两个人的电影免费视频_国产精品久久久久久久久成人_97视频在线观看播放_久久这里只有精品777_亚洲熟女少妇二三区_4438x8成人网亚洲av_内谢国产内射夫妻免费视频_人妻精品久久久久中国字幕

一種病毒檢測方法、終端、服務器及系統(tǒng)與流程

文檔序號:11920232閱讀:337來源:國知局
一種病毒檢測方法、終端、服務器及系統(tǒng)與流程

本發(fā)明涉及檢測技術,尤其涉及一種病毒檢測方法、終端、服務器及系統(tǒng)。



背景技術:

隨著智能終端的發(fā)展,人手一部智能終端已經非常普及,大部分的生活服務都可以通過智能終端上安裝的應用或通過聯網實現,給用戶帶來很多便利??墒?,帶來便利的同時,也存在安全隱患,聯網的過程中容易受到病毒的入侵。在與病毒的對抗中,能及早發(fā)現病毒非常重要。通過對病毒早發(fā)現,早處置,可以減少用戶的損失,保障用戶的資金賬戶和隱私信息等等的信息安全。檢測病毒的方法包括:特征碼匹配法、行為監(jiān)測法、軟件模擬法等等,這些方法依據的原理不同,實現病毒檢測所占用系統(tǒng)開銷不同,檢測范圍也不同,各有所長。其中,特征碼匹配法是比較常用的方法,然而,現有的特征碼匹配法,并不能準確有效的檢測出病毒的變種,從而影響到病毒檢測的準確性,無法保障用戶的資金賬戶和隱私信息等等的信息安全。對于該問題,尚無有效解決方案。



技術實現要素:

有鑒于此,本發(fā)明實施例希望提供一種病毒檢測方法、終端及服務器,至少解決了現有技術存在的問題。

本發(fā)明實施例的技術方案是這樣實現的:

本發(fā)明實施例的一種病毒檢測方法,所述方法包括:

對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;

接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

上述方案中,所述對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,包括:

獲取所述待處理文件,從所述待處理文件中查詢到指定文件;

從所述指定文件中解析出目標指令,從所述目標指令中提取字節(jié)分布符合所述指定規(guī)則的部分指令片段,根據所述部分指令片段生成目標序列,將所述目標序列確定為所述有效信息。

上述方案中,所述根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測,包括:

將所述目標序列作為病毒檢測的待檢測樣本,將由所述待檢測樣本計算得到的第一模糊哈希值發(fā)送給服務器進行病毒比對的檢測;

所述第一特征參數值包括所述第一模糊哈希值。

上述方案中,所述方法還包括:

根據收集的已知病毒特征信息及病毒變種的趨勢信息生成所述預設策略,以得到對抗病毒變種入侵的有效信息。

本發(fā)明實施例的一種終端,所述終端包括:

第一預處理單元,用于對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

第一特征參數運算單元,用于根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;

病毒查殺單元,用于接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

上述方案中,所述預處理單元,進一步用于:

獲取所述待處理文件,從所述待處理文件中查詢到指定文件;

從所述指定文件中解析出目標指令,從所述目標指令中提取字節(jié)分布符合所述指定規(guī)則的部分指令片段,根據所述部分指令片段生成目標序列,將所述 目標序列確定為所述有效信息。

上述方案中,所述第一特征參數運算單元,進一步用于:

將所述目標序列作為病毒檢測的待檢測樣本,將由所述待檢測樣本計算得到的第一模糊哈希值發(fā)送給服務器進行病毒比對的檢測;

所述第一特征參數值包括所述第一模糊哈希值。

上述方案中,所述終端還包括:

策略生成單元,用于根據收集的已知病毒特征信息及病毒變種的趨勢信息生成所述預設策略,以得到對抗病毒變種入侵的有效信息。

本發(fā)明實施例的一種病毒檢測方法,所述方法包括:

對病毒庫樣本文件按照預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

根據所述待比對信息計算得到第二特征參數值;

接收由待檢測樣本計算得到的第一特征參數值,對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒。

上述方案中,所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒,包括:

在所述第一特征參數值和所述第二特征參數值間的相似度滿足所述閾值時,將待檢測樣本加入待決策結果列表中,直至與指定數量或所有病毒庫樣本文件比對結束后,如果從所述待決策結果列表中能選出與所述待檢測樣本相似度最高的病毒樣本,則疑似病毒為病毒,并將其作為病毒比對的檢測結果;如果從所述待決策結果列表中未能選出與所述待檢測樣本相似的病毒樣本,則疑似病毒為非病毒,并將其作為病毒比對的檢測結果;

所述方法還包括:將所述病毒比對的檢測結果發(fā)送給終端。

本發(fā)明實施例的一種服務器,所述服務器包括:

第二預處理單元,用于對病毒庫樣本文件按照預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

第二特征參數運算單元,用于根據所述待比對信息計算得到第二特征參數值;

判斷單元,用于接收由待檢測樣本計算得到的第一特征參數值,對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

病毒檢測單元,用于所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒。

上述方案中,所述病毒檢測單元,進一步用于:

在所述第一特征參數值和所述第二特征參數值間的相似度滿足所述閾值時,將待檢測樣本加入待決策結果列表中,直至與指定數量或所有病毒庫樣本文件比對結束后,如果從所述待決策結果列表中能選出與所述待檢測樣本相似度最高的病毒樣本,則疑似病毒為病毒,并將其作為病毒比對的檢測結果;如果從所述待決策結果列表中未能選出與所述待檢測樣本相似的病毒樣本,則疑似病毒為非病毒,并將其作為病毒比對的檢測結果;

