病毒数据包的识别方法、装置及系统制造方法及图纸

技术编号:12393607 阅读:82 留言:0更新日期:2015-11-26 01:10
本发明专利技术公开了一种病毒数据包的识别方法、装置及系统。其中,该识别方法包括:从多个待识别的数据包中查找第一数据包,其中,第一数据包不同于病毒样本库中已记录的病毒数据包;获取第一数据包的第一特征和与第一特征对应的病毒概率,其中,病毒概率是用于表示携带有第一特征的数据包为病毒的概率;使用病毒概率和第一特征确定第一数据包是否为病毒数据包。采用本发明专利技术,解决了现有技术中从大量的数据包中甄别病毒的效率低的问题,实现了快速准确从大量数据包中甄别出病毒数据包,提高了从大量数据包中甄别病毒的效率。

【技术实现步骤摘要】

本专利技术涉及数据处理领域,具体而言,涉及一种病毒数据包的识别方法、装置及系 统。
技术介绍
网络病毒(也称病毒)是指编制或者在计算机程序中插入的破坏计算机功能或者 破坏数据,影响计算机使用并且能够自我复制的一集合计算机指令或者程序代码,随着技 术的发展,上述的病毒也开始入侵移动终端,为此,应用于电脑的杀毒软件也出现在移动终 端上。 当前的杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一 类软件,反病毒软件通过实时监控和扫描磁盘,将内存中流过的数据与其自身携带的病毒 库的特征码相比较,以判断是否为病毒,清除病毒,以保护计算机。随着技术的发展,出现在 移动终端上的病毒查杀软件也具有相似的功能,例如,常见的安卓手机的病毒查杀软件,在 安卓手机上的病毒查杀软件(如腾讯手机管家)主要也是采用病毒特征来识别恶意软件, 这些病毒特征都是从已收集到的恶意样本中分析出来的。 现有技术的安卓手机中每天新增的样本数量很大,例如,腾讯手机管家的监控显 示每天新增的安卓样本平均数量已经超过2万,在这些新增样本中,绝大多数是安全样本, 只有很少一部分是恶意的,从中快速甄别出这些少数的恶意样本,成为整个病毒查杀环节 的一个关键点,然而从大量的安卓样本中快速甄别出恶意样本是一件非常耗费人力的事 情。目前,业界主要使用发送短信、联网、拨打电话等敏感操作或权限来识别疑似软件,可是 正常软件通常也有这些(如发送短信、联网和拨打电话等)操作和权限,采用筛选敏感操作 的方法筛选恶意软件,筛选出来的样本存在大量的正常样本,因此,现有技术中在甄别出可 疑样本后,技术分析人员仍需要尝试非常多的样本后才能找到为数不多的恶意样本,甄别 效率低,并且需要耗费大量的人力物力。 针对上述从大量的数据包中甄别病毒的效率低的问题,目前尚未提出有效的解决 方案。
技术实现思路
本专利技术实施例提供了一种病毒数据包的识别方法、装置及系统,以至少解决从大 量的数据包中甄别病毒的效率低的技术问题。 根据本专利技术实施例的一个方面,提供了一种病毒数据包的识别方法,该识别方法 包括:从多个待识别的数据包中查找第一数据包,其中,第一数据包不同于病毒样本库中已 记录的病毒数据包;获取第一数据包的第一特征和与第一特征对应的病毒概率,其中,病毒 概率是用于表示携带有第一特征的数据包为病毒的概率;使用病毒概率和第一特征确定第 一数据包是否为病毒数据包。 根据本专利技术实施例的另一方面,还提供了一种病毒数据包的识别装置,该识别装 置包括:查找模块,用于从多个待识别的数据包中查找第一数据包,其中,第一数据包不同 于病毒样本库中已记录的病毒数据包;数据获取模块,用于获取第一数据包的第一特征和 与第一特征对应的病毒概率,其中,病毒概率是用于表示携带有第一特征的数据包为病毒 的概率;第一确定模块,用于使用病毒概率和第一特征确定第一数据包是否为病毒数据包。 根据本专利技术实施例的另一方面,还提供了一种病毒数据包的识别系统,该识别系 统包括:病毒数据包的识别装置。 采用本专利技术,在查找到没有记录在病毒样本库中的第一数据包之后,将查找到通 过第一数据包的第一特征及其对应的病毒概率确定该第一数据包是否为病毒数据包,也即 无需对所有的待识别的数据包进行病毒甄别,并且在甄别过程中使用了第一数据包的数据 包特征及特征对应的病毒概率,使得疑似病毒甄别不再依靠人工经验,对数据包的病毒甄 别也更加地准确,从而解决了现有技术中从大量的数据包中甄别病毒的效率低的问题,实 现了快速准确从大量数据包中甄别出病毒数据包,提高了从大量数据包中甄别病毒的效 率。【附图说明】 此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中: 图1是根据本专利技术实施例的一种病毒数据包的识别方法的流程图; 图2是根据本专利技术实施例的一种可选的病毒数据包的识别方法的流程图; 图3是根据本专利技术实施例的一种可选的判断两个待识别的数据包的相似度是否 大于预设阈值的方法的示意图; 图4是根据本专利技术实施例的一种可选的更新数据包特征相似矩阵方法的示意图; 图5是根据本专利技术实施例的一种可选的聚类分析得到聚类堆的示意图;以及 图6是根据本专利技术实施例的病毒数据包的识别装置的结构图。【具体实施方式】 为了使本
