基于腳本類型判斷的病毒檢測(cè)方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種基于腳本類型判斷的病毒檢測(cè)方法及裝置。該方法包括:預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本��,根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量��,并通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算���,得到樣本分類模型���;獲取待檢測(cè)腳本的腳本特征向量,將腳本特征向量輸入樣本分類模型�����,根據(jù)輸出結(jié)果確定待檢測(cè)腳本的類型��;根據(jù)確定出的待檢測(cè)腳本的類型��,將待檢測(cè)腳本提供給該類型所對(duì)應(yīng)的腳本處理引擎����,由腳本處理引擎檢測(cè)待檢測(cè)腳本中是否攜帶病毒�。由此解決了現(xiàn)有技術(shù)中由人工分析腳本類型所導(dǎo)致的耗費(fèi)時(shí)間和精力�,以及由此所導(dǎo)致的不便于將腳本類型判斷的方式應(yīng)用于腳本病毒檢測(cè)領(lǐng)域的技術(shù)問(wèn)題���。
【專利說(shuō)明】基于腳本類型判斷的病毒檢測(cè)方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信【技術(shù)領(lǐng)域】����,具體涉及一種基于腳本類型判斷的病毒檢測(cè)方法及裝置��。
【背景技術(shù)】
[0002]計(jì)算機(jī)病毒是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)�����,影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼���。計(jì)算機(jī)一旦染上病毒��,通常表現(xiàn)為其文件被增加��、刪除���、改變名稱或?qū)傩浴⒁苿?dòng)到其它目錄下���,病毒對(duì)計(jì)算機(jī)文件的這些操作���,可能會(huì)導(dǎo)致正常的程序無(wú)法運(yùn)行��、計(jì)算機(jī)操作系統(tǒng)崩潰�、計(jì)算機(jī)被遠(yuǎn)程控制�、用戶信息被盜用等一系列的問(wèn)題。
[0003]腳本(script)是使用一種特定的描述性語(yǔ)言��,依據(jù)一定的格式編寫的可執(zhí)行文件��,又稱作宏或批處理文件����。通常,腳本可以由應(yīng)用程序臨時(shí)調(diào)用并執(zhí)行����,并且,因?yàn)槟_本不僅可以減小網(wǎng)頁(yè)的規(guī)模和提高網(wǎng)頁(yè)瀏覽速度��,而且可以豐富網(wǎng)頁(yè)的表現(xiàn)�,如動(dòng)畫�����、聲音等,所以�,各類腳本經(jīng)常被廣泛地應(yīng)用于網(wǎng)頁(yè)設(shè)計(jì)中。例如��,當(dāng)點(diǎn)擊網(wǎng)頁(yè)上的Email地址時(shí)能自動(dòng)調(diào)用Outlook Express或Foxmail這類郵箱軟件的功能就是通過(guò)腳本來(lái)實(shí)現(xiàn)的����。
[0004]正是由于腳本使用方便且應(yīng)用廣泛的特點(diǎn),往往被黑客等別有用心的人加以利用���,使腳本成為上述的計(jì)算機(jī)病毒傳播的載體�,例如�,在腳本中加入一些破壞計(jì)算機(jī)系統(tǒng)的命令,這樣當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)��,一旦調(diào)用該腳本�����,便會(huì)使用戶的系統(tǒng)受到攻擊�����。其中,腳本所攜帶的病毒往往與腳本的類型有很大關(guān)聯(lián)��,不同類型的腳本容易感染的病毒也各不相同��,因此��,明確了腳本類型之后����,就能根據(jù)腳本的類型,對(duì)該類型的腳本所容易感染的病毒進(jìn)行有針對(duì)性的檢測(cè)���。所以��,在腳本病毒檢測(cè)領(lǐng)域����,預(yù)先識(shí)別出腳本類型對(duì)于提高病毒檢測(cè)的效率和準(zhǔn)確度有著很大幫助�。
[0005]但是,腳本的類型往往不能直觀地通過(guò)后綴名進(jìn)行判斷����,目前,為了準(zhǔn)確識(shí)別出這些腳本的類型�����,通常的做法是由人工分析的方式����,對(duì)腳本中的可執(zhí)行代碼逐行進(jìn)行分析,根據(jù)分析得到的語(yǔ)法等特征來(lái)判斷腳本的類型����。但是,這種人工分析的方式非常耗費(fèi)時(shí)間和精力���,無(wú)法快速識(shí)別出腳本的類型��,因而不便于應(yīng)用到腳本病毒檢測(cè)領(lǐng)域���。