所述服務器還包括:

發(fā)送單元,用于將所述病毒比對的檢測結果發(fā)送給終端。

本發(fā)明實施例的一種病毒檢測方法,所述方法包括:

服務器對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

服務器對病毒庫樣本文件按照所述預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

服務器根據所述有效信息計算得到第一特征參數值,所述第一特征參數值作為待檢測樣本的特征值;

服務器根據所述待比對信息計算得到第二特征參數值,所述第二特征參數 值作為病毒樣本的特征值;

服務器對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,服務器確定出所述疑似病毒為病毒或非病毒,并將其作為病毒比對的檢測結果發(fā)送給終端;

終端接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

本發(fā)明實施例的一種病毒檢測系統(tǒng),所述系統(tǒng)包括:服務器和終端;其中,

所述服務器包括:

第一預處理單元,用于對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

第二預處理單元,用于對病毒庫樣本文件按照所述預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

第一特征參數值運算單元,用于根據所述有效信息計算得到第一特征參數值,所述第一特征參數值作為待檢測樣本的特征值;

第二特征參數值運算單元,用于根據所述待比對信息計算得到第二特征參數值,所述第二特征參數值作為病毒樣本的特征值;

判斷單元,用于對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

病毒檢測單元,用于所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒,并將其作為病毒比對的檢測結果發(fā)送給終端;

所述終端包括:

病毒查殺單元,用于接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

本發(fā)明實施例的病毒檢測方法包括:對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。采用本發(fā)明實施例,能準確有效的檢測出病毒的變種,從而提高病毒檢測的準確性,保障用戶的資金賬戶和隱私信息等等的信息安全。

附圖說明

圖1為本發(fā)明實施例中進行信息交互的各方硬件實體的示意圖;

圖2-7為本發(fā)明實施例中病毒查殺應用的多個可選UI界面示意圖;

圖8為本發(fā)明實施例一的一個實現流程示意圖;

圖9為應用本發(fā)明實施例二的上報第一模糊哈希值的示意圖;

圖10為本發(fā)明實施例三的一個模塊組成結構示意圖;

圖11為本發(fā)明實施例七的一個模塊交互示意圖;

圖12為應用本發(fā)明實施例的一個硬件組成結構示意圖;

圖13為應用本發(fā)明實施例一應用場景的模塊組成結構示意圖;

圖14為應用本發(fā)明實施例一應用場景的分片模糊哈希值計算示意圖;

圖15為應用本發(fā)明實施例一應用場景的病毒庫生成流程示意圖;

圖16為應用本發(fā)明實施例一應用場景的待檢測樣本的病毒比對檢測流程;

圖17為應用本發(fā)明實施例一應用場景的客戶端+云端方式實現病毒檢測的示意圖。

具體實施方式

下面結合附圖對技術方案的實施作進一步的詳細描述。

圖1為本發(fā)明實施例中進行信息交互的各方硬件實體的示意圖,圖1中包括:服務器11、終端設備21-24,終端設備21-24通過有線網絡或者無線網絡 與服務器進行信息交互,終端設備包括手機、臺式機、PC機、一體機等類型。其中,終端設備中安裝有應用(如游戲應用,地圖導航應用,高鐵線路應用,病毒查殺應用等)采用本發(fā)明實施例,基于上述圖1所示的系統(tǒng),終端對獲取的待處理文件(需進行病毒檢測的文件)按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,有效信息具備穩(wěn)定性,經預處理后得到的該信息是待處理文件中最穩(wěn)定的信息,這種信息是病毒作者很難繞過去和容易重新混淆的部分,所以該信息作為對抗病毒變種入侵的有效信息使用,該信息為圖1中終端上報給服務器的待檢測樣本,具體應用中,還可以對該待檢測樣本進行模糊哈希值計算,將計算結果(第一模糊哈希值)上報給服務器進行病毒檢測比對,構成所述有效信息的字節(jié)分布符合指定規(guī)則(即具備上述穩(wěn)定性要求,是待處理文件中最穩(wěn)定的信息);服務器對病毒庫樣本文件按照所述預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則,具體的,服務器對已有的病毒庫樣本文件中的病毒樣本文件進行預處理,也采用與終端側相同的預設策略進行預處理,目的是為了從病毒庫樣本文件中截取出與終端上報待檢測樣本中相同特征的數據進行比對,這樣會提高比對的精確度,具體應用中,還可以對該病毒樣本文件進行模糊哈希值計算,將計算結果(第二模糊哈希值)與終端上報的計算結果(第一模糊哈希值)進行病毒檢測比對,其中,第一模糊哈希值是終端根據所述有效信息(待檢測樣本)計算得到的第一特征參數值,第二模糊哈希值是服務器根據所述待比對信息(病毒樣本)計算得到的第二特征參數值;服務器對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,服務器確定出所述疑似病毒為病毒或非病毒,并將其作為病毒比對的檢測結果發(fā)送給終端;終端接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

