病毒檢測機的生成方法和裝置及病毒檢測方法和裝置制造方法【專利摘要】本發(fā)明公開了一種病毒檢測機的生成方法和生成裝置及病毒檢測方法和檢測裝置,該病毒檢測機的生成方法包括:獲取多個正常文件�����,并通過病毒樣本感染該多個正常文件以生成多個被感染文件�����;獲取該病毒樣本運行時的行為特征���,并根據該行為特征���、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果��;根據該分類結果獲取該病毒樣本對應的病毒類型特征�;以及根據該病毒類型特征生成病毒檢測機��。該病毒檢測機的生成方法提高了病毒檢測的準確度����,并且降低了病毒檢測工作的復雜度?����!緦@f明】病毒檢測機的生成方法和裝置及病毒檢測方法和裝置【
技術領域:
】[0001]本發(fā)明涉及網絡安全【
技術領域:
】�����,特別涉及一種病毒檢測機的生成方法和生成裝置及病毒檢測方法和檢測裝置���?���!?br>背景技術:
】[0002]隨著計算機技術的發(fā)展���,計算機病毒的種類也越來越多。對于感染型病毒��,一般都具有一些通用性特征��,例如�����,區(qū)段屬性可寫等特征���。因此���,在感染型病毒的檢測中,可以使用這些通用性特征判斷目標文件是否被感染型病毒感染�。[0003]具體而言,首先����,需要進行大量感染型病毒樣本的分析,以提取這些感染型病毒樣本的通用性特征���,并且根據檢測者的經驗利用通用性特征制定計算機病毒的檢測規(guī)則�。然后,進行目標文件的分析��,以提取該目標文件中的特征���。最后�,檢測該目標文件的特征是否符合已制定的檢測規(guī)則�����,從而判斷該目標文件是否被感染����。[0004]然而目前技術存在的問題是,大量感染型病毒樣本的分析所需的工作量較大�����,并且根據檢測者的經驗制定的檢測規(guī)則的準確度較低�、檢測誤差較大?!?br/>發(fā)明內容】[0005]本發(fā)明旨在至少在一定程度上解決現有技術中的上述技術問題之一。為此����,本發(fā)明的一個目的在于提出一種檢測準確度較高��、檢測工作量較小的病毒檢測機生成方法和裝置及病毒檢測方法和裝置���。[0006]本發(fā)明實施例的第一方面提出一種病毒檢測機的生成方法��,包括:獲取多個正常文件,并通過病毒樣本感染該多個正常文件以生成多個被感染文件�����;獲取該病毒樣本運行時的行為特征����,并根據該行為特征、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果��;根據該分類結果獲取該病毒樣本對應的病毒類型特征�����;以及根據該病毒類型特征生成病毒檢測機�����。[0007]在本發(fā)明的實施例中,通過獲取病毒樣本運行時的行為特征����,并根據該行為特征對病毒樣本進行分類,以及根據分類結果提取該病毒樣本對應的病毒類型特征進而生成最終的病毒檢測機�����,避免了根據經驗制定規(guī)則病毒檢測規(guī)則����,并且使用病毒檢測機代替人工完成了病毒檢測工作。因此��,提高了病毒檢測的準確度�,并且降低了病毒檢測工作的復雜度。[0008]在本發(fā)明的一個具體實施例中����,根據該行為特征、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果具體包括:將該多個正常文件分別與對應的該多個被感染文件進行對比�,并獲取該對比結果;根據該對比結果獲取該病毒樣本運行時的該行為特征��;以及根據該病毒樣本的該行為特征��,對該病毒樣本進行分類以獲取該病毒樣本的分類結果。[0009]在本發(fā)明的一個實施例中�����,該根據該病毒樣本的該行為特征���,對該病毒樣本進行分類以獲取該病毒樣本的分類結果具體包括:根據該病毒樣本的該行為特征�,將該病毒樣本分類為感染型病毒樣本和非感染型病毒樣本���,其中,若該非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值�,則將該非感染型病毒樣本分類為非感染加殼型病毒樣本;若該非感染型病毒樣本的該導入函數數量大于或等于預設的該導入函數數量閾值�����,則將該非感染型病毒樣本分類為非感染非加殼型病毒樣本��;若該感染型病毒樣本對應的該被感染文件的入口點與該被感染文件對應的正常文件的入口點不同��,則將該感染型病毒樣本分類為修改入口點的感染型病毒樣本���;以及若該感染型病毒樣本對應的該被感染文件的入口點與該被感染文件對應的正常文件的入口點相同��,則將該感染型病毒樣本分類為不修改入口點的感染型病毒樣本�����。[0010]在本發(fā)明的一個具體實施例中�����,該根據該分類結果獲取該病毒樣本對應的病毒類型特征具體包括:根據該分類結果從預設感染型特征集合中提取出對應的該病毒類型特征��。[0011]在本發(fā)明的一個具體實施例中��,該根據該病毒類型特征生成病毒檢測機具體包括:使用機器學習機加載該病毒類型特征以生成初始病毒檢測機���;使用該初始病毒檢測機對多個被感染樣本文件進行檢測���,并計算正確的檢測結果的數量,其中����,如果該正確的檢測結果的數量大于檢測率閾值,則將該初始病毒檢測機作為最終病毒檢測機�����;以及如果該檢測結果正確的數量小于或等于該檢測率閾值,則對該初始病毒檢測機進行調整以生成最終病毒檢測機��。