【發(fā)明內(nèi)容】
[0006]鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的基于腳本類型判斷的病毒檢測(cè)方法及裝置�����。
[0007]依據(jù)本發(fā)明的一個(gè)方面�,提供了一種基于腳本類型判斷的病毒檢測(cè)方法,包括:預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本�,根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量��,并通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算��,得到樣本分類模型����;獲取待檢測(cè)腳本的腳本特征向量��,將腳本特征向量輸入樣本分類模型�����,根據(jù)輸出結(jié)果確定待檢測(cè)腳本的類型�����;根據(jù)確定出的待檢測(cè)腳本的類型����,將待檢測(cè)腳本提供給該類型所對(duì)應(yīng)的腳本處理引擎,由該類型所對(duì)應(yīng)的腳本處理引擎檢測(cè)待檢測(cè)腳本中是否攜帶病毒���。[0008]可選地��,根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量的步驟包括:根據(jù)樣本的類型����,分別設(shè)定各個(gè)類型的樣本所對(duì)應(yīng)的至少一個(gè)樣本目標(biāo)特征;對(duì)于每個(gè)樣本���,根據(jù)該樣本的類型確定該樣本所對(duì)應(yīng)的各個(gè)樣本目標(biāo)特征,并在該樣本中查找并計(jì)算每個(gè)樣本目標(biāo)特征的出現(xiàn)頻率�;將每個(gè)樣本中的各個(gè)樣本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)樣本特征向量。
[0009]可選地���,樣本目標(biāo)特征包括:字符串��、字詞��、語(yǔ)句和/或標(biāo)點(diǎn)���。
[0010]可選地,獲取待檢測(cè)腳本的腳本特征向量的步驟包括:預(yù)先設(shè)定所有待檢測(cè)腳本所對(duì)應(yīng)的至少一個(gè)腳本目標(biāo)特征��,其中�,每個(gè)待檢測(cè)腳本所對(duì)應(yīng)的腳本目標(biāo)特征相同;對(duì)于每個(gè)待檢測(cè)腳本��,在該待檢測(cè)腳本中查找并計(jì)算每個(gè)腳本目標(biāo)特征的出現(xiàn)頻率���;將每個(gè)待檢測(cè)腳本中的各個(gè)腳本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)腳本特征向量�����。
[0011]可選地���,腳本目標(biāo)特征包括:各個(gè)類型的樣本所對(duì)應(yīng)的樣本目標(biāo)特征�。
[0012]可選地���,當(dāng)分類算法為決策樹算法時(shí)����,樣本分類模型為決策樹模型���;當(dāng)分類算法為支持向量機(jī)SVM算法時(shí)���,樣本分類模型為SVM模型;或者����,當(dāng)分類算法為貝葉斯算法時(shí),樣本分類模型為貝葉斯模型。
[0013]可選地�����,當(dāng)分類算法為決策樹算法��,樣本分類模型為決策樹模型時(shí)�����,通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算�,得到樣本分類模型的步驟包括:先對(duì)部分樣本的樣本特征向量進(jìn)行訓(xùn)練�,得到待修正的決策樹模型;當(dāng)判斷出待修正的決策樹模型不滿足預(yù)設(shè)精度時(shí)���,繼續(xù)對(duì)剩余樣本的樣本特征向量進(jìn)行訓(xùn)練���,直到訓(xùn)練后得到的決策樹模型滿足預(yù)設(shè)精度。
[0014]可選地����,樣本的類型以及待檢測(cè)腳本的類型根據(jù)腳本格式和/或腳本功能劃分。
[0015]可選地����,腳本處理引擎的數(shù)量為多個(gè)��,每個(gè)腳本處理引擎對(duì)應(yīng)至少一個(gè)腳本類型����,用于根據(jù)預(yù)設(shè)的該至少一個(gè)腳本類型對(duì)應(yīng)的病毒樣本特征來(lái)檢測(cè)屬于該至少一個(gè)腳本類型的待檢測(cè)腳本中是否攜帶病毒���,其中�,所述多個(gè)腳本處理引擎之間相互并行工作���。