圖2-圖7為應用本發(fā)明實施例的幾個可選的UI界面示意圖。如圖2所示,在終端用戶界面顯示有多個已安裝的應用,在終端用戶界面找到病毒查殺應用 (如手機管家),點擊病毒查殺應用(如手機管家)以開啟病毒查殺應用(如手機管家),進入如圖3或圖4所示的病毒查殺應用(如手機管家)的應用界面,應用界面中包含病毒查殺的啟動按鈕,如圖3中的“立即掃描”,或者,如圖4中的“快速掃描”和“全盤掃描”,通過圖4中的不同啟動按鈕可以觸發(fā)不同查殺策略,舉例來說,快速掃描是選取終端中的核心內容作為待檢測樣本,與10萬病毒樣本進行比對,而全盤掃描是將終端中的全部內容作為待檢測樣本,與全部病毒樣本(如30萬病毒樣本)進行比對,圖5-圖6為終端上報待檢測樣本后,在云端進行病毒樣本查殺過程的界面圖,可以對終端中應用內嵌的廣告插件,染毒文件或染毒網址等進行高效快捷的查殺,查殺結束后的界面如圖7所示,這個實例是終端未被病毒入侵,病毒比對檢測結果為安全。如果終端被病毒入侵,病毒比對檢測結果中會包括需要用戶處理的待清理的病毒文件或廣告插件等,用戶根據自身需求進行文件清理。

上述圖1的例子只是實現本發(fā)明實施例的一個系統(tǒng)架構實例,本發(fā)明實施例并不限于上述圖1所述的系統(tǒng)結構,上述圖2-圖7為可選的UI界面圖,本發(fā)明實施例實際應用中并不限于這些UI界面圖。在此,基于圖1的系統(tǒng)架構,提出本發(fā)明各個實施例。

實施例一:

本發(fā)明實施例的一種病毒檢測方法,如圖8所示,所述方法包括:

步驟101、對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

這里,本步驟的一個具體應用為:在終端側實現預處理,以得到該有效信息。終端對獲取的待處理文件(需進行病毒檢測的文件)按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,有效信息具備穩(wěn)定性,經預處理后得到的該信息是待處理文件中最穩(wěn)定的信息,這種信息是病毒作者很難繞過去和容易重新混淆的部分,所以該信息作為對抗病毒變種入侵的有效信息使用。

本步驟的另一個具體應用為:在服務器側實現預處理,包括得到有效信息的預處理操作,將有效信息作為待檢測樣本;還包括:得到比對信息的預處理 操作,將比對信息作為病毒樣本,二者可以采用相同的預處理策略,以便能更精確的將待檢測樣本與病毒樣本進行對應特征的精確特征匹配。

步驟102、根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;

這里,該有效信息的一個實例為圖1中終端上報給服務器的待檢測樣本,實際應用中,可以對該待檢測樣本進行模糊哈希值計算,將計算結果(第一模糊哈希值)上報給服務器進行病毒檢測比對,構成所述有效信息的字節(jié)分布符合指定規(guī)則(即具備上述穩(wěn)定性要求,是待處理文件中最穩(wěn)定的信息)。第一模糊哈希值是終端根據所述有效信息(待檢測樣本)計算得到的第一特征參數值。

步驟103、接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

這里,檢測的目的是為了病毒查殺,在終端病毒查殺應用界面對用戶進行提示,病毒查殺應用界面幾個可選的例子如圖2-圖7所示。根據不同查殺策略會生成不同的終端病毒查殺應用界面,如圖3和圖4的病毒查殺應用界面就有所不同。圖4中包含不同的啟動按鈕“快速掃描”和“全盤掃描”,不同啟動按鈕可以觸發(fā)不同查殺策略,舉例來說,快速掃描是選取終端中的核心內容作為待檢測樣本,與10萬病毒樣本進行比對,而全盤掃描是將終端中的全部內容作為待檢測樣本,與全部病毒樣本(如30萬病毒樣本)進行比對。

實施例二:

本發(fā)明實施例的一種病毒檢測方法,所述方法包括:

步驟201、獲取所述待處理文件,從所述待處理文件中查詢到指定文件;

這里,以終端系統(tǒng)為安卓系統(tǒng)為例,獲取APK文件作為待處理文件,APK文件為可執(zhí)行文件,病毒通常入侵可執(zhí)行文件,以觸發(fā)病毒的運行,因此,首先要對APK文件進行重點監(jiān)控和病毒檢測。在APK文件查詢Dex和SO文件,由于對APK文件通常進行Dex加殼、亂序保護、SO加殼、虛擬機指令保護等多重保護,有效的對存儲數據進行加密保護、保護APK文件安全,是APK 文件安全加固的首選,因此,在本發(fā)明實施例中,對從所述待處理文件中查詢指定文件時,選取的是Dex和SO文件。

步驟202、從所述指定文件中解析出目標指令,從所述目標指令中提取字節(jié)分布符合所述指定規(guī)則的部分指令片段,根據所述部分指令片段生成目標序列,將所述目標序列確定為所述有效信息;

這里,結合上述步驟201,考慮到需要得到具備穩(wěn)定性的特征代碼進行特征代碼匹配的病毒檢測出來,因此,從所述待處理文件中選取出Dex和SO文件后,從Dex和SO文件的函數指令中提取其中opcode代碼部分(指令中最具穩(wěn)定性特征的代碼部分),opcode代碼部分的字節(jié)分布符合所述指定規(guī)則(指令中最具穩(wěn)定性特征),根據所述opcode部分生成的目標序列。

通過上述步驟201-202對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息為:根據所述opcode部分生成的目標序列。

