本發(fā)明涉及通訊技術(shù),尤其涉及一種信息處理方法及服務(wù)器。
背景技術(shù):
本申請(qǐng)發(fā)明人在實(shí)現(xiàn)本申請(qǐng)實(shí)施例技術(shù)方案的過(guò)程中,至少發(fā)現(xiàn)相關(guān)技術(shù)中存在如下技術(shù)問(wèn)題:
隨著網(wǎng)絡(luò)技術(shù)的法杖,病毒傳播得更快,破壞能力更強(qiáng),是防毒殺毒工作面臨巨大挑戰(zhàn),目前,采用現(xiàn)有技術(shù),主流的識(shí)別病毒的解決方案為:一、提取已知病毒樣本中的一段二進(jìn)制特征碼,該特征碼能唯一識(shí)別病毒,將此特征碼添加到病毒數(shù)據(jù)庫(kù),在病毒檢測(cè)時(shí)搜索是否有匹配的病毒特征數(shù)據(jù),從而識(shí)別出病毒;二、將未知病毒運(yùn)行在虛擬機(jī)下以檢測(cè)病毒行為,從而識(shí)別出病毒。
采用上述現(xiàn)有技術(shù),存在的缺點(diǎn)為:通過(guò)上述第一種解決方案,提取病毒特征碼技術(shù),雖然能快速和準(zhǔn)確識(shí)別已知病毒,但是,對(duì)新型病毒無(wú)法識(shí)別或識(shí)別的誤報(bào)率高。通過(guò)上述第二種解決方案,將病毒運(yùn)行在虛擬機(jī)下檢測(cè)病毒行為,其檢測(cè)結(jié)果完全依賴于分析人員的專業(yè)水平,不僅大大增加了人工成本,而且也同樣存在誤報(bào)率的問(wèn)題,而且病毒還存在病毒加殼,會(huì)導(dǎo)致分析人員在使用應(yīng)用程序接口(API)調(diào)用序列時(shí)數(shù)量巨大,導(dǎo)致效率低下的問(wèn)題。然而,相關(guān)技術(shù)中,對(duì)于如何精準(zhǔn)識(shí)別病毒的問(wèn)題,尚無(wú)有效解決方案。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此,本發(fā)明實(shí)施例希望提供一種信息處理方法及服務(wù)器,至少解決了現(xiàn)有技術(shù)存在的問(wèn)題,能精準(zhǔn)的識(shí)別病毒。
本發(fā)明實(shí)施例的技術(shù)方案是這樣實(shí)現(xiàn)的:
本發(fā)明實(shí)施例的一種信息處理方法,所述方法包括:
獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令,判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果符合所述預(yù)設(shè)策略,則將所述第一操作指令確定為特征指令;
提取所述特征指令的特征值,將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù);
根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。
上述方案中,所述判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,包括以下一種或多種方式:
方式一:判斷所述第一操作指令是否用于調(diào)用指定的系統(tǒng)應(yīng)用程序接口API函數(shù),以執(zhí)行包括修改注冊(cè)表或修改系統(tǒng)關(guān)鍵路徑在內(nèi)的操作,如果是,則符合所述預(yù)設(shè)策略;
方式二:判斷所述第一操作指令的出現(xiàn)頻率和/或次數(shù)是否達(dá)到預(yù)設(shè)的閾值,如果是,則符合所述預(yù)設(shè)策略;
方式三:判斷所述第一操作指令所包含的靜態(tài)代碼信息入口處的區(qū)域大小和/或邊界是否符合預(yù)設(shè)條件,如果是,則符合所述預(yù)設(shè)策略。
上述方案中,所述將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù),包括:
將所述特征指令的特征值作為參考樣本,對(duì)所述參考樣本進(jìn)行信息不純度的分析,以得到病毒種類劃分的基準(zhǔn)參考值;
根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,通過(guò)所述至少一個(gè)病毒分類模型得到用于表征病毒分類的所述病毒的結(jié)構(gòu)特征參數(shù)。
上述方案中,所述根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至 少一個(gè)病毒分類模型,包括:
所述病毒分類模型為決策樹(shù)模型時(shí),以所述基準(zhǔn)參考值作為決策樹(shù)的分支節(jié)點(diǎn),分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù),由所述至少一個(gè)分類回歸樹(shù)構(gòu)成所述至少一個(gè)病毒分類模型。
上述方案中,所述分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù),包括:
獲取所述參考樣本的估計(jì)值與訓(xùn)練得到的實(shí)際值;
根據(jù)所述估計(jì)值和所述實(shí)際值,計(jì)算出估計(jì)值與實(shí)際值的殘差所構(gòu)成的梯度;
在每一次梯度減少的方向建立一個(gè)新的分類回歸樹(shù),重復(fù)N次,N為大于1的自然數(shù),得到N個(gè)分類回歸樹(shù)。
本發(fā)明實(shí)施例的一種服務(wù)器,所述服務(wù)器包括:
判斷單元,用于獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令,判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果符合所述預(yù)設(shè)策略,則將所述第一操作指令確定為特征指令;
處理單元,用于提取所述特征指令的特征值,將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù);
識(shí)別單元,用于根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。
上述方案中,所述判斷單元,進(jìn)一步用于采取以下一種或多種方式來(lái)判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略:
方式一:判斷所述第一操作指令是否用于調(diào)用指定的系統(tǒng)應(yīng)用程序接口API函數(shù),以執(zhí)行包括修改注冊(cè)表或修改系統(tǒng)關(guān)鍵路徑在內(nèi)的操作,如果是, 則符合所述預(yù)設(shè)策略;
方式二:判斷所述第一操作指令的出現(xiàn)頻率和/或次數(shù)是否達(dá)到預(yù)設(shè)的閾值,如果是,則符合所述預(yù)設(shè)策略;
方式三:判斷所述第一操作指令所包含的靜態(tài)代碼信息入口處的區(qū)域大小和/或邊界是否符合預(yù)設(shè)條件,如果是,則符合所述預(yù)設(shè)策略。
上述方案中,所述處理單元,進(jìn)一步用于:
第一子處理單元,用于將所述特征指令的特征值作為參考樣本,對(duì)所述參考樣本進(jìn)行信息不純度的分析,以得到病毒種類劃分的基準(zhǔn)參考值;
第二子處理單元,用于根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,通過(guò)所述至少一個(gè)病毒分類模型得到用于表征病毒分類的所述病毒的結(jié)構(gòu)特征參數(shù)。
上述方案中,所述第二子處理單元,進(jìn)一步用于在所述病毒分類模型為決策樹(shù)模型時(shí),以所述基準(zhǔn)參考值作為決策樹(shù)的分支節(jié)點(diǎn),分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù),由所述至少一個(gè)分類回歸樹(shù)構(gòu)成所述至少一個(gè)病毒分類模型。
上述方案中,所述第二子處理單元,進(jìn)一步用于獲取所述參考樣本的估計(jì)值與訓(xùn)練得到的實(shí)際值;根據(jù)所述估計(jì)值和所述實(shí)際值,計(jì)算出估計(jì)值與實(shí)際值的殘差所構(gòu)成的梯度;在每一次梯度減少的方向建立一個(gè)新的分類回歸樹(shù),重復(fù)N次,N為大于1的自然數(shù),得到N個(gè)分類回歸樹(shù)。
本發(fā)明實(shí)施例的信息處理方法,包括:獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令,判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果符合所述預(yù)設(shè)策略,則將所述第一操作指令確定為特征指令;提取所述特征指令的特征值,將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù);根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所 述待檢測(cè)的文件為病毒文件。
采用本發(fā)明實(shí)施例,對(duì)可能為病毒文件的可執(zhí)行文件進(jìn)行檢測(cè)分析,當(dāng)發(fā)現(xiàn)該可執(zhí)行文件中的第一操作指令的特征符合預(yù)設(shè)策略,則將該可執(zhí)行文件作為已知的病毒文件,將該已知的病毒文件中符合預(yù)設(shè)策略的第一操作指令作為特征指令并對(duì)其特征值進(jìn)行提取,以便于通過(guò)提取的該特征值來(lái)構(gòu)造病毒分類模型,從而分析得到病毒的結(jié)構(gòu)特征參數(shù)。對(duì)待檢測(cè)的文件進(jìn)行識(shí)別,看是否為病毒文件時(shí),提取該待檢測(cè)的文件中的第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。不僅無(wú)需人工介入病毒識(shí)別的分析,而且能通過(guò)結(jié)構(gòu)特征參數(shù)的比對(duì),精準(zhǔn)的識(shí)別出病毒,從而提高了識(shí)別精度和識(shí)別效率。