[0016]可選地����,所述腳本處理引擎檢測(cè)所述待檢測(cè)腳本中是否攜帶病毒的步驟包括:獲取待檢測(cè)腳本的特征���,判斷所述待檢測(cè)腳本的特征是否與預(yù)設(shè)的病毒特征庫(kù)中的病毒特征匹配�����,若判斷結(jié)果為是�,則確定所述待檢測(cè)腳本攜帶有病毒�;其中,所述病毒特征庫(kù)設(shè)置在客戶端本地或云端服務(wù)器上,用于存儲(chǔ)病毒文件的病毒特征�����,其中��,所述病毒特征包括:md5值���。
[0017]依據(jù)本發(fā)明的一個(gè)方面����,提供了 一種基于腳本類型判斷的病毒檢測(cè)裝置���,包括:獲取單元,適于預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本�;模型生成單元,適于根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量���,并通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算����,得到樣本分類模型���;腳本判斷單元��,適于獲取待檢測(cè)腳本的腳本特征向量�����,將腳本特征向量輸入樣本分類模型�,根據(jù)輸出結(jié)果確定待檢測(cè)腳本的類型;病毒檢測(cè)單元�,適于根據(jù)確定出的待檢測(cè)腳本的類型,將待檢測(cè)腳本提供給該類型所對(duì)應(yīng)的腳本處理引擎����,由腳本處理引擎檢測(cè)待檢測(cè)腳本中是否攜帶病毒。
[0018]可選地���,模型生成單元進(jìn)一步包括:第一設(shè)定子單元�,適于根據(jù)樣本的類型��,分別設(shè)定各個(gè)類型的樣本所對(duì)應(yīng)的至少一個(gè)樣本目標(biāo)特征�����;第一查找子單元���,適于對(duì)于每個(gè)樣本����,根據(jù)該樣本的類型確定該樣本所對(duì)應(yīng)的各個(gè)樣本目標(biāo)特征,并在該樣本中查找并計(jì)算每個(gè)樣本目標(biāo)特征的出現(xiàn)頻率��;第一存儲(chǔ)子單元�����,適于將每個(gè)樣本中的各個(gè)樣本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)樣本特征向量���。
[0019]可選地�,樣本目標(biāo)特征包括:字符串�����、字詞��、語(yǔ)句和/或標(biāo)點(diǎn)�����。
[0020]可選地���,腳本判斷單元進(jìn)一步包括:第二設(shè)定子單元����,適于預(yù)先設(shè)定所有待檢測(cè)腳本所對(duì)應(yīng)的至少一個(gè)腳本目標(biāo)特征���,其中�,每個(gè)待檢測(cè)腳本所對(duì)應(yīng)的腳本目標(biāo)特征相同����;第二查找子單元,適于對(duì)于每個(gè)待檢測(cè)腳本����,在該待檢測(cè)腳本中查找并計(jì)算每個(gè)腳本目標(biāo)特征的出現(xiàn)頻率;第二存儲(chǔ)子單元�,適于將每個(gè)待檢測(cè)腳本中的各個(gè)腳本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)腳本特征向量。
[0021]可選地����,腳本目標(biāo)特征包括:各個(gè)類型的樣本所對(duì)應(yīng)的樣本目標(biāo)特征。
[0022]可選地���,當(dāng)分類算法為決策樹算法時(shí)��,樣本分類模型為決策樹模型��;當(dāng)分類算法為支持向量機(jī)SVM算法時(shí)����,樣本分類模型為SVM模型;或者���,當(dāng)分類算法為貝葉斯算法時(shí)��,樣本分類模型為貝葉斯模型�����。
[0023]可選地�����,當(dāng)分類算法為決策樹算法�,樣本分類模型為決策樹模型時(shí)����,模型生成單元用于:先對(duì)部分樣本的樣本特征向量進(jìn)行訓(xùn)練���,得到待修正的決策樹模型�;當(dāng)判斷出待修正的決策樹模型不滿足預(yù)設(shè)精度時(shí),繼續(xù)對(duì)剩余樣本的樣本特征向量進(jìn)行訓(xùn)練�,直到訓(xùn)練后得到的決策樹模型滿足預(yù)設(shè)精度。
[0024]可選地��,樣本的類型以及待檢測(cè)腳本的類型根據(jù)腳本格式和/或腳本功能劃分�����。