這里,本步驟的一個具體應用為:在終端側實現預處理,以得到該有效信息。終端對獲取的待處理文件(需進行病毒檢測的文件)按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息(根據所述opcode部分生成的目標序列),有效信息(根據所述opcode部分生成的目標序列)具備穩(wěn)定性,經預處理后得到的該信息是待處理文件中最穩(wěn)定的信息,這種信息是病毒作者很難繞過去和容易重新混淆的部分,所以該信息作為對抗病毒變種入侵的有效信息使用。

本步驟的另一個具體應用為:在服務器側實現預處理,包括得到有效信息(根據所述opcode部分生成的目標序列)的預處理操作,將有效信息(根據所述opcode部分生成的目標序列)作為待檢測樣本;還包括:得到比對信息的預處理操作,將比對信息作為病毒樣本,二者可以采用相同的預處理策略,以便能更精確的將待檢測樣本與病毒樣本進行對應特征的精確特征匹配。

步驟203、根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;

這里,一個具體應用為:將所述目標序列作為病毒檢測的待檢測樣本,將 由所述待檢測樣本計算得到的第一模糊哈希值發(fā)送給服務器進行病毒比對的檢測;所述第一特征參數值包括所述第一模糊哈希值。

這里,該有效信息(根據所述opcode部分生成的目標序列)的一個實例為圖1中終端上報給服務器的待檢測樣本,實際應用中,可以對該待檢測樣本進行模糊哈希值計算,將計算結果(第一模糊哈希值)上報給服務器進行病毒檢測比對,構成所述有效信息(根據所述opcode部分生成的目標序列)的字節(jié)分布符合指定規(guī)則(即具備上述穩(wěn)定性要求,是待處理文件中最穩(wěn)定的信息)。第一模糊哈希值是終端根據所述有效信息(根據所述opcode部分生成的目標序列)計算得到的第一特征參數值,終端將第一模糊哈希值上報給服務器進行病毒檢測比對,如圖9所示。圖9中,包括:服務器31和終端32,終端32作為服務器收集待檢測樣本的來源,上報的樣本來源包括活躍病毒,疑似病毒和非病毒類型,本發(fā)明實施例只是一個實例,除此類型外,還可以包括已知病毒變種和新病毒類型等等。終端32將其待檢測樣本進行分段求哈希值得到第一模糊哈希值后,上報第一模糊哈希值給服務器31,在服務器31側進行病毒檢測的比對,最終,服務器31將病毒檢測比對結果反饋給終端進行呈現。

步驟204、接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

這里,檢測的目的是為了病毒查殺,在終端病毒查殺應用界面對用戶進行提示,病毒查殺應用界面幾個可選的例子如圖2-圖7所示。根據不同查殺策略會生成不同的終端病毒查殺應用界面,如圖3和圖4的病毒查殺應用界面就有所不同。圖4中包含不同的啟動按鈕“快速掃描”和“全盤掃描”,不同啟動按鈕可以觸發(fā)不同查殺策略,舉例來說,快速掃描是選取終端中的核心內容作為待檢測樣本,與10萬病毒樣本進行比對,而全盤掃描是將終端中的全部內容作為待檢測樣本,與全部病毒樣本(如30萬病毒樣本)進行比對。

在本發(fā)明實施例一實施方式中,所述方法還包括:根據收集的已知病毒特征信息及病毒變種的趨勢信息生成所述預設策略,以得到對抗病毒變種入侵的有效信息。根據病毒及其變種利用序列進行入侵的特征,來選擇利用該opcode 序列穩(wěn)定性來對抗這個入侵干擾。

實施例三:

本發(fā)明實施例的一種終端,如圖10所示,所述終端包括:第一預處理單元41,用于對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;第一特征參數運算單元42,用于根據所述有效信息計算得到第一特征參數值,將所述第一特征參數值發(fā)送給服務器進行病毒比對的檢測;病毒查殺單元43,用于接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

這里,第一預處理單元41的一個具體處理過程為:第一預處理單元41可以為終端側,則在終端側實現預處理,以得到該有效信息。終端對獲取的待處理文件(需進行病毒檢測的文件)按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,有效信息具備穩(wěn)定性,經預處理后得到的該信息是待處理文件中最穩(wěn)定的信息,這種信息是病毒作者很難繞過去和容易重新混淆的部分,所以該信息作為對抗病毒變種入侵的有效信息使用。

第一預處理單元41的另一個具體處理過程為:第一預處理單元41可以為服務器側,則在服務器側實現預處理,包括得到有效信息的預處理操作,將有效信息作為待檢測樣本;還包括:得到比對信息的預處理操作,將比對信息作為病毒樣本,二者可以采用相同的預處理策略,以便能更精確的將待檢測樣本與病毒樣本進行對應特征的精確特征匹配。

這里,該有效信息的一個實例為圖1中終端上報給服務器的待檢測樣本,實際應用中,可以對該待檢測樣本進行模糊哈希值計算,則第一特征參數運算單元42用于將計算結果(第一模糊哈希值)上報給服務器進行病毒檢測比對,構成所述有效信息的字節(jié)分布符合指定規(guī)則(即具備上述穩(wěn)定性要求,是待處理文件中最穩(wěn)定的信息)。第一模糊哈希值是終端根據所述有效信息(待檢測樣本)計算得到的第一特征參數值。