[0012]在本發(fā)明的一個具體實施例中�����,該初始病毒檢測機進行調整以生成最終病毒檢測機還包括:增加該初始病毒檢測機所加載的該病毒類型特征的數量�,直至該檢測結果正確的數量大于或等于該檢測率閾值。[0013]優(yōu)選地����,在本發(fā)明的一個實施例中,該機器學習機為支持向量機�����、神經網絡或卡馬卡-卡譜算法�。[0014]本發(fā)明實施例的第二方面提出一種病毒檢測機的生成裝置�����,包括:被感染文件生成模塊�,該被感染文件生成模塊用于獲取多個正常文件,并通過病毒樣本感染該多個正常文件以生成多個被感染文件�;分類結果獲取模塊���,該分類結果獲取模塊用于獲取該病毒樣本運行時的行為特征,并根據該行為特征����、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果;病毒類型特征模塊�,該病毒類型特征模塊用于根據該分類結果獲取該病毒樣本對應的病毒類型特征;以及病毒檢測機生成模塊�����,該病毒檢測機生成模塊用于根據該病毒類型特征生成病毒檢測機�����。[0015]在本發(fā)明的實施例中����,通過獲取病毒樣本運行時的行為特征,并根據該行為特征對病毒樣本進行分類����,以及根據分類結果提取該病毒樣本對應的病毒類型特征進而生成最終的病毒檢測機,避免了根據經驗制定規(guī)則病毒檢測規(guī)則�,并且使用病毒檢測機代替人工完成了病毒檢測工作����。因此�����,提高了病毒檢測的準確度��,并且降低了病毒檢測工作的復雜度�。[0016]在本發(fā)明的一個具體實施例中,該分類結果獲取模塊具體包括:文件對比子模塊���,該文件對比子模塊用于將該多個正常文件分別與對應的該多個被感染文件進行對比�,并獲取該對比結果����;行為特征獲取子模塊��,該行為特征獲取子模塊用于根據該對比結果獲取該病毒樣本運行時的該行為特征���;以及分類結果獲取子模塊�����,該分類結果獲取子模塊用于根據該病毒樣本的該行為特征���,對該病毒樣本進行分類以獲取該病毒樣本的分類結果����。[0017]在本發(fā)明的一個具體實施例中�����,該分類結果獲取子模塊具體包括:初級分類子模塊�,該初級分類子模塊用于根據該病毒樣本的該行為特征,將該病毒樣本分類為感染型病毒樣本和非感染型病毒樣本����;次級分類子模塊,該次級分類子模塊用于根據該病毒樣本的該行為特征�����,將該感染型病毒樣本和該非感染型病毒樣本進行次級分類����,其中,該次級分類具體包括:若該非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值,則將該非感染型病毒樣本分類為非感染加殼型病毒樣本�;若該非感染型病毒樣本的該導入函數數量大于或等于預設的該導入函數數量閾值,則將該非感染型病毒樣本分類為非感染非加殼型病毒樣本�;若該感染型病毒樣本對應的該被感染文件的入口點與該被感染文件對應的正常文件的入口點不同,則將該感染型病毒樣本分類為修改入口點的感染型病毒樣本�����;以及若該感染型病毒樣本對應的該被感染文件的入口點與該被感染文件對應的正常文件的入口點相同���,則將該感染型病毒樣本分類為不修改入口點的感染型病毒樣本�����。[0018]在本發(fā)明的一個具體實施例中�,該病毒類型特征模塊具體包括:感染型特征集合預設子模塊�,該感染型特征集合預設子模塊用于根據多個感染型特征生成預設感染型特征集合;以及病毒類型特征提取子模塊�,該病毒類型特征提取子模塊用于根據該分類結果從該預設感染型特征集合中提取出對應的該病毒類型特征。[0019]在本發(fā)明的一個具體實施例中��,該病毒檢測機生成模塊具體包括:機器學習機�,該機器學習機用于加載該病毒類型特征以生成初始病毒檢測機�����;檢測結果統(tǒng)計子模塊,該檢測機校驗子模塊用于使用該初始病毒檢測機對多個被感染樣本文件進行檢測�����,并計算正確的檢測結果的數量����;以及檢測機校正子模塊,該檢測機校正子模塊用于根據該檢測結果正確的數量和該檢測率閾值����,對該初始病毒檢測機進行調整以生成最終病毒檢測機。[0020]在本發(fā)明的一個優(yōu)選實施例中��,該病毒檢測機生成模塊具體用于增加該初始病毒檢測機所加載的該病毒類型特征的數量直至該檢測結果正確的數量大于或等于該檢測率閾值�。[0021]優(yōu)選地,在本發(fā)明的一個實施例中��,該機器學習機為支持向量機����、神經網絡或卡馬卡-卡譜算法。[0022]本發(fā)明實施例的第三方面提出一種病毒檢測方法���,包括:獲取多個正常文件��,并通過病毒樣本感染該多個正常文件以生成多個被感染文件��;獲取該病毒樣本運行時的行為特征����,并根據該行為特征、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果����;根據該分類結果獲取該病毒樣本對應的病毒類型特征;以及根據該病毒類型特征對目標文件進行病毒檢測����。