[0025]可選地����,腳本處理引擎的數(shù)量為多個(gè),每個(gè)腳本處理引擎對(duì)應(yīng)至少一個(gè)腳本類型�����,用于根據(jù)預(yù)設(shè)的該至少一個(gè)腳本類型對(duì)應(yīng)的病毒樣本特征來(lái)檢測(cè)屬于該至少一個(gè)腳本類型的待檢測(cè)腳本中是否攜帶病毒�,其中,所述多個(gè)腳本處理引擎之間相互并行工作��。
[0026]可選地�����,所述腳本處理引擎用于獲取待檢測(cè)腳本的特征,判斷所述待檢測(cè)腳本的特征是否與預(yù)設(shè)的病毒特征庫(kù)中的病毒特征匹配���,若判斷結(jié)果為是�����,則確定所述待檢測(cè)腳本攜帶有病毒����;其中����,所述病毒特征庫(kù)設(shè)置在客戶端本地或云端服務(wù)器上,用于存儲(chǔ)病毒文件的病毒特征����,其中,所述病毒特征包括:md5值�����。
[0027]在本發(fā)明實(shí)施例提供的基于腳本類型判斷的病毒檢測(cè)方法及裝置中����,預(yù)先根據(jù)樣本類型確定出各個(gè)樣本的樣本特征向量�����,并據(jù)此得到樣本分類模型,該模型用于對(duì)腳本進(jìn)行分類�����,由此�����,在需要判斷腳本類型時(shí)�,只需獲取腳本的腳本特征向量,并根據(jù)預(yù)先得到的樣本分類模型就可以完成腳本類型的判斷�。由此解決了現(xiàn)有技術(shù)中由人工分析腳本類型所導(dǎo)致的耗費(fèi)時(shí)間和精力,以及由此所導(dǎo)致的不便于將腳本類型判斷的方式應(yīng)用于腳本病毒檢測(cè)領(lǐng)域的技術(shù)問(wèn)題���,實(shí)現(xiàn)了能夠便捷高效地識(shí)別腳本類型�����,并根據(jù)腳本的類型進(jìn)行有針對(duì)性的病毒檢測(cè)�,以便提高檢測(cè)效率和準(zhǔn)確度的技術(shù)效果。
[0028]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段���,而可依照說(shuō)明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂����,以下特舉本發(fā)明的【具體實(shí)施方式】。
【專利附圖】
【附圖說(shuō)明】
[0029]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實(shí)施方式的目的�����,而并不認(rèn)為是對(duì)本發(fā)明的限制�����。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件���。在附圖中:
[0030]圖1示出了本發(fā)明實(shí)施例提供的基于腳本類型判斷的病毒檢測(cè)方法的流程圖����;以及
[0031]圖2示出了本發(fā)明實(shí)施例提供的基于腳本類型判斷的病毒檢測(cè)裝置的結(jié)構(gòu)圖�����?����!揪唧w實(shí)施方式】
[0032]下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例�。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例��,然而應(yīng)當(dāng)理解���,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制����。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)�����,并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。
[0033]本發(fā)明實(shí)施例提供了一種基于腳本類型判斷的病毒檢測(cè)方法及裝置��,用以解決現(xiàn)有技術(shù)中由人工分析腳本類型所導(dǎo)致的耗費(fèi)時(shí)間和精力����,以及由此所導(dǎo)致的不便于將腳本類型判斷的方式應(yīng)用于腳本病毒檢測(cè)領(lǐng)域的技術(shù)問(wèn)題����。
[0034]圖1示出了本發(fā)明實(shí)施例提供的基于腳本類型判斷的病毒檢測(cè)方法流程圖。如圖1所示���,該方法起始于步驟S110��,在步驟SllO中�,預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本�,根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量。
