本技術涉及計算機信息安全，特別涉及一種計算機病毒檢測方法及計算機設備。

背景技術：

1、現(xiàn)有技術方案，在網(wǎng)絡入口進行計算機病毒入侵檢測，當發(fā)現(xiàn)檢測對象符合預設的病毒特征碼時，則認為該檢測對象為計算機病毒，對該檢測對象進行攔截處理。

2、由于計算機病毒的實現(xiàn)規(guī)則多變，尤其是勒索病毒，現(xiàn)有技術方案根據(jù)檢測對象是否符合預設的病毒特征碼判斷檢測對象是否為計算機病毒，檢測規(guī)則容易失效，導致漏檢；且，將檢測結果簡單劃分為是計算機病毒或者不是計算機病毒，對于不完全符合預設的病毒特征碼的可疑檢測對象無法作進一步判斷，無法對可能潛在的后續(xù)風險行為進行預警。

技術實現(xiàn)思路

1、為了解決上述技術問題，本技術提供了一種計算機病毒檢測方法及計算機設備。

2、根據(jù)本技術實施例的一方面，公開了一種計算機病毒檢測方法，該計算機病毒檢測方法包括：

3、將待檢測的目標進程與病毒特征碼和病毒行為特征進行匹配，確定所述目標進程和/或所述目標進程的進程行為的安全級別，其中，所述目標進程包含一個或者多個所述進程行為；

4、基于所述目標進程所包含的進程行為所匹配的病毒行為特征構建進程行為特征的特征頻繁項集；

5、針對所述特征頻繁項集產(chǎn)生特征關聯(lián)規(guī)則，將置信度達到預設閾值以上的特征關聯(lián)規(guī)則確定為強關聯(lián)規(guī)則；

6、當所述目標進程中已執(zhí)行的進程行為匹配所述強關聯(lián)規(guī)則中的先決條件時，預測所述目標進程的后續(xù)行為的安全級別，其中，所述強關聯(lián)規(guī)則中包括所述后續(xù)行為對應的進程行為特征。

7、在一些實施例中，所述將待檢測的目標進程與病毒特征碼和病毒行為特征進行匹配，確定所述目標進程和/或所述目標進程的進程行為的安全級別，包括：

8、將待檢測的目標進程與病毒特征碼進行匹配；

9、若所述目標進程與所述病毒特征碼匹配成功，則判定所述目標進程為危險進程；

10、若所述目標進程與所述病毒特征碼匹配不成功，則計算所述目標進程所包含的進程行為對應為各個安全級別的概率值，并將所述概率值最大的安全級別判定為所述進程行為所對應的安全級別。

11、在一些實施例中，在將待檢測的目標進程與病毒特征碼進行匹配之后，所述方法還包括：

12、當判定所述目標進程為危險進程時，阻止所述目標進程所包含的所有進程行為并發(fā)出報警信號；

13、若所述目標進程與所述病毒特征碼匹配不成功，則判定所述目標進程為關注進程；若判定所述目標進程所包含的任一進程行為所對應的安全級別為危險行為，則將所述目標進程由關注進程更改為危險進程；若判定所述目標進程所包含的所有進程行為所對應的安全級別為安全行為，則將所述目標進程由關注進程更改為安全進程，并允許所述目標進程所包含的所有進程行為；若判定所述目標進程所包含的部分進程行為所對應的安全級別為關注行為，則保持所述目標進程為關注進程，并允許所述目標進程中安全級別為安全行為的進程行為。

14、在一些實施例中，所述判定所述目標進程為危險進程，包括：將所述目標進程標記為黑色進程；所述判定所述目標進程為關注進程，包括：將所述目標進程標記為灰色進程；所述將所述目標進程由關注進程更改為安全進程，包括：將所述目標進程由灰色進程更改為白色進程；所述危險行為為黑色行為，所述關注行為為灰色行為，所述安全行為為白色行為。

15、在一些實施例中，所述基于所述目標進程所包含的進程行為所匹配的病毒行為特征構建進程行為特征的特征頻繁項集，包括：

16、遍歷進程列表中的目標進程包含的進程行為與病毒行為特征匹配的進程行為清單，獲得第一候選項集，所述第一候選項集中包含所述進程行為和所述進程行為對應的支持度，所述進程列表包含多個所述目標進程；

17、剔除所述第一候選項集中所述支持度在支持度閾值以下的項，獲得第二候選項集；

18、遍歷所述第二候選項集，將所述第二候選項集中包含的進程行為兩兩組合，并基于所述進程列表中的目標進程包含的進程行為與病毒行為特征匹配的進程行為清單獲得兩兩組合后的進程行為組合對應的組合支持度，獲得包含兩兩組合后的進程行為組合和組合支持度的第三候選項集；