這里,病毒查殺單元43的一個具體處理過程為:由于檢測的目的是為了病毒查殺,因此,病毒查殺單元43用于接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描,將掃描結果在終端病毒查殺應用界面對用戶進行提示,病毒查殺應用界面幾個可選的例子如圖2-圖7所示。根據不同查殺策略會生成不同的終端病毒查殺應用界面,如圖3和圖4的病毒查殺應用界面就有所不同。圖4中包含不同的啟動按鈕“快速掃描”和“全盤掃描”,不同啟動按鈕可以觸發(fā)不同查殺策略,舉例來說,快速掃描是選取終端中的核心內容作為待檢測樣本,與10萬病毒樣本進行比對,而全盤掃描是將終端中的全部內容作為待檢測樣本,與全部病毒樣本(如30萬病毒樣本)進行比對。

本發(fā)明實施例一實施方式中,所述預處理單元,進一步用于:獲取所述待處理文件,從所述待處理文件中查詢到指定文件;從所述指定文件中解析出目標指令,從所述目標指令中提取字節(jié)分布符合所述指定規(guī)則的部分指令片段,根據所述部分指令片段生成目標序列,將所述目標序列確定為所述有效信息。

本發(fā)明實施例一實施方式中,所述第一特征參數運算單元,進一步用于:將所述目標序列作為病毒檢測的待檢測樣本,將由所述待檢測樣本計算得到的第一模糊哈希值發(fā)送給服務器進行病毒比對的檢測;所述第一特征參數值包括所述第一模糊哈希值。

本發(fā)明實施例一實施方式中,所述終端還包括:策略生成單元,用于根據收集的已知病毒特征信息及病毒變種的趨勢信息生成所述預設策略,以得到對抗病毒變種入侵的有效信息。

實施例四:

本發(fā)明實施例的一種病毒檢測方法,所述方法包括:

步驟301、對病毒庫樣本文件按照預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

這里,以終端系統(tǒng)為安卓系統(tǒng)為例,病毒庫樣本文件為APK文件為例, APK文件為可執(zhí)行文件,病毒通常入侵可執(zhí)行文件,以觸發(fā)病毒的運行,因此,首先要對APK文件進行重點監(jiān)控和病毒檢測。在APK文件查詢Dex和SO文件,由于對APK文件通常進行Dex加殼、亂序保護、SO加殼、虛擬機指令保護等多重保護,有效的對存儲數據進行加密保護、保護APK文件安全,是APK文件安全加固的首選,因此,在本發(fā)明實施例中,從APK文件中選取Dex和SO文件,以生成比對信息。具體的,從所述待處理文件中選取出Dex和SO文件后,從Dex和SO文件的函數指令中提取其中opcode代碼部分,opcode代碼部分的字節(jié)分布符合所述指定規(guī)則,將由所述opcode部分生成的目標序列作為比對信息。

步驟302、根據所述待比對信息計算得到第二特征參數值;

這里,一個具體應用為:將所述目標序列作為比對信息,將由比對信息計算得到的第二模糊哈希值與終端上報的第一模糊哈希值進行病毒比對的檢測;所述第二特征參數值包括所述第二模糊哈希值。

步驟303、接收由待檢測樣本計算得到的第一特征參數值,對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

這里,由比對信息計算得到的第二模糊哈希值與終端上報的第一模糊哈希值進行病毒比對的檢測,可以是計算二者的相似度,得到相似度判斷結果。

步驟304、所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒。

這里,在所述第一模糊哈希值和所述第二模糊哈希值間的相似度滿足所述閾值時,將待檢測樣本加入待決策結果列表中,直至與指定數量或所有病毒庫樣本文件比對結束后,如果從所述待決策結果列表中能選出與所述待檢測樣本相似度最高的病毒樣本,則疑似病毒為病毒,并將其作為病毒比對的檢測結果;如果從所述待決策結果列表中未能選出與所述待檢測樣本相似的病毒樣本,則疑似病毒為非病毒,并將其作為病毒比對的檢測結果,之后,將所述病毒比對的檢測結果發(fā)送給終端。

實施例五:

本發(fā)明實施例的一種服務器,所述服務器包括:第二預處理單元,用于對病毒庫樣本文件按照預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;及第二特征參數運算單元,用于根據所述待比對信息計算得到第二特征參數值;及判斷單元,用于接收由待檢測樣本計算得到的第一特征參數值,對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;及病毒檢測單元,用于所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒。

在本發(fā)明實施例一實施方式中,所述病毒檢測單元,進一步用于:在所述第一特征參數值和所述第二特征參數值間的相似度滿足所述閾值時,將待檢測樣本加入待決策結果列表中,直至與指定數量或所有病毒庫樣本文件比對結束后,如果從所述待決策結果列表中能選出與所述待檢測樣本相似度最高的病毒樣本,則疑似病毒為病毒,并將其作為病毒比對的檢測結果;如果從所述待決策結果列表中未能選出與所述待檢測樣本相似的病毒樣本,則疑似病毒為非病毒,并將其作為病毒比對的檢測結果;所述服務器還包括:發(fā)送單元,用于將所述病毒比對的檢測結果發(fā)送給終端。

實施例六:

本實施例區(qū)別于上述實施例,上述實施例中,可以通過終端上報經預處理后得到的待檢測樣本,對待檢測樣本進行哈希值計算后提供給服務器進行與病毒樣本哈希值的比對,以實現病毒檢測的比對。本發(fā)明實施例,預處理及哈希值計算等都是在服務器執(zhí)行的,終端只作為提供樣本的來源。由于所有處理過程都是在服務器執(zhí)行的,可以避免占用終端的開銷。