[0035]在步驟SllO中�,可以通過(guò)多種方式來(lái)獲取作為腳本的樣本����。例如����,可以預(yù)先通過(guò)多臺(tái)虛擬機(jī)并行運(yùn)行的方式來(lái)獲取樣本。其中����,每臺(tái)虛擬機(jī)可以運(yùn)行多臺(tái)XP對(duì)應(yīng)的實(shí)體機(jī),由此可以提升樣本收集的效率��。樣本的數(shù)量可以根據(jù)實(shí)際情況來(lái)確定����,例如����,精確要求越高的情況下所需的樣本數(shù)量也越多,反之樣本數(shù)量則越低���。另外�����,在本實(shí)施例中�,可以通過(guò)預(yù)設(shè)的動(dòng)態(tài)庫(kù),如qex.dll��,來(lái)實(shí)現(xiàn)獲取樣本的操作����。當(dāng)然,除了動(dòng)態(tài)庫(kù)的實(shí)現(xiàn)方式之外��,本領(lǐng)域技術(shù)人員也可以采用其它的軟�、硬件編程方式或硬件設(shè)備來(lái)實(shí)現(xiàn)本實(shí)施例中的各個(gè)步驟。
[0036]在步驟SllO中���,獲取到預(yù)設(shè)數(shù)量的樣本之后���,還需要進(jìn)一步確定每個(gè)樣本的類型。其中�,樣本的類型可以通過(guò)多種方式進(jìn)行劃分:例如,可以根據(jù)腳本的格式��、編寫的語(yǔ)言和/或腳本的功能進(jìn)行劃分����。在本實(shí)施例中���,以通過(guò)腳本格式劃分樣本類型為例進(jìn)行介紹,此時(shí)����,確定樣本類型的操作實(shí)質(zhì)上就是分析腳本格式的步驟。在具體分析腳本格式時(shí)�,可以通過(guò)多種方式來(lái)分析,本發(fā)明對(duì)具體的分析方式不做限定���。例如���,可以通過(guò)人工分析的方式逐行分析樣本中的可執(zhí)行代碼;或者���,也可以通過(guò)預(yù)先編寫的程序來(lái)逐行分析樣本中的可執(zhí)行代碼,以便確定樣本的格式���。
[0037]在確定出各個(gè)樣本的類型之后��,還需要根據(jù)樣本的類型來(lái)確定每個(gè)樣本的樣本特征向量��。其中�����,樣本特征向量的作用在于標(biāo)識(shí)某一類型的樣本的共同特征�,因此,只要是能夠反映出該類型的樣本的共同特征的向量都可以作為樣本特征向量����,本發(fā)明對(duì)樣本特征向量的具體選取方式不做限定。
[0038]下面給出樣本特征向量的一種可能的確定方式:
[0039]首先����,根據(jù)樣本的類型,分別設(shè)定各個(gè)類型的樣本所對(duì)應(yīng)的至少一個(gè)樣本目標(biāo)特征�。也就是說(shuō),每個(gè)類型的樣本分別對(duì)應(yīng)著一組或多組樣本目標(biāo)特征�����。
[0040]例如��,JS格式的樣本所對(duì)應(yīng)的樣本目標(biāo)特征可以通過(guò)如下數(shù)據(jù)結(jié)構(gòu)進(jìn)行定義:
[0041]
【權(quán)利要求】
1.一種基于腳本類型判斷的病毒檢測(cè)方法����,包括: 預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本,根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量,并通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算���,得到樣本分類模型��; 獲取待檢測(cè)腳本的腳本特征向量�,將所述腳本特征向量輸入所述樣本分類模型���,根據(jù)輸出結(jié)果確定所述待檢測(cè)腳本的類型�; 根據(jù)確定出的待檢測(cè)腳本的類型��,將所述待檢測(cè)腳本提供給該類型所對(duì)應(yīng)的腳本處理引擎�,由該類型所對(duì)應(yīng)的腳本處理引擎檢測(cè)所述待檢測(cè)腳本中是否攜帶病毒。
2.如權(quán)利要求1所述的方法����,其中,所述根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量的步驟包括: 根據(jù)樣本的類型��,分別設(shè)定各個(gè)類型的樣本所對(duì)應(yīng)的至少一個(gè)樣本目標(biāo)特征���; 對(duì)于每個(gè)樣本,根據(jù)該樣本的類型確定該樣本所對(duì)應(yīng)的各個(gè)樣本目標(biāo)特征����,并在該樣本中查找并計(jì)算每個(gè)樣本目標(biāo)特征的出現(xiàn)頻率�; 將每個(gè)樣本中的各個(gè)樣本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)樣本特征向量��。