的人员更好地理解本专利技术方案,下面将结合本专利技术实施例中的 附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本专利技术一部分的实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术 人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范 围。 需要说明的是,本专利技术的说明书和权利要求书及上述附图中的术语"第一"、"第 二"等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用 的数据在适当情况下可以互换,以便这里描述的本专利技术的实施例能够以除了在这里图示或 描述的那些以外的顺序实施。此外,术语"包括"和"具有"以及他们的任何变形,意图在于 覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限 于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产 品或设备固有的其它步骤或单元。 实施例1 根据本专利技术实施例,提供了一种病毒数据包的识别方法,需要说明的是,在附图的 流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在 流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描 述的步骤。 根据本专利技术实施例,提供了一种病毒数据包的识别方法,如图1所示,该识别方法 可以包括如下步骤: 步骤S102 :从多个待识别的数据包中查找第一数据包。 其中,第一数据包不同于病毒样本库中已记录的病毒数据包。在本专利技术实施例中 病毒样本库中记录中已经发现并确认为病毒的数据包,该步骤可以通过与病毒样本库中记 录的数据包进行比对(该比对可以为通过数据包上的病毒标记来实现)查找,将多个待识 别的数据包中已经记录中病毒样本库中的数据包查找(或筛选)到,并获取没有记录在病 毒样本库中的第一数据包。 步骤S104 :获取第一数据包的第一特征和与第一特征对应的病毒概率。 其中,病毒概率是用于表示携带有第一特征的数据包为病毒的概率;在本申请实 施例中每个待识别的数据包均可以具有与该数据包对应的特征,每个特征均可以对应一个 表征其病毒概率的参数。 步骤S106 :使用病毒概率和第一特征确定第一数据包是否为病毒数据包。 采用本专利技术,在查找到没有记录在病毒样本库中的第一数据包之后,将查找到通 过第一数据包的第一特征及其对应的病毒概率确定该第一数据包是否为病毒数据包,也即 无需对所有的待识别的数据包进行病毒甄别,并且在甄别过程中使用了第一数据包的数据 包特征及特征对应的病毒概率,使得疑似病毒甄别不再依靠人工经验,对数据包的病毒甄 别也更加地准确,从而解决了现有技术中从大量的数据包中甄别病毒的效率低的问题,实 现了快速准确从大量数据包中甄别出病毒数据包,提高了从大量数据包中甄别病毒的效 率。 其中,上述实施例中本文档来自技高网
...

【技术保护点】
一种病毒数据包的识别方法,其特征在于,包括:从多个待识别的数据包中查找第一数据包,其中,所述第一数据包不同于病毒样本库中已记录的病毒数据包;获取所述第一数据包的第一特征和与所述第一特征对应的病毒概率,其中,所述病毒概率是用于表示携带有所述第一特征的数据包为病毒的概率;使用所述病毒概率和所述第一特征确定所述第一数据包是否为所述病毒数据包。

【技术特征摘要】

【专利技术属性】
技术研发人员:吴鹏志
申请(专利权)人:腾讯科技深圳有限公司
类型:发明
国别省市:广东;44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1