本發(fā)明實施例的一種病毒檢測方法,包括:

步驟401、服務器對獲取的待處理文件按照預設策略進行預處理,得到對 抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;

步驟402、服務器對病毒庫樣本文件按照所述預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;

步驟403、服務器根據所述有效信息計算得到第一特征參數值,所述第一特征參數值作為待檢測樣本的特征值;

步驟404、服務器根據所述待比對信息計算得到第二特征參數值,所述第二特征參數值作為病毒樣本的特征值;

步驟405、服務器對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結果;

步驟406、所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,服務器確定出所述疑似病毒為病毒或非病毒,并將其作為病毒比對的檢測結果發(fā)送給終端;

步驟407、終端接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

實施例七:

本發(fā)明實施例的一種病毒檢測系統(tǒng),如11所示,所述系統(tǒng)包括:服務器和終端;其中,所述服務器包括:第一預處理單元51,用于對獲取的待處理文件按照預設策略進行預處理,得到對抗病毒變種入侵的有效信息,構成所述有效信息的字節(jié)分布符合指定規(guī)則;第二預處理單元52,用于對病毒庫樣本文件按照所述預設策略進行預處理,得到病毒庫樣本文件中的待比對信息,構成所述待比對信息的字節(jié)分布符合指定規(guī)則;第一特征參數值運算單元53,用于根據所述有效信息計算得到第一特征參數值,所述第一特征參數值作為待檢測樣本的特征值;第二特征參數值運算單元54,用于根據所述待比對信息計算得到第二特征參數值,所述第二特征參數值作為病毒樣本的特征值;判斷單元55,用于對所述第一特征參數值和所述第二特征參數值進行相似度判斷,得到判斷結 果;及病毒檢測單元56,用于所述判斷結果滿足閾值時,將待檢測樣本作為疑似病毒,直至與指定數量或所有病毒庫樣本文件比對結束后,確定出所述疑似病毒為病毒或非病毒,并將其作為病毒比對的檢測結果發(fā)送給終端。所述終端包括:樣本上報單元61,用于上報待檢測樣本,待檢測樣本的類型如圖9所示,可以包括活躍病毒,疑似病毒和非病毒;及病毒查殺單元62,用于接收病毒比對的檢測結果,根據所述病毒比對的檢測結果對本地文件進行病毒查殺的全部掃描或部分掃描。

這里需要指出的是,上述終端可以為PC這種電子設備,還可以為如PAD,平板電腦,手提電腦這種便攜電子設備、還可以為如手機這種智能移動終端,不限于這里的描述;所述服務器可以是通過集群系統(tǒng)構成的,為實現各單元功能而合并為一或各單元功能分體設置的電子設備,終端和服務器都至少包括用于存儲數據的數據庫和用于數據處理的處理器,或者包括設置于服務器內的存儲介質或獨立設置的存儲介質。

其中,對于用于數據處理的處理器而言,在執(zhí)行處理時,可以采用微處理器、中央處理器(CPU,Central Processing Unit)、數字信號處理器(DSP,Digital Singnal Processor)或可編程邏輯陣列(FPGA,Field-Programmable Gate Array)實現;對于存儲介質來說,包含操作指令,該操作指令可以為計算機可執(zhí)行代碼,通過所述操作指令來實現上述本發(fā)明實施例信息處理方法流程中的各個步驟。

該終端和該服務器作為硬件實體S11的一個示例如圖12所示。所述裝置包括處理器71、存儲介質72以及至少一個外部通信接口73;所述處理器71、存儲介質72以及外部通信接口73均通過總線74連接。

這里需要指出的是:以上涉及終端和服務器項的描述,與上述方法描述是類似的,同方法的有益效果描述,不做贅述。對于本發(fā)明終端和服務器實施例中未披露的技術細節(jié),請參照本發(fā)明方法實施例的描述。

以一個現實應用場景為例對本發(fā)明實施例闡述如下:

本應用場景中,對Android病毒的檢測技術方案主要依靠特征碼匹配進行 檢測,常用的特征有:APK文件的HASH、簽名、Package名字、classes.dex中的類名和函數名。這些現有的病毒檢測方案都存在各種的問題,比如,1)基于APK文件的哈希、簽名、Package名字、類名等特征是基于簡單的規(guī)則或者數字簽名進行識別,很容易被病毒制作者繞開,造成漏過惡意程序的問題。2)基于APK文件的哈希進行識別的方式,采用的哈希算法一般是MD5、SHA1等,這些算法對輸入值很敏感,APK文件即使只有一個字節(jié)的變化,計算出來的哈希值就會不同,因此,病毒作者很容易通過重新混淆,或者,在APK文件中添加新的資源文件乃至修改代碼等方式,使通過哈希算法提取的KEY發(fā)生改變,進而導致無法識別;3)基于簽名的識別方式可以通過更換簽名的方式繞過;4)基于Package名字來識別的方式也可通過修改包名的方式來繞過;通過掃描類名來進行識別的方式,一方面因為僅僅檢查類名從而容易誤報,另一方面也很容易被病毒制造者通過混淆或者直接修改類名而繞過。而且更改混淆方式,修改APK文件(添加刪除資源,代碼等)或者更換簽名對病毒制造者而言都很容易,所以病毒作者很輕易地就可以制造新的病毒變種從而繞過安全軟件的識別。有鑒于此,針對這些問題,需要一種更精準的病毒檢測技術,以便更能行之有效的對病毒進行查殺,用以準確、有效地檢測Android病毒變種,從而提高APK的安全性。