[0023]本發(fā)明實施例的第四方面提出一種病毒檢測裝置,包括:被感染文件生成模塊����,該被感染文件生成模塊用于獲取多個正常文件,并通過病毒樣本感染該多個正常文件以生成多個被感染文件����;分類結果獲取模塊,該分類結果獲取模塊用于獲取該病毒樣本運行時的行為特征��,并根據該行為特征、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果��;病毒類型特征模塊��,該病毒類型特征模塊用于根據該分類結果獲取該病毒樣本對應的病毒類型特征�����;以及病毒檢測模塊���,該病毒檢測機生成模塊用于根據該病毒類型特征進行病毒檢測?!緦@綀D】【附圖說明】[0024]圖1是根據本發(fā)明實施例的病毒檢測機的生成方法的流程圖;[0025]圖2是根據本發(fā)明實施例的病毒檢測機的生成方法的病毒樣本分類的流程圖���;[0026]圖3是根據本發(fā)明實施例的病毒檢測機的生成方法的病毒樣本分類的示意圖��;[0027]圖4是根據本發(fā)明實施例的病毒檢測機的生成裝置的結構示意圖��;[0028]圖5是根據本發(fā)明實施例的病毒檢測機提取病毒類型特征的流程示意圖�����;以及[0029]圖6是根據本發(fā)明實施例的病毒檢測方法的流程圖����。【具體實施方式】[0030]下面詳細描述本發(fā)明的實施例����,實施例的示例在附圖中示出,其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件�。下面通過參考附圖描述的實施例是示例性的,旨在用于解釋本發(fā)明���,而不能理解為對本發(fā)明的限制���。[0031]在本申請的描述中,“多個”的含義是兩個或兩個以上���,除非另有明確具體的限定�。此外��,對于本領域的普通技術人員而言�����,可以根據具體情況理解上述術語在本申請中的具體含義���。[0032]下面參照附圖來描述根據本申請實施例提出的病毒檢測機的生成方法和生成裝置及病毒檢測方法和檢測裝置�����。[0033]圖1是根據本發(fā)明實施例的病毒檢測機的生成方法的流程圖�����。[0034]如圖1所示�����,在本發(fā)明的一個實施例中����,病毒檢測機的生成方法包括:[0035]S101���,獲取多個正常文件���,并通過病毒樣本感染多個正常文件以生成多個被感染文件。在本發(fā)明的一個具體實施例中����,通過多個正常文件[0036]S102�,獲取病毒樣本運行時的行為特征���,并根據行為特征��、多個正常文件和多個被感染文件獲取病毒樣本的分類結果�。具體地���,該病毒樣本運行時的行為特征包括:修改可移植可執(zhí)行文件(即PortableExecutable文件,簡稱PE文件)的入口點所在節(jié)的屬性的可讀性����、可寫性和可執(zhí)行性�;將PE文件的入口點所在節(jié)修改為資源節(jié);將PE文件的入口點所在節(jié)修改為最后一個節(jié)JtPE文件的入口點的代碼進行混淆變形�����;在PE文件的入口處代碼中添加跨節(jié)跳���;在PE文件的各個節(jié)的縫隙之間插入病毒代碼�;對PE文件進行額外加節(jié)�����;修改PE文件的節(jié)屬性;以及修改PE文件的資源節(jié)或數據節(jié)的可讀性�����、可寫性和可執(zhí)行性���。[0037]圖2是根據本發(fā)明實施例的病毒檢測機的生成方法的病毒樣本分類的流程圖�。具體地��,如圖2所示�,步驟S102包括:[0038]S1021�,將該多個正常文件分別與對應的該多個被感染文件進行對比,并獲取該對比結果���。[0039]S1022����,根據該對比結果獲取該病毒樣本運行時的該行為特征��。[0040]S1023,以及根據該病毒樣本的該行為特征�,對該病毒樣本進行分類以獲取該病毒樣本的分類結果。[0041]圖3是根據本發(fā)明實施例的病毒檢測機的生成方法的病毒樣本b分類的示意圖���。[0042]如圖3所示�����,步驟S1023具體包括:根據該病毒樣本b的該行為特征e����,將該病毒樣本b分類為非感染型病毒樣本bl和感染型病毒樣本b2,其中�����,若該非感染型病毒樣本bl的導入函數數量m小于預設的導入函數數量閾值��,則將該非感染型病毒樣本bl分類為非感染加殼型病毒樣本blOl;若該非感染型病毒樣本bl的該導入函數數量m大于或等于預設的該導入函數數量閾值��,則將該非感染型病毒樣本bl分類為非感染非加殼型病毒樣本bl02�����;若該感染型病毒樣本b2對應的該被感染文件c的入口點η與該被感染文件c對應的正常文件a的入口點η不同����,則將該感染型病毒樣本b2分類為修改入口點的感染型病毒樣本b201;以及若該感染型病毒樣本b2對應的該被感染文件c的入口點η與該被感染文件c對應的正常文件a的入口點η相同,則將該感染型病毒樣本b2分類為不修改入口點的感染型病毒樣本b202��。[0043]S103�,根據分類結果獲取病毒樣本對應的病毒類型特征。在本發(fā)明的具體實施例中��,病毒類型特征是根據分類結果從預設感染型特征集合中提取出的����。[0044]如圖3所示,在本發(fā)明的一個具體實施例中�����,根據該病毒類型特征獲取該病毒文本的代碼具體包括:[0045](I)非感染非加殼型病毒樣本的特征代碼獲取方式���。從非感染非加殼型病毒樣本入口點后繞過編譯器字符串,提取一段或多段字符串并記錄該字符串的位置信息��,將該字符串和該字符串的位置信息作為非感染非加殼型病毒樣本的特征代碼���。