19、迭代執(zhí)行，根據(jù)候選項集lk-1中包含的進程行為和所述進程列表中的目標進程包含的進程行為與病毒行為特征匹配的進程行為清單獲得包含k-1個進程行為組合后的進程行為組合和組合支持度的候選項集lk，直到所述候選項集lk為空集，其中，k表示候選項集的序號，k為大于等于4的整數(shù)。

20、在一些實施例中，所述根據(jù)候選項集lk-1中包含的進程行為和所述進程列表中的目標進程包含的進程行為與病毒行為特征匹配的進程行為清單獲得包含k-1個進程行為組合后的進程行為組合和組合支持度的候選項集lk，包括：

21、遍歷候選項集lk-1，針對所述候選項集lk-1中包含的每一進程行為存儲指向下一個進程行為的指針，其中，所述下一個進程行為是所述候選項集lk-1中包含的進程行為組合中的k-2個進程行為；

22、將所述候選項集lk-1中包含的進程行為中每k-1個進程行為進行組合，并基于所述進程列表中的目標進程包含的進程行為與病毒行為特征匹配的進程行為清單獲得k-1個進程行為組合后的進程行為組合對應的組合支持度，獲得包含k-1個進程行為組合后的進程行為組合和組合支持度的候選項集lk。

23、在一些實施例中，所述針對所述特征頻繁項集產(chǎn)生特征關聯(lián)規(guī)則，將置信度達到預設閾值以上的特征關聯(lián)規(guī)則確定為強關聯(lián)規(guī)則，包括：

24、采用關聯(lián)規(guī)則挖掘算法對所述特征頻繁項集中的進程行為特征進行關聯(lián)規(guī)則挖掘，獲得多個特征關聯(lián)規(guī)則；

25、基于關系式confidence(a->b)＝support(a&b)/support(a)，計算每一所述特征關聯(lián)規(guī)則的置信度，其中，a、b表示所述進程行為特征或同時發(fā)生的至少兩進程行為特征組合；

26、比較每一所述特征關聯(lián)規(guī)則的置信度與預設閾值，當所述特征關聯(lián)規(guī)則的置信度達到所述預設閾值以上，將所述特征關聯(lián)規(guī)則確定為強關聯(lián)規(guī)則。

27、在一些實施例中，所述預測所述目標進程的后續(xù)行為的安全級別，包括：

28、計算所述目標進程的后續(xù)行為分別對應為危險行為、關注行為以及安全行為的概率值；

29、將所述概率值最大的安全級別作為所述目標進程的后續(xù)行為的安全級別，所述安全級別為所述危險行為、關注行為、安全行為的其中之一；

30、當預測所述目標進程的后續(xù)行為為危險行為時，發(fā)出報警信號。

31、在一些實施例中，所述計算所述目標進程的后續(xù)行為分別對應為危險行為、關注行為以及安全行為的概率值，包括：

32、基于關系式計算所述目標進程的后續(xù)行為分別對應為危險行為、關注行為以及安全行為的概率值；

33、其中，p(y＝安全級別|x＝{行為})表示所述目標進程的后續(xù)行為為某安全級別的概率值，p(安全級別)表示進程行為為某安全級別的先驗概率，p(行為|安全級別)表示進程行為為某安全級別的條件下，某進程行為發(fā)生的概率，p9行為)表示某進程行為的先驗概率，α表示平滑系數(shù)，z表示特征個數(shù)。

34、根據(jù)本技術實施例的一方面，公開了一種計算機設備，該計算機設備包括一個或多個處理器以及存儲器，所述存儲器用于存儲一個或多個計算機程序，當所述一個或多個計算機程序被所述一個或多個處理器執(zhí)行時，使得所述處理器實現(xiàn)如上所述的計算機病毒檢測方法。

35、本技術的實施例提供的技術方案至少包括以下有益效果：

36、本技術公開的方案，除了將待檢測的目標進程與病毒特征碼進行匹配，還將待檢測的目標進程與病毒行為特征進行匹配，實現(xiàn)對目標進程的動態(tài)實時行為進行風險評估，計算機病毒檢測結果更加可靠；并且，還構建了進程行為特征的特征頻繁項集，并針對特征頻繁項集產(chǎn)生特征關聯(lián)規(guī)則，將置信度達到預設閾值以上的特征關聯(lián)規(guī)則確定為強關聯(lián)規(guī)則，當目標進程中已執(zhí)行的進程行為匹配強關聯(lián)規(guī)則中的先決條件時，進一步預測目標進程的后續(xù)行為的安全級別，實現(xiàn)了在危險行為發(fā)生之前，預警可能產(chǎn)生的風險，便于提前作進一步的處置，可以提高計算機系統(tǒng)的安全性。