本應用場景采用本發(fā)明實施例,可以是一種基于opcode相似度的Android病毒檢測技術,通過解析APK文件中的dex文件和so文件,獲取其中函數的指令,跳過指令中容易變化的部分,提取比較穩(wěn)定的opcode部分組成序列,然后依據這些函數的opcode序列來計算模糊哈希值。進行樣本檢測時,將待檢測樣本的模糊哈希值與病毒樣本庫中的模糊哈希值進行比較,得到的相似度若滿足閾值,則加入待決策結果列表中,比較完所有病毒樣本后,從待決策結果列表中選出與待檢測樣本相似度最高的病毒作為檢測結果。如果待決策列表為空,說明沒有找到與待檢測樣本相似的病毒樣本,此時檢測結果為非病毒。采用本發(fā)明實施例,能夠有效識別那些通過混淆或者重編譯等方法企圖繞過安全軟件的病毒變種,并且能有效減小病毒檢測過程中的資源消耗。

一個采用手機安裝的病毒查殺應用實現本發(fā)明實施例的多個可選UI示意圖如圖2-圖7所示,首先,開啟病毒查殺應用的云查殺功能,病毒查殺應用對手機上的待檢測樣本生成待檢測樣本對應的模糊哈希值,將待檢測樣本對應的模糊哈希值發(fā)到云端(服務器側),云端(服務器側)使用預置的病毒庫來計算相似度(具體是將待檢測樣本的模糊哈希值與病毒樣本庫中的模糊哈希值,進行相似度判斷),從而判別該待檢測樣本的安全狀態(tài),后將病毒比對檢測結果返回給病毒查殺應用,病毒查殺應用可以根據需要對用戶展示和對樣本進行處理。

技術實現中涉及的流程及系統(tǒng)中的信息交互圖如圖13-圖17所示。

本應用場景采用本發(fā)明實施例,一個基本模塊的組成功能如圖13所示,以下對每個模塊的具體功能描述如下:

一,模糊哈希生成模塊:

a)分片:

Android平臺的安裝包格式為apk格式,即標準的zip壓縮包格式,dex和so文件是apk中的代碼可執(zhí)行文件,是惡意代碼的真實載體。

dex文件中每條指令的基本格式可以概括為:

A/OP Index Arg

其中第一段中的OP部分用來描述當前指令類型,A是配置部分,用于對OP或OP使用參數進行配置,Index是調用函數的索引或當期指令所引用的靜態(tài)數據的索引,通過索引可以在dex文件中的其他部分找到函數的對應詳細信息,Arg部分則是參數寄存器相關的定義和指令。從實際情況來看,不同的函數調用和數據操作指令,每次生成dex的文件中指令的二進制內容都會發(fā)生變化,Index和Arg部分的二進制內容對dex的重新編譯生成和調用而出現一定的隨機性,根據不同的編譯和優(yōu)化策略A也會有一定的變化,只有OP段部分是相對穩(wěn)定的數值內容,一般不會發(fā)生變化。

同樣的,對于so文件來說,一般使用的是ARM指令集,ARM指令的基本格式可以概括為:

<opcode>{<cond>}{S}<Rd>,<Rn>{,<opcode2>}

其中opcode是指令助記符,即操作碼,說明指令需要執(zhí)行的操作,在指令中是必需的。

本發(fā)明實施例通過對dex和so文件進行解析,獲取每個函數的Opcode序列,作為模糊哈希計算中的分片。

b)每片求哈希值:

將文件分片完以后,就可以對每片分別計算哈希了??梢允褂脗鹘y(tǒng)的哈希算法,本發(fā)明實施例中使用MD5算法。

c)壓縮映射:

對每一個文件分片,計算得到一個哈希值以后,可以選擇將結果壓縮短。但是,這種壓縮映射會損失一部分準確性,引入誤報問題。本發(fā)明選擇不做壓縮映射,保留MD5的結果。

d)連接哈希值:

將每片壓縮后的哈希值連接到一起,就得到這個文件的模糊哈希值了。

本發(fā)明實施例中使用的分片模糊哈希值(simhash)算法的整個生成流程如圖14所示。這里,模糊哈希算法有多種,可以是simhash,也可以是spamsum或者其他模糊哈希算法。

二,相似度計算模塊:

本發(fā)明實施例中使用海明距離來計算兩個樣本的相似度。二進制串A和二進制串B的海明距離就是A xor B后二進制中1的個數。

舉例如下:

A=100111;

B=101010;

hamming_distance(A,B)=count_1(A xor B)=count_1(001101)=3;

當算出兩個樣本的simhash值之后,樣本A和樣本B之間是否相似的條件是:A和B的海明距離是否小于等于N,這個N值可以根據經驗或者實驗來選取。

三,結果判定模塊:

對于一個待檢測樣本來說,其模糊哈希值可能和病毒庫里面的多個樣本的模糊哈希值間的海明距離都小于我們的閾值,也就是說此檢測樣本與病毒庫里的多個病毒樣本都相似,此時,需要以一種策略來決定應該選取哪個病毒樣本的病毒id來作為檢測樣本的病毒id。本發(fā)明實施例中使用的策略是取其中距離最小的樣本的病毒id作為結果。

