病毒數(shù)據(jù)包的識別方法����、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及數(shù)據(jù)處理領(lǐng)域�����,具體而言�,涉及一種病毒數(shù)據(jù)包的識別方法、裝置及系 統(tǒng)�。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)病毒(也稱病毒)是指編制或者在計算機程序中插入的破壞計算機功能或者 破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一集合計算機指令或者程序代碼�����,隨著技 術(shù)的發(fā)展��,上述的病毒也開始入侵移動終端��,為此����,應(yīng)用于電腦的殺毒軟件也出現(xiàn)在移動終 端上。
[0003] 當(dāng)前的殺毒軟件是用于消除電腦病毒�����、特洛伊木馬和惡意軟件等計算機威脅的一 類軟件,反病毒軟件通過實時監(jiān)控和掃描磁盤����,將內(nèi)存中流過的數(shù)據(jù)與其自身攜帶的病毒 庫的特征碼相比較,以判斷是否為病毒��,清除病毒����,以保護計算機。隨著技術(shù)的發(fā)展��,出現(xiàn)在 移動終端上的病毒查殺軟件也具有相似的功能�,例如,常見的安卓手機的病毒查殺軟件���,在 安卓手機上的病毒查殺軟件(如騰訊手機管家)主要也是采用病毒特征來識別惡意軟件�����, 這些病毒特征都是從已收集到的惡意樣本中分析出來的�����。
[0004] 現(xiàn)有技術(shù)的安卓手機中每天新增的樣本數(shù)量很大�,例如,騰訊手機管家的監(jiān)控顯 示每天新增的安卓樣本平均數(shù)量已經(jīng)超過2萬���,在這些新增樣本中����,絕大多數(shù)是安全樣本����, 只有很少一部分是惡意的,從中快速甄別出這些少數(shù)的惡意樣本���,成為整個病毒查殺環(huán)節(jié) 的一個關(guān)鍵點,然而從大量的安卓樣本中快速甄別出惡意樣本是一件非常耗費人力的事 情�����。目前��,業(yè)界主要使用發(fā)送短信���、聯(lián)網(wǎng)��、撥打電話等敏感操作或權(quán)限來識別疑似軟件�,可是 正常軟件通常也有這些(如發(fā)送短信、聯(lián)網(wǎng)和撥打電話等)操作和權(quán)限��,采用篩選敏感操作 的方法篩選惡意軟件�,篩選出來的樣本存在大量的正常樣本,因此����,現(xiàn)有技術(shù)中在甄別出可 疑樣本后,技術(shù)分析人員仍需要嘗試非常多的樣本后才能找到為數(shù)不多的惡意樣本���,甄別 效率低����,并且需要耗費大量的人力物力�。
[0005] 針對上述從大量的數(shù)據(jù)包中甄別病毒的效率低的問題,目前尚未提出有效的解決 方案���。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明實施例提供了一種病毒數(shù)據(jù)包的識別方法���、裝置及系統(tǒng),以至少解決從大 量的數(shù)據(jù)包中甄別病毒的效率低的技術(shù)問題�。
[0007] 根據(jù)本發(fā)明實施例的一個方面,提供了一種病毒數(shù)據(jù)包的識別方法�����,該識別方法 包括:從多個待識別的數(shù)據(jù)包中查找第一數(shù)據(jù)包,其中�,第一數(shù)據(jù)包不同于病毒樣本庫中已 記錄的病毒數(shù)據(jù)包;獲取第一數(shù)據(jù)包的第一特征和與第一特征對應(yīng)的病毒概率�����,其中�,病毒 概率是用于表示攜帶有第一特征的數(shù)據(jù)包為病毒的概率;使用病毒概率和第一特征確定第 一數(shù)據(jù)包是否為病毒數(shù)據(jù)包���。
[0008] 根據(jù)本發(fā)明實施例的另一方面�����,還提供了一種病毒數(shù)據(jù)包的識別裝置,該識別裝 置包括:查找模塊��,用于從多個待識別的數(shù)據(jù)包中查找第一數(shù)據(jù)包��,其中���,第一數(shù)據(jù)包不同 于病毒樣本庫中已記錄的病毒數(shù)據(jù)包����;數(shù)據(jù)獲取模塊,用于獲取第一數(shù)據(jù)包的第一特征和 與第一特征對應(yīng)的病毒概率�,其中,病毒概率是用于表示攜帶有第一特征的數(shù)據(jù)包為病毒 的概率�����;第一確定模塊����,用于使用病毒概率和第一特征確定第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包。