[0046](2)非感染加殼型病毒樣本的特征代碼獲取方式���。從設定的提取位置提取出非感染加殼型病毒樣本的一段或多段字符串,對該字符串進行散列計算,將進行散列計算后的字符串作為非感染加殼型病毒樣本的特征代碼���。[0047](3)修改入口點的感染型病毒樣本的特征代碼獲取方式�。獲取修改入口點的感染型病毒樣本所感染的多個被感染文件后���,對比這些被感染文件的入口點后的字符串�����,并利用相似算法計算這些被感染文件的字符串的相似度���,提取出相似度大于預設的閾值的字符串的相同部分作為公共字符串。用通配符替換相似度大于預設的閾值的字符串的不同部分����,將該公共字符串和該通配符作為修改入口點的感染型病毒樣本的特征代碼。[0048](4)不修改入口點的感染型病毒的特征代碼獲取方式����。對比正常文件及對應的被不修改入口點的感染型病毒樣本感染后的被感染文件,利用相似算法計算該被感染文件中相比于正常文件增加的字符串的相似度����,并提取相似度大于預設的閾值的字符串的相同部分作為公共字符串��。用通配符替換相似度大于設定的閾值的字符串的不同部分�����,并將該公共字符串和該通配符作為該不修改入口點的感染型病毒樣本的特征碼�。[0049]S104,根據病毒類型特征生成病毒檢測機���。[0050]具體地��,在本發(fā)明的實施例中���,步驟S104包括:使用機器學習機加載該病毒類型特征以生成初始病毒檢測機;使用該初始病毒檢測機對多個被感染樣本文件進行檢測�,并計算正確的檢測結果的數量,其中����,如果該正確的檢測結果的數量大于檢測率閾值��,則將該初始病毒檢測機作為最終病毒檢測機���;以及如果該檢測結果正確的數量小于或等于該檢測率閾值����,則對該初始病毒檢測機進行調整以生成最終病毒檢測機。[0051]在本發(fā)明的一個具體實施例中��,首先使用支持向量機(即SupportVectorMachine���,簡稱SVM)對已知訓練的特征集合中(感染型病毒特征集合和正常文件特征集合)進行統(tǒng)計分析��,以得到正常文件特征集合與感染型病毒文件特征集合之間的區(qū)別���,并將這個區(qū)別記錄在訓練文件中。在本發(fā)明的實施例中�����,支持向量機學習黑白樣本����,即被感染文件樣本和正常文件樣本,以獲取病毒文件和正常文件之間的區(qū)別情況��。然后����,使用多個正常文件和對應的被感染文件對加載了病毒類型特征的支持向量機進行預測測試���,即檢測該支持向量機的誤報漏報情況,并統(tǒng)計正確的檢測結果的數量�����。之后����,根據預設的檢測率閾值,如果正確的檢測結果的數量小于檢測率閾值�,則適當調整該支持向量機加載的病毒類型特征,并再次檢測該支持向量機的誤報漏報情況�,直至正確的檢測結果的數量大于或等于預設的檢測率閾值為止。如果病毒類型過多影響了病毒檢測的效率���,則使用主成分分析算法(即PrincipalComponentAnalysis算法,簡稱PCA算法)精簡病毒類型特征的數量,進而提高病毒檢測的效率��。具體地����,刪除區(qū)分度不高的病毒類型特征����,增加區(qū)分度高的病毒類型特征,直至支持向量機的檢測結果漏報誤報的情況符合預期結果����,即正確的檢測結果的數量大于或等于預設的檢測率閾值。最后��,將調整好的支持向量機作為最終的病毒檢測機進行病毒檢測工作�。[0052]在本發(fā)明的實施例中,通過獲取病毒樣本運行時的行為特征����,并根據該行為特征對病毒樣本進行分類,以及根據分類結果提取該病毒樣本對應的病毒類型特征進而生成最終的病毒檢測機����,避免了根據經驗制定規(guī)則病毒檢測規(guī)則,并且使用病毒檢測機代替人工完成了病毒檢測工作�。因此,提高了病毒檢測的準確度�����,并且降低了病毒檢測工作的復雜度��。[0053]圖4是根據本發(fā)明實施例的病毒檢測機的生成裝置的結構示意圖��。[0054]如圖4所示,在本發(fā)明的一個實施例中��,病毒檢測機的生成裝置�����,包括:被感染文件生成模塊10��、分類結果獲取模塊20��、病毒類型特征模塊30及病毒檢測機生成模塊40�。其中,該被感染文件生成模塊10用于獲取多個正常文件a���,并通過病毒樣本b感染該多個正常文件a以生成多個被感染文件C��。該分類結果獲取模塊20用于獲取該病毒樣本b運行時的行為特征e�,并根據該行為特征e�、該多個正常文件a和該多個被感染文件c獲取該病毒樣本b的分類結果f。該病毒類型特征模塊30用于根據該分類結果f獲取該病毒樣本b對應的病毒類型特征h�����。該病毒檢測機生成模塊40用于根據該病毒類型特征h生成病毒檢測機I。[0055]在本發(fā)明的實施例中�����,通過獲取病毒樣本運行時的行為特征����,并根據該行為特征對病毒樣本進行分類�,以及根據分類結果提取該病毒樣本對應的病毒類型特征進而生成最終的病毒檢測機,避免了根據經驗制定規(guī)則病毒檢測規(guī)則��,并且使用病毒檢測機代替人工完成了病毒檢測工作�。因此,提高了病毒檢測的準確度��,并且降低了病毒檢測工作的復雜度����。[0056]如圖4所示,在本發(fā)明的一個具體實施例中�����,該分類結果獲取模塊20具體包括:文件對比子模塊201�����、行為特征獲取子模塊202和分類結果獲取子模塊203。