本發(fā)明實施例中主要有兩個流程:圖15所示的病毒庫生成流程和圖16所示的待檢測樣本的病毒比對檢測流程。

一,病毒庫生成流程如圖15所示,包括:

步驟701、從病毒樣本庫中隨機取出一個樣本;

步驟702、生成模糊哈希值;

步驟703、將生成的模糊哈希值和樣本對應的病毒id加入病毒庫中;

步驟704、判斷全部樣本是否已處理完畢,如果是,執(zhí)行步驟705,否則,返回執(zhí)行步驟701;

步驟705、輸出病毒庫。

二,待檢測樣本的病毒比對檢測流程如圖16所示,包括:

步驟801、取出待檢測樣本;

步驟802、生成模糊哈希值;

步驟803、從病毒庫中依次取出一個模糊哈希vh及其對應的病毒vid;

步驟804、計算待檢測樣本的模糊哈希dh和病毒庫取出的模糊哈希vh間的距離d;

步驟805、判斷d<=N,如果是,執(zhí)行步驟806,否則,執(zhí)行步驟807;

步驟806、將vh、vid及d作為一項加入待決策列表中;

步驟807、判斷病毒庫中所有項是否已處理完,如果是,執(zhí)行步驟808;否則,返回執(zhí)行步驟803。

步驟808、判斷待決策列表為空;如果是,則執(zhí)行步驟809;否則,執(zhí)行步驟810。

步驟809、判斷為非病毒APK;

步驟810、將待決策列表中選出距離d最小的項對應的vid作為此檢測樣本的病毒id。

本發(fā)明實施例的病毒檢測系統(tǒng)可以將所有的執(zhí)行過程都放在云端(服務器)處理,也可以采用終端(終端上安裝的病毒查殺應用客戶端)+云端(服務器)的方式部署,將病毒庫生成流程和樣本檢測流程放到云端,客戶端負責生成待檢測樣本的模糊哈希值,發(fā)送給云端,云端完成檢測后,回傳結果給客戶端。此時,系統(tǒng)的架構如圖17所示,系統(tǒng)各個模塊的功能和流程和之前一致,不做贅述。

本應用場景采用本發(fā)明實施例,一個具體實現是通過提取dex和so文件中函數的opcode序列作為模糊哈希的輸入分片,然后利用模糊哈希的比較來檢測Android病毒,由于opcode序列的穩(wěn)定性較高,不隨文件中其他數據變化,因此抗變性好,使得本實施例可以有效檢測病毒變種,能對病毒進精準的檢測和病毒查殺處理。

在本申請所提供的幾個實施例中,應該理解到,所揭露的設備和方法,可以通過其它的方式實現。以上所描述的設備實施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,如:多個單元或組件可以結合,或可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另外,所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過一些接口,設備或單元的間接耦合或通信連接,可以是電性的、機械的或其它形式的。

上述作為分離部件說明的單元可以是、或也可以不是物理上分開的,作為單元顯示的部件可以是、或也可以不是物理單元,即可以位于一個地方,也可以分布到多個網絡單元上;可以根據實際的需要選擇其中的部分或全部單元來實現本實施例方案的目的。

另外,在本發(fā)明各實施例中的各功能單元可以全部集成在一個處理單元中,也可以是各單元分別單獨作為一個單元,也可以兩個或兩個以上單元集成在一個單元中;上述集成的單元既可以采用硬件的形式實現,也可以采用硬件加軟 件功能單元的形式實現。

本領域普通技術人員可以理解:實現上述方法實施例的全部或部分步驟可以通過程序指令相關的硬件來完成,前述的程序可以存儲于一計算機可讀取存儲介質中,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟;而前述的存儲介質包括:移動存儲設備、只讀存儲器(ROM,Read-Only Memory)、隨機存取存儲器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲程序代碼的介質。

或者,本發(fā)明上述集成的單元如果以軟件功能模塊的形式實現并作為獨立的產品銷售或使用時,也可以存儲在一個計算機可讀取存儲介質中?;谶@樣的理解,本發(fā)明實施例的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟件產品的形式體現出來,該計算機軟件產品存儲在一個存儲介質中,包括若干指令用以使得一臺計算機設備(可以是個人計算機、服務器、或者網絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分。而前述的存儲介質包括:移動存儲設備、ROM、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質。

以上所述,僅為本發(fā)明的具體實施方式,但本發(fā)明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內,可輕易想到變化或替換,都應涵蓋在本發(fā)明的保護范圍之內。因此,本發(fā)明的保護范圍應以所述權利要求的保護范圍為準。

當前第1頁1 2 3 
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1
汝城县| 阿鲁科尔沁旗| 招远市| 大荔县| 鹤壁市| 拉萨市| 嘉荫县| 江西省| 绵阳市| 南华县| 乌恰县| 女性| 喀什市| 平凉市| 定边县| 安龙县| 平果县| 潞城市| 兰坪| 科技| 贺兰县| 白河县| 天柱县| 武汉市| 嘉善县| 喀喇| 白玉县| 上饶县| 沛县| 清原| 隆化县| 西林县| 博客| 原阳县| 兴安县| 盘锦市| 乐山市| 新乡市| 湘阴县| 柯坪县| 敦煌市|