了哪些操作，检测速度较慢。静态特征分析需要预先准备大量有标签的病毒文件，但目前有标签的病毒文件数量有限，难以完成机器学习模型的训练，且机器学习模型都是黑盒模型，误报率难以控制。

因此，如何提高病毒识别效率和准确率，是本领域技术人员需要解决的问题。

发明内容

有鉴于此，本申请的目的在于提供一种病毒识别方法、装置、设备及可读存储介质，以提高病毒识别效率和准确率。其具体方案如下：

第一方面，本申请提供了一种病毒识别方法，包括：

利用病毒检测工具对各个无标签病毒文件进行检测，确定各个无标签病毒文件所属的病毒家族；

针对每个病毒家族，利用聚类算法对当前病毒家族包括的所有病毒文件进行分类，获得当前病毒家族对应的多个病毒变种；

提取各个病毒变种中的所有病毒文件共有的病毒特征，并根据所述病毒特征生成各个病毒变种对应的病毒识别规则；

利用各个病毒识别规则识别并标记待识别的病毒文件。

优选地，所述聚类算法对当前病毒家族包括的所有病毒文件进行分类，包括：

将当前病毒家族包括的各个病毒文件分别转化为文件特征图；

利用所述聚类算法对各个文件特征图进行分类，获得当前病毒家族对应的多个病毒变种。

优选地，所述将当前病毒家族包括的各个病毒文件分别转化为文件特征图，包括：

针对当前病毒家族包括的每个病毒文件，根据当前病毒文件的字节信息、熵信息和结构信息分别生成字节子图、熵子图和结构子图；

将所述字节子图、熵子图和结构子图依次水平拼接为所述文件特征图。

优选地，所述根据当前病毒文件的字节信息、熵信息和结构信息分别生成字节子图、熵子图和结构子图，包括：

将当前病毒文件转化为整型数组，并根据当前病毒文件的大小确定子图宽度；

将所述整型数组包括的每个整型数映射为像素值，获得字节像素序列，并将所述字节像素序列按照所述子图宽度重构为所述字节子图；

按照预设的滑动窗口计算所述整型数组对应的多个熵值，将各个熵值映射为像素值，获得熵像素序列，并将所述熵像素序列按照所述子图宽度重构为所述熵子图；

将当前病毒文件根据文件结构划分为多段，各段用不同颜色值进行标记，获得结构像素序列，并将所述结构像素序列按照所述子图宽度重构为所述结构子图。

优选地，所述利用所述聚类算法对各个文件特征图进行分类，包括：