其中����,該文件對比子模塊201用于將該多個正常文件a分別與對應的該多個被感染文件c進行對比,并獲取該對比結果d��。該行為特征獲取子模塊202用于根據該對比結果d獲取該病毒樣本b運行時的該行為特征e���。該分類結果獲取子模塊203用于根據該病毒樣本b的該行為特征e����,對該病毒樣本b進行分類以獲取該病毒樣本b的分類結果f���。[0057]在本發(fā)明的一個具體實施例中�����,該分類結果獲取子模塊203具體包括:初級分類子模塊2031和次級分類子模塊2032���。其中,該初級分類子模塊2031用于根據該病毒樣本b的該行為特征e�����,將該病毒樣本b分類為非感染型病毒樣本bl和感染型病毒樣本b2。該次級分類子模塊2032用于根據該病毒樣本b的該行為特征e,將該非感染型病毒樣本bl和該感染型病毒樣本b2進行次級分類���。其中��,該次級分類具體包括:若該非感染型病毒樣本bl的導入函數數量m小于預設的導入函數數量閾值��,則將該非感染型病毒樣本bl分類為非感染加殼型病毒樣本blOl;若該非感染型病毒樣本bl的該導入函數數量m大于或等于預設的該導入函數數量閾值,則將該非感染型病毒樣本bl分類為非感染非加殼型病毒樣本bl02;若該感染型病毒樣本b2對應的該被感染文件c的入口點η與該被感染文件c對應的正常文件a的入口點η不同���,則將該感染型病毒樣本b2分類為修改入口點的感染型病毒樣本b201;以及若該感染型病毒樣本b2對應的該被感染文件c的入口點η與該被感染文件c對應的正常文件a的入口點η相同���,則將該感染型病毒樣本b2分類為不修改入口點的感染型病毒樣本b202。[0058]具體地��,在本發(fā)明的一個實施例中�����,該病毒類型特征模塊30包括:感染型特征集合預設子模塊301和病毒類型特征提取子模塊302�����。該感染型特征集合預設子模塊301用于根據多個感染型特征生成預設感染型特征集合g。該病毒類型特征提取子模塊302用于根據該分類結果f從該預設感染型特征集合g中提取出對應的該病毒類型特征h���。[0059]圖5是根據本發(fā)明實施例的病毒檢測機提取病毒類型特征的流程示意圖�����。[0060]如圖4和圖5所示�����,具體地�����,在本發(fā)明的一個具體實施例中�,該病毒檢測模塊40具體包括:機器學習機401����、檢測結果統(tǒng)計子模塊402和檢測機校正及模塊403。其中���,該機器學習機401用于加載該病毒類型特征h以生成初始病毒檢測機i��。該檢測機校驗子模塊402用于使用該初始病毒檢測機i對多個被感染樣本文件j進行檢測��,并計算正確的檢測結果的數量�。該檢測機校正子模塊403用于根據該檢測結果正確的數量和該檢測率閾值k,對該初始病毒檢測機i進行調整以生成最終病毒檢測機I�����。其中��,該病毒檢測機生成模塊40還用于增加該初始病毒檢測機i所加載的該病毒類型特征h的數量直至該檢測結果正確的數量大于或等于該檢測率閾值k�����。[0061]優(yōu)選地���,在本發(fā)明的一個具體實施例中,該機器學習機401為支持向量機�、神經網絡或卡馬卡-卡譜算法。當然��,機器學習機401也可以是其他可進行機器學習的算法����。[0062]圖6是根據本發(fā)明實施例的病毒檢測方法的流程圖。[0063]如圖6所示�����,在本發(fā)明的一個具體實施例中,根據發(fā)明實施例的病毒檢測方法包括:[0064]S201���,獲取多個正常文件����,并通過病毒樣本感染該多個正常文件以生成多個被感染文件����。[0065]S202,獲取該病毒樣本運行時的行為特征���,并根據該行為特征�����、該多個正常文件和該多個被感染文件獲取該病毒樣本的分類結果��。[0066]S203,根據該分類結果獲取該病毒樣本對應的病毒類型特征��。[0067]S204,根據該病毒類型特征對目標文件進行病毒檢測�����。[0068]此外�����,根據本發(fā)明實施例的病毒檢測裝置包括:被感染文件生成模塊10�����、分類結果獲取模塊20����、病毒類型特征模塊30和病毒檢測模塊40。其中��,該被感染文件生成模塊10用于獲取多個正常文件a�,并通過病毒樣本b感染該多個正常文件a以生成多個被感染文件C。該分類結果獲取模塊20用于獲取該病毒樣本b運行時的行為特征e���,并根據該行為特征e、該多個正常文件a和該多個被感染文件c獲取該病毒樣本的分類結果f�。該病毒類型特征模塊30用于根據該分類結果f獲取該病毒樣本b對應的病毒類型特征h。該病毒檢測機生成模塊40用于根據該病毒類型特征h進行病毒檢測����。[0069]在本發(fā)明的實施例中��,通過獲取病毒樣本運行時的行為特征��,并根據該行為特征對病毒樣本進行分類�,以及根據分類結果提取該病毒樣本對應的病毒類型特征進而生成最終的病毒檢測機���,避免了根據經驗制定規(guī)則病毒檢測規(guī)則�����,并且使用病毒檢測機代替人工完成了病毒檢測工作����。因此�����,提高了病毒檢測的準確度�����,并且降低了病毒檢測工作的復雜度�����。[0070]在本說明書的描述中,參考術語“一個實施例”�、“一些實施例”、“示例”���、“具體示例”��、或“一些示例”等的描述意指結合該實施例或示例描述的具體特征��、結構�����、材料或者特點包含于本發(fā)明的至少一個實施例或示例中���。