[0009] 根據(jù)本發(fā)明實施例的另一方面���,還提供了一種病毒數(shù)據(jù)包的識別系統(tǒng)����,該識別系 統(tǒng)包括:病毒數(shù)據(jù)包的識別裝置���。
[0010] 采用本發(fā)明�����,在查找到?jīng)]有記錄在病毒樣本庫中的第一數(shù)據(jù)包之后����,將查找到通 過第一數(shù)據(jù)包的第一特征及其對應(yīng)的病毒概率確定該第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包,也即 無需對所有的待識別的數(shù)據(jù)包進行病毒甄別���,并且在甄別過程中使用了第一數(shù)據(jù)包的數(shù)據(jù) 包特征及特征對應(yīng)的病毒概率���,使得疑似病毒甄別不再依靠人工經(jīng)驗,對數(shù)據(jù)包的病毒甄 別也更加地準確���,從而解決了現(xiàn)有技術(shù)中從大量的數(shù)據(jù)包中甄別病毒的效率低的問題�����,實 現(xiàn)了快速準確從大量數(shù)據(jù)包中甄別出病毒數(shù)據(jù)包�����,提高了從大量數(shù)據(jù)包中甄別病毒的效 率。
【附圖說明】
[0011] 此處所說明的附圖用來提供對本發(fā)明的進一步理解����,構(gòu)成本申請的一部分,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明��,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
[0012] 圖1是根據(jù)本發(fā)明實施例的一種病毒數(shù)據(jù)包的識別方法的流程圖���;
[0013] 圖2是根據(jù)本發(fā)明實施例的一種可選的病毒數(shù)據(jù)包的識別方法的流程圖����;
[0014] 圖3是根據(jù)本發(fā)明實施例的一種可選的判斷兩個待識別的數(shù)據(jù)包的相似度是否 大于預(yù)設(shè)閾值的方法的示意圖�����;
[0015] 圖4是根據(jù)本發(fā)明實施例的一種可選的更新數(shù)據(jù)包特征相似矩陣方法的示意圖�;
[0016] 圖5是根據(jù)本發(fā)明實施例的一種可選的聚類分析得到聚類堆的示意圖;以及
[0017] 圖6是根據(jù)本發(fā)明實施例的病毒數(shù)據(jù)包的識別裝置的結(jié)構(gòu)圖���。
【具體實施方式】
[0018] 為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案����,下面將結(jié)合本發(fā)明實施例中的 附圖��,對本發(fā)明實施例中的技術(shù)方案進行清楚����、完整地描述,顯然,所描述的實施例僅僅是 本發(fā)明一部分的實施例��,而不是全部的實施例�����?���;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù) 人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�����,都應(yīng)當(dāng)屬于本發(fā)明保護的范 圍�����。
[0019] 需要說明的是���,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語"第一"�、"第 二"等是用于區(qū)別類似的對象���,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用 的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或 描述的那些以外的順序?qū)嵤?���。此外,術(shù)語"包括"和"具有"以及他們的任何變形�����,意圖在于 覆蓋不排他的包含��,例如�,包含了一系列步驟或單元的過程、方法����、系統(tǒng)、產(chǎn)品或設(shè)備不必限 于清楚地列出的那些步驟或單元�����,而是可包括沒有清楚地列出的或?qū)τ谶@些過程����、方法、產(chǎn) 品或設(shè)備固有的其它步驟或單元���。
