网络病毒的识别方法、装置、计算机设备及存储介质制造方法及图纸

本申请提供了一种网络病毒的识别方法、装置、计算机设备及存储介质，涉及计算安全技术领域，用于提高识别网络病毒的效率及准确率。方法主要包括：确定多种类型的病毒样本对应的原始特征和病毒标签；计算所述原始特征对应的哈希编码；根据所述原始特征对应的哈希编码，确定所述样本对应的局部敏感哈希特征；根据聚类算法对所述样本程序对应的局部敏感哈希特征和病毒标签进行聚类计算，得到多个聚类簇；根据所述多个聚类簇识别待检测样本是否属于网络病毒。网络病毒。网络病毒。

【技术实现步骤摘要】
网络病毒的识别方法、装置、计算机设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种网络病毒的识别方法、装置、计算机设备及存储介质。

技术介绍

[0002]恶意代码识别客观上解决的是一个复杂的、超大规模的网络病毒分类判别任务。传统的利用人工分析或自动化提取判别特征片段的方法，难以提供足够的泛化能力发现未知样本，具有一定的滞后性。
[0003]传统分析并检测网络病毒的方法是人工分析调试该病毒，针对其行为模式，提取一段含有特殊意义的特征，然后利用该特征进行对该病毒的检测。但是人工检测网络病毒的效率和准确率较低。