在本說明書中,對上述術語的示意性表述不必須針對的是相同的實施例或示例����。而且,描述的具體特征��、結構�����、材料或者特點可以在任何的一個或多個實施例或示例中以合適的方式結合�����。此外���,本領域的技術人員可以將本說明書中描述的不同實施例或示例進行接合和組合�。[0071]盡管上面已經示出和描述了本發(fā)明的實施例����,可以理解的是,上述實施例是示例性的���,不能理解為對本發(fā)明的限制��,本領域的普通技術人員在本發(fā)明的范圍內可以對上述實施例進行變化�����、修改�、替換和變型�����。【權利要求】1.一種病毒檢測機的生成方法���,其特征在于�,包括:獲取多個正常文件�����,并通過病毒樣本感染所述多個正常文件以生成多個被感染文件�����;獲取所述病毒樣本運行時的行為特征����,并根據所述行為特征、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果����;根據所述分類結果獲取所述病毒樣本對應的病毒類型特征;以及根據所述病毒類型特征生成病毒檢測機����。2.如權利要求1所述的病毒檢測機的生成方法���,其特征在于���,所述根據所述行為特征��、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果具體包括:將所述多個正常文件分別與對應的所述多個被感染文件進行對比���,并獲取所述對比結果;根據所述對比結果獲取所述病毒樣本運行時的所述行為特征;以及根據所述病毒樣本的所述行為特征���,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果�。3.如權利要求2所述的病毒檢測機的生成方法�����,其特征在于�����,所述根據所述病毒樣本的所述行為特征��,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果具體包括:根據所述病毒樣本的所述行為特征����,將所述病毒樣本分類為感染型病毒樣本和非感染型病毒樣本�,其中�,若所述非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值,則將所述非感染型病毒樣本分類為非感染加殼型病毒樣本��;若所述非感染型病毒樣本的所述導入函數數量大于或等于預設的所述導入函數數量閾值���,則將所述非感染型病毒樣本分類為非感染非加殼型病毒樣本�;若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點不同��,則將所述感染型病毒樣本分類為修改入口點的感染型病毒樣本���;以及若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點相同�����,則將所述感染型病毒樣本分類為不修改入口點的感染型病毒樣本�����。4.如權利要求1所述的病毒檢測機的生成方法���,其特征在于��,所述根據所述分類結果獲取所述病毒樣本對應的病毒類型特征具體包括:根據所述分類結果從預設感染型特征集合中提取出對應的所述病毒類型特征���。5.如權利要求1所述的病毒檢測機的生成方法,其特征在于����,所述根據所述病毒類型特征生成病毒檢測機具體包括:使用機器學習機加載所述病毒類型特征以生成初始病毒檢測機��;使用所述初始病毒檢測機對多個被感染樣本文件進行檢測���,并計算正確的檢測結果的數量���,其中,如果所述正確的檢測結果的數量大于檢測率閾值����,則將所述初始病毒檢測機作為最終病毒檢測機;以及如果所述檢測結果正確的數量小于或等于所述檢測率閾值����,則對所述初始病毒檢測機進行調整以生成最終病毒檢測機。6.如權利要求5所述的病毒檢測機的生成方法��,其特征在于,所述初始病毒檢測機進行調整以生成最終病毒檢測機還包括:增加所述初始病毒檢測機所加載的所述病毒類型特征的數量�,直至所述檢測結果正確的數量大于或等于所述檢測率閾值。7.如權利要求5所述的病毒檢測機的生成方法���,其特征在于��,所述機器學習機為支持向量機�����、神經網絡或卡馬卡-卡譜算法���。8.一種病毒檢測機的生成裝置,其特征在于���,包括:被感染文件生成模塊���,所述被感染文件生成模塊用于獲取多個正常文件,并通過病毒樣本感染所述多個正常文件以生成多個被感染文件����;分類結果獲取模塊,所述分類結果獲取模塊用于獲取所述病毒樣本運行時的行為特征�,并根據所述行為特征�����、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果����;病毒類型特征模塊����,所述病毒類型特征模塊用于根據所述分類結果獲取所述病毒樣本對應的病毒類型特征��;以及病毒檢測機生成模塊�����,所述病毒檢測機生成模塊用于根據所述病毒類型特征生成病毒檢測機�。9.如權利要求8所述的病毒檢測機的生成裝置,其特征在于����,所述分類結果獲取模塊具體包括:文件對比子模塊,所述文件對比子模塊用于將所述多個正常文件分別與對應的所述多個被感染文件進行對比��,并獲取所述對比結果���;行為特征獲取子模塊���,所述行為特征獲取子模塊用于根據所述對比結果獲取所述病毒樣本運行時的所述行為特征��;以及分類結果獲取子模塊���,所述分類結果獲取子模塊用于根據所述病毒樣本的所述行為特征,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果��。