[0020] 實施例1
[0021] 根據(jù)本發(fā)明實施例��,提供了一種病毒數(shù)據(jù)包的識別方法�����,需要說明的是����,在附圖的 流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且�,雖然在 流程圖中示出了邏輯順序,但是在某些情況下��,可以以不同于此處的順序執(zhí)行所示出或描 述的步驟�。
[0022] 根據(jù)本發(fā)明實施例,提供了一種病毒數(shù)據(jù)包的識別方法�����,如圖1所示��,該識別方法 可以包括如下步驟:
[0023] 步驟S102 :從多個待識別的數(shù)據(jù)包中查找第一數(shù)據(jù)包�����。
[0024] 其中,第一數(shù)據(jù)包不同于病毒樣本庫中已記錄的病毒數(shù)據(jù)包��。在本發(fā)明實施例中 病毒樣本庫中記錄中已經(jīng)發(fā)現(xiàn)并確認為病毒的數(shù)據(jù)包�����,該步驟可以通過與病毒樣本庫中記 錄的數(shù)據(jù)包進行比對(該比對可以為通過數(shù)據(jù)包上的病毒標記來實現(xiàn))查找���,將多個待識 別的數(shù)據(jù)包中已經(jīng)記錄中病毒樣本庫中的數(shù)據(jù)包查找(或篩選)到,并獲取沒有記錄在病 毒樣本庫中的第一數(shù)據(jù)包�。
[0025] 步驟S104 :獲取第一數(shù)據(jù)包的第一特征和與第一特征對應(yīng)的病毒概率。
[0026] 其中�,病毒概率是用于表示攜帶有第一特征的數(shù)據(jù)包為病毒的概率;在本申請實 施例中每個待識別的數(shù)據(jù)包均可以具有與該數(shù)據(jù)包對應(yīng)的特征�����,每個特征均可以對應(yīng)一個 表征其病毒概率的參數(shù)����。
[0027] 步驟S106 :使用病毒概率和第一特征確定第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包。
[0028] 采用本發(fā)明�,在查找到?jīng)]有記錄在病毒樣本庫中的第一數(shù)據(jù)包之后,將查找到通 過第一數(shù)據(jù)包的第一特征及其對應(yīng)的病毒概率確定該第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包�����,也即 無需對所有的待識別的數(shù)據(jù)包進行病毒甄別,并且在甄別過程中使用了第一數(shù)據(jù)包的數(shù)據(jù) 包特征及特征對應(yīng)的病毒概率��,使得疑似病毒甄別不再依靠人工經(jīng)驗�����,對數(shù)據(jù)包的病毒甄 別也更加地準確����,從而解決了現(xiàn)有技術(shù)中從大量的數(shù)據(jù)包中甄別病毒的效率低的問題,實 現(xiàn)了快速準確從大量數(shù)據(jù)包中甄別出病毒數(shù)據(jù)包����,提高了從大量數(shù)據(jù)包中甄別病毒的效 率。
[0029] 其中�,上述實施例中的數(shù)據(jù)包可以為應(yīng)用程序數(shù)據(jù)包、軟件包等���。上述實施例中的 第一特征可以包括多個子特征���,每個子特征分別用于表征一個所述。
[0030] 在本發(fā)明的上述實施例中����,從多個待識別的數(shù)據(jù)包中查找第一數(shù)據(jù)包可以包括: 獲取多個待識別的數(shù)據(jù)包的特征�����,并按照數(shù)據(jù)包的特征對多個待識別的數(shù)據(jù)包進行聚類分 析��,以將多個待識別的數(shù)據(jù)包分為多個集合;以集合為單位查找第一數(shù)據(jù)包��。