技术实现思路

[0004]本申请实施例提供一种网络病毒的识别方法、装置、计算机设备及存储介质，用于提高识别网络病毒的效率及准确率。
[0005]本专利技术实施例提供一种网络病毒的识别方法，所述方法包括：
[0006]确定多种类型的病毒样本对应的原始特征和病毒标签；
[0007]计算所述原始特征对应的哈希编码；
[0008]根据所述原始特征对应的哈希编码，确定所述样本对应的局部敏感哈希特征；
[0009]根据聚类算法对所述样本程序对应的局部敏感哈希特征和病毒标签进行聚类计算，得到多个聚类簇；
[0010]根据所述多个聚类簇识别待检测样本是否属于网络病毒。
[0011]本专利技术实施例提供一种网络病毒的识别装置，所述装置包括：
[0012]确定模块，用于确定多种类型的病毒样本对应的原始特征和病毒标签；
[0013]计算模块，用于计算所述原始特征对应的哈希编码；
[0014]所述确定模块，还用于根据所述原始特征对应的哈希编码，确定所述样本对应的局部敏感哈希特征；
[0015]所述计算模块，还用于根据聚类算法对所述样本程序对应的局部敏感哈希特征和病毒标签进行聚类计算，得到多个聚类簇；
[0016]识别模块，用于根据所述多个聚类簇识别待检测样本是否属于网络病毒。
[0017]一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述网络病毒的识别方法。
[0018]一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述网络病毒的识别方法。
[0019]一种计算机程序产品，所述计算机程序产品包括计算机程序，所述计算机程序被
处理器执行时实现上述的网络病毒的识别方法。
[0020]本专利技术提供一种网络病毒的识别方法、装置、计算机设备及存储介质，确定多种类型的病毒样本对应的原始特征和病毒标签，计算原始特征对应的哈希编码；根据原始特征对应的哈希编码，确定样本程序代码对应的局部敏感哈希特征；根据聚类算法对样本程序代码对应的局部敏感哈希特征和病毒标签进行聚类计算，得到多个聚类簇；最后根据多个聚类簇识别待检测样本是否属于网络病毒。即本专利技术利用局部敏感哈希特征融合技术，在实现特征降维、格式化表达的同时极大程度地保留了多源特征中的样本特异性信息，之后根据局部敏感哈希特征进行聚类计算确定待检测样本是否属于网络病毒，从而通过本专利技术提高了识别网络病毒的效率及准确率。
附图说明
[0021]图1为本申请提供的一种网络病毒的识别方法流程图；
[0022]图2为本申请提供的另一种网络病毒的识别方法流程图；
[0023]图3为本申请提供的网络病毒的识别装置的结构示意图。
[0024]图4为本申请提供的计算机设备的一示意图。
具体实施方式
[0025]为了更好的理解上述技术方案，下面通过附图以及具体实施例对本申请实施例的技术方案做详细的说明，应当理解本申请实施例以及实施例中的具体特征是对本申请实施例技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本申请实施例以及实施例中的技术特征可以相互组合。
[0026]请参阅图1，为本专利技术实施例提供的一种网络病毒的识别方法，该方法具体包括步骤S101
‑
步骤S105：
[0027]步骤S101，确定多种类型的病毒样本对应的原始特征和病毒标签。
[0028]其中，原始特征是指从样本程序代码中通过静态、动态特征分析等手段，提取到的恶意代码特征信息，原始特征包括静态特征和动态特征。具体地，可通过静态分析得到静态特征，该静态特征包括文件格式信息、文件属性信息、字符串信息、二进制信息、指令特征信息；利用动态分析得到动态特征，该动态特征包括本地行为特征、网络行为特征、API调用特征等，本专利技术实施例不做具体限定。
[0029]进一步的，本实施例在确定原始特征中各个类型特征之后，需要根据原始特征对应的特征值类型进行相应的预处理，特征值类型是指提取到的特征原始表示形式，比如对人来说其身高体重的特征值类型是数值、性别的特征值类型是布尔型的变量、指纹是图片。具体的，本实施例依据样本程序代码中原始特征的数据类型，可将原始特征分成数值型特征(文件资源个数，文件节数量)、字符型特征、序列化特征(反汇编指令序列)和图特征(系统调用流程图)、布尔特征(是否存在可执行节)等。
[0030]对于本专利技术实施例，病毒标签用于表示病毒的类型，本实施例中有多少种病毒类型，便有对应的多个病毒标签。病毒的类型可以分为病毒、木马、蠕虫等类别，每一个类别又有很多不同的恶意代码家族，每一个家族中可能存在很多个不同的变种，每一个变种又存在很多不同的文件；此处的不同样本类别，可以为任何不同的恶意代码变种。
[0031]需要说明的是，本实施例中的病毒标签除了可以表示对应的病毒类型，还可以表示对应病毒的表现形式，该表现形式可以为自解压包、加壳等，本实施例对其表现形式不做具体限定。
[0032]步骤S102，计算原始特征对应的哈希编码。
[0033]在本专利技术提供的一个可选实施例中，所述原始特征包括：数值型特征、所述字符型特征、所述序列化特征和/或所述图特征，计算所述数值型特征、所述字符型特征、所述序列化特征和/或所述图特征分别对应的哈希编码，包括：
[0034]步骤S1021，对数值型特征和字符型特征进行哈希计算，得到所述数值型特征和字符型特征分别对应的哈希编码。
[0035]具体的，对于字符型特征(如ip，域名)的特征值直接进行哈希计算得到字符型特征对应的哈希编码。对于数值型特征(如PE文件节个数，资源文件个数)可按照其特征名直接进行哈希计算得到对应的哈希编码，根据特征值名及对应的特征值进行哈希计算得到对应的哈希编码，本实施例对此不做具体限定。
[0036]例如，数值型特征为的特征值名为“调用的文件个数”，特征值为50，则可以对“调用的文件个数”进行哈希计算得到对应的哈希编码，或根据“调用的文件个数”结合特征值50进行哈希计算得到对应的哈希编码。
[0037]进一步的，本实施例在计算数值型特征对应的哈希编码之前，可以对数值型特征进行归一化处理，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络病毒的识别方法，其特征在于，所述方法包括：确定多种类型的病毒样本对应的原始特征和病毒标签；计算所述原始特征对应的哈希编码；根据所述原始特征对应的哈希编码，确定所述样本对应的局部敏感哈希特征；根据聚类算法对所述样本程序对应的局部敏感哈希特征和病毒标签进行聚类计算，得到多个聚类簇；根据所述多个聚类簇识别待检测样本是否属于网络病毒。2.根据权利要求1所述的方法，其特征在于，所述原始特征包括：数值型特征、所述字符型特征、所述序列化特征和/或所述图特征；所述计算所述原始特征对应的哈希编码，包括：对所述数值型特征和所述字符型特征进行哈希计算，得到所述数值型特征和所述字符型特征分别对应的哈希编码；将所述序列化特征中的每个特征转换为固定长度的特征向量，所述特征向量的长度和所述哈希编码的长度相同；将所述序列化特征中的每个特征的特征向量相加，得到目标特征向量；根据所述目标特征向量确定所述序列化特征对应的哈希编码。3.根据权利要求2所述的方法，其特征在于，所述根据所述目标特征向量确定所述序列化特征对应的哈希编码，包括：获取所述目标特征向量中每个向量的值的大小；将所述目标特征向量中的值大于0的向量的值重新设置为1，将值小于或等于0的向量的值重新设置为0，得到所述序列化特征对应的哈希编码。4.根据权利要求2所述的方法，其特征在于，所述根据所述原始特征对应的哈希编码，确定所述样本程序代码对应的局部敏感哈希特征，包括：确定所述数值型特征、所述字符型特征、所述序列化特征和所述图特征分别对应的权重值；对所述数值型特征、所述字符型特征、所述序列化特征和所述图特征分别对应的哈希编码进行加权计算，得到所述样本程序代码对应的局部敏感哈希特征。5.根据权利要求4所述的方法，其特征在于，所述确定所述数值型特征、所述字符型特征、所述序列化特征和所述图特征分别对应的权重值，包括：对所述数值型特征进行归一化处理，得到对应的权重值；通过词频
‑
逆向文件频率TF
‑
IDF算法确定所述字符型特征对应的权重值；预先设定所述序列化特征和所述图特征对应的权重值。6.根据权利要求4所述的方法，其特征在于，所述确定所述数值型特征、所述字符型特征、所述序列化特征和所述图特征分别对应的权重值，包括：将所述数值型特征、所述字符型特征、所述序列化特征和...

【专利技术属性】
技术研发人员：潘佳斌，董雷，童志明，肖新光，
申请(专利权)人：安天科技集团股份有限公司，
类型：发明
国别省市：