附圖說(shuō)明
圖1為本發(fā)明實(shí)施例中進(jìn)行信息交互的各方硬件實(shí)體的示意圖;
圖2為本發(fā)明方法實(shí)施例一的一個(gè)實(shí)現(xiàn)流程示意圖;
圖3-5為本發(fā)明實(shí)施例分類模型(分類器)的實(shí)例示意圖;
圖6為本發(fā)明方法實(shí)施例二的一個(gè)實(shí)現(xiàn)流程示意圖;
圖7為本發(fā)明方法實(shí)施例三的一個(gè)實(shí)現(xiàn)流程示意圖;
圖8為本發(fā)明服務(wù)器實(shí)施例一的一個(gè)組成結(jié)構(gòu)示意圖;
圖9為本發(fā)明服務(wù)器實(shí)施例的一個(gè)硬件結(jié)構(gòu)示意圖。
具體實(shí)施方式
下面結(jié)合附圖對(duì)技術(shù)方案的實(shí)施作進(jìn)一步的詳細(xì)描述。
圖1為本發(fā)明實(shí)施例中進(jìn)行信息交互的各方硬件實(shí)體的示意圖,圖1中包括:終端設(shè)備11-12,基站21-23,服務(wù)器31,終端與終端之間,終端與服務(wù)器之間在信息交互的過(guò)程中除了傳輸未感染病毒的正常文件,也可能會(huì)傳播感染病毒的病毒文件,病毒文件包括已知病毒文件和/或未知病毒文件,為了信息交 互中的信息安全考慮,需要從眾多信息中識(shí)別出病毒。
基于上述圖1所示的系統(tǒng),采用本發(fā)明實(shí)施例,是通過(guò)在服務(wù)器31側(cè)收集病毒文件,包括已知病毒文件和未知病毒文件,由于病毒文件通常為可執(zhí)行文件,因此,首先對(duì)可能為病毒文件的可執(zhí)行文件進(jìn)行檢測(cè)分析,當(dāng)發(fā)現(xiàn)該可執(zhí)行文件中的第一操作指令的特征符合預(yù)設(shè)策略,則將該可執(zhí)行文件作為已知的病毒文件,將該已知的病毒文件中符合預(yù)設(shè)策略的第一操作指令作為特征指令并對(duì)其特征值進(jìn)行提取,以便于通過(guò)提取的該特征值來(lái)構(gòu)造病毒分類模型,從而分析得到病毒的結(jié)構(gòu)特征參數(shù)。之后,對(duì)待檢測(cè)的文件進(jìn)行識(shí)別,看是否為病毒文件時(shí),提取該待檢測(cè)的文件中的第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。
針對(duì)圖1所示的系統(tǒng)架構(gòu),舉例來(lái)說(shuō),在服務(wù)器31中至少需要完成以下處理:1)對(duì)已知病毒的特征提取處理;2)將提取的特征存入數(shù)據(jù)庫(kù)以用于后續(xù)構(gòu)造分類器使用;3)根據(jù)提取的特征構(gòu)造用于識(shí)別病毒和病毒具體分類的該分類器;4)對(duì)未知病毒文件利用該構(gòu)造分類器進(jìn)行病毒檢測(cè),識(shí)別出病毒,輸出病毒分類。
上述圖1的例子只是實(shí)現(xiàn)本發(fā)明實(shí)施例的一個(gè)系統(tǒng)架構(gòu)實(shí)例,本發(fā)明實(shí)施例并不限于上述圖1所述的系統(tǒng)結(jié)構(gòu),基于該系統(tǒng)架構(gòu),提出本發(fā)明各個(gè)實(shí)施例。
方法實(shí)施例一、
本發(fā)明實(shí)施例的信息處理方法,如圖2所示,所述方法包括:
步驟101、獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令。
這里,由于病毒文件通常為可執(zhí)行文件,因此,首先對(duì)可能為病毒文件的可執(zhí)行文件進(jìn)行檢測(cè)分析,該可能為病毒文件的可執(zhí)行文件可以稱為PE文件,通常該P(yáng)E文件的文件名后綴為“.exe”。PE文件中包含大量的靜態(tài)信息,靜態(tài)信息中有普通的信息,也有指令信息,比如普通的信息可以是函數(shù)入口信息, 指令信息是調(diào)用該函數(shù)的操作指令。
步驟102、判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果是,則執(zhí)行步驟103,否則,不予進(jìn)行處理。
這里,由于服務(wù)器并不確定該P(yáng)E文件是否就是分析所需要的文件,即已知病毒文件,因此,還需要對(duì)PE文件中的指令信息進(jìn)行檢測(cè)分析。