[0031] 在使用病毒概率和第一特征確定第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包之后�,識別方法可 以包括:在確定第一數(shù)據(jù)包為病毒數(shù)據(jù)包的情況下,確定第一數(shù)據(jù)包為已知病毒數(shù)據(jù)包的 變種病毒數(shù)據(jù)包�,其中,已知病毒數(shù)據(jù)包位于第一數(shù)據(jù)包所在的集合中���,且記錄在病毒樣本 庫中�。
[0032] 其中����,聚類分析為將物理或抽象對象的集合分組成為由類似的對象組成的多個類 的分析過程。具體到本發(fā)明的上述實施例中���,可以是依據(jù)待識別的數(shù)據(jù)包間的相似性�,將待 識別的數(shù)據(jù)包分到不同的簇(即上述實施例的集合)中。
[0033] 通過上述實施例��,查找數(shù)據(jù)包之前�,獲取到多個待識別的數(shù)據(jù)包的特征,并依據(jù)該 特征將多個待識別的數(shù)據(jù)包分入不同的集合��,然后以集合為單位查找第一數(shù)據(jù)包�,從而可 以在確定第一數(shù)據(jù)包為病毒數(shù)據(jù)包的情況下,確定該第一數(shù)據(jù)包位于的集合����,從而可以確 定第一數(shù)據(jù)包為該集合中已知病毒數(shù)據(jù)包的變種病毒數(shù)據(jù)包。在該實施例中���,不僅可以確 定第一數(shù)據(jù)包是否為病毒數(shù)據(jù)包���,還可以確定第一數(shù)據(jù)包為哪個(或哪類)病毒數(shù)據(jù)包的 變種病毒的數(shù)據(jù)包,采用本發(fā)明實施例�����,不僅可以快速準確甄別出病毒數(shù)據(jù)包����,還可以對所 有的病毒數(shù)據(jù)包進行歸類標記和處理��,從而可以為進一步地病毒研究或分析提供更加準確 和完整的病毒數(shù)據(jù)包數(shù)據(jù)�。
[0034] 根據(jù)本發(fā)明的上述實施例�,按照數(shù)據(jù)包的特征對多個待識別的數(shù)據(jù)包進行聚類分 析,以將多個待識別的數(shù)據(jù)包分為多個集合可以包括:使用數(shù)據(jù)包的特征判斷兩個待識別 的數(shù)據(jù)包的相似度是否大于預(yù)設(shè)閾值��;在相似度大于預(yù)設(shè)閾值的情況下����,將兩個待識別的 數(shù)據(jù)包分入同一個集合;在相似度不大于預(yù)設(shè)閾值的情況下�����,將兩個待識別的數(shù)據(jù)包分入 不同的集合�。
[0035] 在本發(fā)明的實施例中可以使用兩個待識別的數(shù)據(jù)包的相似度表示兩個待識別的 數(shù)據(jù)包是否相似�����,然后采用層次聚類處理方法����,將相似度大于預(yù)設(shè)閾值Θ的樣本(待識別 的數(shù)據(jù)包)會聚到一個集合(即聚類處理中的堆或簇),將相似度不大于預(yù)設(shè)閾值的樣本分 入不同的集合����。
[0036] 具體地��,在該實施例中可以計算多個待識別的數(shù)據(jù)包中任意兩個數(shù)據(jù)包的相似 度�����,然后根據(jù)相似度與預(yù)設(shè)閾值的大小完成對多個待識別的數(shù)據(jù)包的聚類分析得到多個集 合��。
[0037] 需要進一步地說明的是�,上述實施例可以通過如下步驟實現(xiàn):計算多個待識別的 數(shù)據(jù)包中的任意兩個待識別的數(shù)據(jù)包之間的相似度���,判斷相似度是否大于預(yù)設(shè)閾值��,在相 似度大于預(yù)設(shè)閾值的情況下����,將兩個待識別的數(shù)據(jù)包分入同一個集合����,在相似度大于預(yù)設(shè) 閾值的情況下,將兩個待識別的數(shù)據(jù)包分入不同的集合�。
[0038] 具體地,計算兩個待識別的數(shù)據(jù)包之間的相似度可以通過如下步驟實現(xiàn):
[0039] 在獲取到兩個待識別的數(shù)據(jù)包(將其記作第一待識別數(shù)據(jù)包和第二待識別數(shù)據(jù) 包)的特征(該特征可以特征向量表示)之后,計算第一待識別數(shù)據(jù)包的特征向量與第二 待識別數(shù)據(jù)包的特征向量的相似度以獲取第一待識別數(shù)據(jù)包和第二待識別數(shù)據(jù)包的相似 度����,以此來表示兩個樣本(即兩個待識別的數(shù)據(jù)包)是否相似。更具