3.如權(quán)利要求2所述的方法����,其中,所述樣本目標(biāo)特征包括:字符串�����、字詞����、語(yǔ)句和/或標(biāo)點(diǎn)。
4.如權(quán)利要求2或3所述的方法���,其中��,所述獲取待檢測(cè)腳本的腳本特征向量的步驟包括: 預(yù)先設(shè)定所有待檢測(cè)腳本所對(duì)應(yīng)的至少一個(gè)腳本目標(biāo)特征�����,其中��,每個(gè)待檢測(cè)腳本所對(duì)應(yīng)的腳本目標(biāo)特征相同���; 對(duì)于每個(gè)待檢測(cè)腳本�,在該待檢測(cè)腳本中查找并計(jì)算每個(gè)腳本目標(biāo)特征的出現(xiàn)頻率�����; 將每個(gè)待檢測(cè)腳本中的各個(gè)腳本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)腳本特征向量�����。
5.如權(quán)利要求4所述的方法�����,其中�����,所述腳本目標(biāo)特征包括:各個(gè)類型的樣本所對(duì)應(yīng)的樣本目標(biāo)特征���。
6.如權(quán)利要求1-5任一所述的方法����,其中����,當(dāng)所述分類算法為決策樹算法時(shí),所述樣本分類模型為決策樹模型�; 當(dāng)所述分類算法為支持向量機(jī)SVM算法時(shí),所述樣本分類模型為SVM模型�;或者, 當(dāng)所述分類算法為貝葉斯算法時(shí)�,所述樣本分類模型為貝葉斯模型。
7.如權(quán)利要求6所述的方法����,其中,當(dāng)所述分類算法為決策樹算法���,所述樣本分類模型為決策樹模型時(shí)�����,所述通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算�����,得到樣本分類模型的步驟包括: 先對(duì)部分樣本的樣本特征向量進(jìn)行訓(xùn)練�,得到待修正的決策樹模型; 當(dāng)判斷出所述待修正的決策樹模型不滿足預(yù)設(shè)精度時(shí)����,繼續(xù)對(duì)剩余樣本的樣本特征向量進(jìn)行訓(xùn)練,直到訓(xùn)練后得到的決策樹模型滿足預(yù)設(shè)精度��。
8.如權(quán)利要求1所述的方法����,其中,所述樣本的類型以及待檢測(cè)腳本的類型根據(jù)腳本格式和/或腳本功能劃分���。
9.一種基于腳本類型判斷的病毒檢測(cè)裝置���,包括: 獲取單元,適于預(yù)先獲取預(yù)設(shè)數(shù)量的腳本作為樣本���; 模型生成單元���,適于根據(jù)樣本的類型確定每個(gè)樣本的樣本特征向量,并通過(guò)預(yù)設(shè)的分類算法對(duì)各個(gè)樣本的樣本特征向量進(jìn)行計(jì)算���,得到樣本分類模型�����; 腳本判斷單元��,適于獲取待檢測(cè)腳本的腳本特征向量���,將所述腳本特征向量輸入所述樣本分類模型,根據(jù)輸出結(jié)果確定所述待檢測(cè)腳本的類型���; 病毒檢測(cè)單元���,適于根據(jù)確定出的待檢測(cè)腳本的類型,將所述待檢測(cè)腳本提供給該類型所對(duì)應(yīng)的腳本處理引擎����,由所述腳本處理引擎檢測(cè)所述待檢測(cè)腳本中是否攜帶病毒。
10.如權(quán)利要求9所述的裝置�����,其中����,所述模型生成單元進(jìn)一步包括: 第一設(shè)定子單元���,適于根據(jù)樣本的類型,分別設(shè)定各個(gè)類型的樣本所對(duì)應(yīng)的至少一個(gè)樣本目標(biāo)特征���; 第一查找子單元����,適于對(duì)于每個(gè)樣本���,根據(jù)該樣本的類型確定該樣本所對(duì)應(yīng)的各個(gè)樣本目標(biāo)特征����,并在該樣本中查找并計(jì)算每個(gè)樣本目標(biāo)特征的出現(xiàn)頻率�; 第一存儲(chǔ)子單元,適于將每個(gè)樣本中的各個(gè)樣本目標(biāo)特征及其出現(xiàn)頻率對(duì)應(yīng)存儲(chǔ)為一個(gè)樣本特征向量���。`
【文檔編號(hào)】G06F21/56GK103577756SQ201310544226
【公開(kāi)日】2014年2月12日 申請(qǐng)日期:2013年11月5日 優(yōu)先權(quán)日:2013年11月5日
【發(fā)明者】陳卓, 范紀(jì)鍠, 楊康, 唐海 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司