由于已知病毒文件的指令信息具備一定的特征,比如,病毒文件中的某些指令信息會(huì)調(diào)用一些較為特殊的系統(tǒng)應(yīng)用程序接口(API)函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑,同種病毒的代碼部分往往具有相似性;比如,具備這些特征的指令信息的出現(xiàn)次數(shù)和頻率很頻繁,或者即便不具有某種特征,還未明確的情況下指令信息的出現(xiàn)次數(shù)和頻率很多頻繁;比如,很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值等等;因此,將這些情況都作為預(yù)設(shè)策略,對(duì)PE文件中的指令信息進(jìn)行檢測(cè)分析時(shí),按照指令信息的特征與預(yù)設(shè)策略中的特征進(jìn)行比對(duì),如果發(fā)現(xiàn)具備一定的特征,則將這樣的指令信息作為重要特征指令,用于后續(xù)構(gòu)造分類器使用。
步驟103、所述第一操作指令的特征符合所述預(yù)設(shè)策略,將所述第一操作指令確定為特征指令。
這里,預(yù)設(shè)策略包括:上述步驟102中提及的,病毒文件中的某些指令信息會(huì)調(diào)用一些較為特殊的系統(tǒng)API函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑,同種病毒的代碼部分往往具有相似性;比如,具備這些特征的指令信息的出現(xiàn)次數(shù)和頻率很頻繁,或者即便不具有某種特征,還未明確的情況下指令信息的出現(xiàn)次數(shù)和頻率很多頻繁;比如,很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值等等這些策略,但是不限于本文指出的這些策略。
步驟104、提取所述特征指令的特征值,將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù)。
這里,通過(guò)上述步驟101-103對(duì)已知病毒文件中重要特征指令的特征值分 析,并將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到的該病毒的結(jié)構(gòu)特征參數(shù)必然能概括出大部分病毒及其變種或類似結(jié)構(gòu)的新型病毒的通用表現(xiàn)形式,從而為最終的病毒檢測(cè)提供良好的判斷依據(jù)。
步驟105、根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令。
待檢測(cè)文件可以為新型的病毒文件,也可能為未感染病毒的正常文件,根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別,實(shí)際上是進(jìn)行病毒的結(jié)構(gòu)特征參數(shù)的匹配,該病毒分類模型中包括了各種病毒的結(jié)構(gòu)特征參數(shù)。病毒分類模型為至少一個(gè),當(dāng)病毒分類模型為不止一個(gè)時(shí),比如兩個(gè)病毒分類模型,可以將其中任意一個(gè)病毒分類模型中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配,也可以將兩個(gè)病毒分類模型進(jìn)行迭代或疊加后先得到綜合分類模型,再將該綜合分類模型中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配。當(dāng)然,病毒分類模型可以為更多,比如五個(gè),可以與其中至少一個(gè)病毒分類模型進(jìn)行迭代或疊加后得到綜合分類模型,如,分別兩兩迭代或疊加得到第一綜合分類模型和第二綜合分類模型,再與剩下的一個(gè)原有的分類模型進(jìn)行迭代或疊加等等。如圖3-圖5所示為幾種分類模型(或稱分類器)的迭代或疊加組合實(shí)例。
步驟106、判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果是,則執(zhí)行步驟107;否則,不予進(jìn)行處理。
步驟107、所述第二操作指令的特征值符合所述病毒的結(jié)構(gòu)特征參數(shù),識(shí)別出所述待檢測(cè)的文件為病毒文件。
待檢測(cè)文件可以為新型的病毒文件,也可能為未感染病毒的正常文件,提取該待檢測(cè)文件中的指令信息特征值,將其根據(jù)所述至少一個(gè)病毒分類模型進(jìn)行識(shí)別,實(shí)際上是進(jìn)行病毒的結(jié)構(gòu)特征參數(shù)的匹配,只要有至少一個(gè)匹配結(jié)果,則說(shuō)明該待檢測(cè)文件為病毒文件,進(jìn)一步,可以根據(jù)病毒分類模型的病毒分類結(jié)果對(duì)該病毒文件、或病毒文件中某條或多條指令信息為哪一類病毒進(jìn)行區(qū)分。