10.如權利要求9所述的病毒檢測機的生成裝置�,其特征在于,所述分類結果獲取子模塊具體包括:初級分類子模塊��,所述初級分類子模塊用于根據所述病毒樣本的所述行為特征�����,將所述病毒樣本分類為感染型病毒樣本和非感染型病毒樣本��;次級分類子模塊�,所述次級分類子模塊用于根據所述病毒樣本的所述行為特征,將所述感染型病毒樣本和所述非感染型病毒樣本進行次級分類�,其中,所述次級分類具體包括:若所述非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值�����,則將所述非感染型病毒樣本分類為非感染加殼型病毒樣本;若所述非感染型病毒樣本的所述導入函數數量大于或等于預設的所述導入函數數量閾值���,則將所述非感染型病毒樣本分類為非感染非加殼型病毒樣本���;若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點不同,則將所述感染型病毒樣本分類為修改入口點的感染型病毒樣本���;以及若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點相同���,則將所述感染型病毒樣本分類為不修改入口點的感染型病毒樣本��。11.如權利要求8所述的病毒檢測機的生成裝置����,其特征在于,所述病毒類型特征模塊具體包括:感染型特征集合預設子模塊�����,所述感染型特征集合預設子模塊用于根據多個感染型特征生成預設感染型特征集合����;以及病毒類型特征提取子模塊��,所述病毒類型特征提取子模塊用于根據所述分類結果從所述預設感染型特征集合中提取出對應的所述病毒類型特征���。12.如權利要求8所述的病毒檢測機的生成裝置,其特征在于����,所述病毒檢測機生成模塊具體包括:機器學習機,所述機器學習機用于加載所述病毒類型特征以生成初始病毒檢測機���;檢測結果統(tǒng)計子模塊�����,所述檢測機校驗子模塊用于使用所述初始病毒檢測機對多個被感染樣本文件進行檢測����,并計算正確的檢測結果的數量���;以及檢測機校正子模塊����,所述檢測機校正子模塊用于根據所述檢測結果正確的數量和所述檢測率閾值,對所述初始病毒檢測機進行調整以生成最終病毒檢測機����。13.如權利要求8所述的病毒檢測機的生成裝置,其特征在于�����,其中����,所述病毒檢測機生成模塊具體用于增加所述初始病毒檢測機所加載的所述病毒類型特征的數量直至所述檢測結果正確的數量大于或等于所述檢測率閾值。14.如權利要求8所述的病毒檢測機的生成裝置��,其特征在于�����,所述機器學習機為支持向量機����、神經網絡或卡馬卡-卡譜算法���。15.一種病毒檢測方法����,其特征在于,包括:獲取多個正常文件��,并通過病毒樣本感染所述多個正常文件以生成多個被感染文件���;獲取所述病毒樣本運行時的行為特征�����,并根據所述行為特征����、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果�;根據所述分類結果獲取所述病毒樣本對應的病毒類型特征;以及根據所述病毒類型特征對目標文件進行病毒檢測�。16.如權利要求15所述的病毒檢測方法,其特征在于��,所述獲取所述病毒樣本運行時的行為特征��,并根據所述行為特征���、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果具體包括:將所述多個正常文件分別與對應的所述多個被感染文件進行對比�,并獲取所述對比結果;根據所述對比結果獲取所述病毒樣本運行時的所述行為特征;以及根據所述病毒樣本的所述行為特征����,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果。17.如權利要求16所述的病毒檢測機的生成方法�����,其特征在于�����,所述根據所述病毒樣本的所述行為特征���,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果具體包括:根據所述病毒樣本的所述行為特征�����,將所述病毒樣本分類為感染型病毒樣本和非感染型病毒樣本�;其中�����,若所述非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值�,則將所述非感染型病毒樣本分類為非感染加殼型病毒樣本;若所述非感染型病毒樣本的所述導入函數數量大于或等于預設的所述導入函數數量閾值��,則將所述非感染型病毒樣本分類為非感染非加殼型病毒樣本����;若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點不同,則將所述感染型病毒樣本分類為修改入口點的感染型病毒樣本�;以及若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點相同,則將所述感染型病毒樣本分類為不修改入口點的感染型病毒樣本���。18.如權利要求16所述的病毒檢測方法�,其特征在于����,所述根據所述分類結果獲取所述病毒樣本對應的病毒類型特征具體包括:根據所述分類結果從預設感染型特征集合中提取出對應的所述病毒類型特征。19.如權利要求16所述的病毒檢測方法�����,其特征在于�����,所述根據所述病毒類型特征生成病毒檢測機具體包括:使用機器學習機加載所述病毒類型特征以生成初始病毒檢測機;使用所述初始病毒檢測機對多個被感染樣本文件進行檢測��,并計算正確的檢測結果的數量���;如果所述正確的檢測結果的數量大于檢測率閾值����,則將所述初始病毒檢測機作為最終病毒檢測機��;以及如果所述檢測結果正確的數量小于或等于所述檢測率閾值���,則對所述初始病毒檢測機進行調整以生成最終病毒檢測機���。20.如權利要求16所述的病毒檢測方法,其特征在于����,所述若所述檢測率閾值大于所述檢測結果正確的數量,則對所述初始病毒檢測機進行調整以生成最終病毒檢測機還包括:增加所述初始病毒檢測機所加載的所述病毒類型特征的數量直至所述檢測結果正確的數量大于或等于所述檢測率閾值��。21.如權利要求16所述的病毒檢測方法����,其特征在于����,所述機器學習機為支持向量機��、神經網絡或卡馬卡-卡譜算法���。22.—種病毒檢測裝置,其特征在于�,包括:被感染文件生成模塊,所述被感染文件生成模塊用于獲取多個正常文件��,并通過病毒樣本感染所述多個正常文件以生成多個被感染文件�;分類結果獲取模塊,所述分類結果獲取模塊用于獲取所述病毒樣本運行時的行為特征�,并根據所述行為特征、所述多個正常文件和所述多個被感染文件獲取所述病毒樣本的分類結果�;病毒類型特征模塊,所述病毒類型特征模塊用于根據所述分類結果獲取所述病毒樣本對應的病毒類型特征�;以及病毒檢測模塊,所述病毒檢測機生成模塊用于根據所述病毒類型特征進行病毒檢測���。23.如權利要求22所述的病毒檢測裝置�����,其特征在于��,所述分類結果獲取模塊具體包括:文件對比子模塊�����,所述文件對比子模塊用于將所述多個正常文件分別與對應的所述多個被感染文件進行對比�����,并獲取所述對比結果��;行為特征獲取子模塊�����,所述行為特征獲取子模塊用于根據所述對比結果獲取所述病毒樣本運行時的所述行為特征�����;以及分類結果獲取子模塊���,所述分類結果獲取子模塊用于根據所述病毒樣本的所述行為特征���,對所述病毒樣本進行分類以獲取所述病毒樣本的分類結果����。24.如權利要求22所述的病毒檢測裝置���,其特征在于,所述分類結果獲取子模塊具體包括:初級分類子模塊���,所述初級分類子模塊用于根據所述病毒樣本的所述行為特征��,將所述病毒樣本分類為感染型病毒樣本和非感染型病毒樣本���;次級分類子模塊,所述次級分類子模塊用于根據所述病毒樣本的所述行為特征�,將所述感染型病毒樣本和所述非感染型病毒樣本進行次級分類,其中�,所述次級分類具體包括:若所述非感染型病毒樣本的導入函數數量小于預設的導入函數數量閾值,則將所述非感染型病毒樣本分類為非感染加殼型病毒樣本���;若所述非感染型病毒樣本的所述導入函數數量大于或等于預設的所述導入函數數量閾值����,則將所述非感染型病毒樣本分類為非感染非加殼型病毒樣本;若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點不同���,則將所述感染型病毒樣本分類為修改入口點的感染型病毒樣本��;以及若所述感染型病毒樣本對應的所述被感染文件的入口點與所述被感染文件對應的正常文件的入口點相同�,則將所述感染型病毒樣本分類為不修改入口點的感染型病毒樣本�。25.如權利要求22所述的病毒檢測裝置,其特征在于����,所述病毒類型特征模塊具體包括:感染型特征集合預設子模塊,所述感染型特征集合預設子模塊用于根據多個感染型特征生成預設感染型特征集合��;以及病毒類型特征提取子模塊�����,所述病毒類型特征提取子模塊用于根據所述分類結果從所述預設感染型特征集合中提取出對應的所述病毒類型特征�。26.如權利要求22所述的病毒檢測裝置,其特征在于����,所述病毒檢測模塊具體包括:機器學習機,所述機器學習機用于加載所述病毒類型特征以生成初始病毒檢測機����;檢測結果統(tǒng)計子模塊����,所述檢測機校驗子模塊用于使用所述初始病毒檢測機對多個被感染樣本文件進行檢測��,并計算正確的檢測結果的數量��;檢測機校正子模塊�����,所述檢測機校正子模塊用于根據所述檢測結果正確的數量和所述檢測率閾值�,對所述初始病毒檢測機進行調整以生成最終病毒檢測機���;以及病毒檢測子模塊��,所述病毒檢測子模塊用于使用所述最終病毒檢測機進行病毒檢測�����。27.如權利要求22所述的病毒檢測裝置�,其特征在于����,其中�����,所述病毒檢測機生成模塊具體用于增加所述初始病毒檢測機所加載的所述病毒類型特征的數量直至所述檢測結果正確的數量大于或等于所述檢測率閾值�。28.如權利要求22所述的病毒檢測裝置����,其特征在于,所述機器學習機為支持向量機��、神經網絡或卡馬卡-卡譜算法�����?����!疚臋n編號】G06F21/56GK104077527SQ201410281468【公開日】2014年10月1日申請日期:2014年6月20日優(yōu)先權日:2014年6月20日【發(fā)明者】薛小昊,姚輝申請人:珠海市君天電子科技有限公司