如圖3-5所示為幾種分類模型(或稱分類器)的迭代或疊加組合實(shí)例,圖 3-圖5中以A11代表分類構(gòu)造器,如圖3所示,分類構(gòu)造器中所構(gòu)造的病毒分類模型有3個(gè),待檢測(cè)文件分別與其中任意一個(gè)病毒分類模型中的結(jié)構(gòu)特征參數(shù)進(jìn)行匹配;如圖4所示,分類構(gòu)造器中所構(gòu)造的病毒分類模型有5個(gè),模型1-4這4個(gè)病毒分類模型兩兩進(jìn)行迭代或疊加后先得到綜合分類模型1和綜合分類模型2,模型5不進(jìn)行迭代或疊加,之后將綜合分類模型1、綜合分類模型2、模型5中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配;如圖5所示,分類構(gòu)造器中所構(gòu)造的病毒分類模型有5個(gè),模型1-2這2個(gè)病毒分類模型兩兩進(jìn)行迭代或疊加后先得到綜合分類模型1,模型3-5這3個(gè)病毒分類模型進(jìn)行迭代或疊加后先得到綜合分類模型2’,之后將綜合分類模型1、綜合分類模型2’、中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配。
基于上述方法實(shí)施例一,在實(shí)際應(yīng)用中,步驟102中,所述判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,基于以下一種或多種方式的原則進(jìn)行,方式一:判斷所述第一操作指令是否用于調(diào)用指定的系統(tǒng)應(yīng)用程序接口API函數(shù),以執(zhí)行包括修改注冊(cè)表或修改系統(tǒng)關(guān)鍵路徑在內(nèi)的操作,如果是,則符合所述預(yù)設(shè)策略;方式二:判斷所述第一操作指令的出現(xiàn)頻率和/或次數(shù)是否達(dá)到預(yù)設(shè)的閾值,如果是,則符合所述預(yù)設(shè)策略;方式三:判斷所述第一操作指令所包含的靜態(tài)代碼信息入口處的區(qū)域大小和/或邊界是否符合預(yù)設(shè)條件,如果是,則符合所述預(yù)設(shè)策略。
方法實(shí)施例二、
本發(fā)明實(shí)施例的信息處理方法,如圖6所示,所述方法包括:
步驟201、獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令。
這里,由于病毒文件通常為可執(zhí)行文件,因此,首先對(duì)可能為病毒文件的可執(zhí)行文件進(jìn)行檢測(cè)分析,該可能為病毒文件的可執(zhí)行文件可以稱為PE文件,通常該P(yáng)E文件的文件名后綴為“.exe”。PE文件中包含大量的靜態(tài)信息,靜態(tài)信息中有普通的信息,也有指令信息,比如普通的信息可以是函數(shù)入口信息, 指令信息是調(diào)用該函數(shù)的操作指令。
步驟202、判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果是,則執(zhí)行步驟203,否則,不予進(jìn)行處理。
這里,由于服務(wù)器并不確定該P(yáng)E文件是否就是分析所需要的文件,即已知病毒文件,因此,還需要對(duì)PE文件中的指令信息進(jìn)行檢測(cè)分析。
由于已知病毒文件的指令信息具備一定的特征,比如,病毒文件中的某些指令信息會(huì)調(diào)用一些較為特殊的系統(tǒng)應(yīng)用程序接口(API)函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑,同種病毒的代碼部分往往具有相似性;比如,具備這些特征的指令信息的出現(xiàn)次數(shù)和頻率很頻繁,或者即便不具有某種特征,還未明確的情況下指令信息的出現(xiàn)次數(shù)和頻率很多頻繁;比如,很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值等等;因此,將這些情況都作為預(yù)設(shè)策略,對(duì)PE文件中的指令信息進(jìn)行檢測(cè)分析時(shí),按照指令信息的特征與預(yù)設(shè)策略中的特征進(jìn)行比對(duì),如果發(fā)現(xiàn)具備一定的特征,則將這樣的指令信息作為重要特征指令,用于后續(xù)構(gòu)造分類器使用。
步驟203、所述第一操作指令的特征符合所述預(yù)設(shè)策略,將所述第一操作指令確定為特征指令。
這里,預(yù)設(shè)策略包括:上述步驟202中提及的,病毒文件中的某些指令信息會(huì)調(diào)用一些較為特殊的系統(tǒng)API函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑,同種病毒的代碼部分往往具有相似性;比如,具備這些特征的指令信息的出現(xiàn)次數(shù)和頻率很頻繁,或者即便不具有某種特征,還未明確的情況下指令信息的出現(xiàn)次數(shù)和頻率很多頻繁;比如,很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值等等這些策略,但是不限于本文指出的這些策略。
步驟204、將所述特征指令的特征值作為參考樣本,對(duì)所述參考樣本進(jìn)行信息不純度的分析,以得到病毒種類劃分的基準(zhǔn)參考值,根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,通過(guò)所述至少一個(gè)病 毒分類模型得到用于表征病毒分類的所述病毒的結(jié)構(gòu)特征參數(shù)。
這里,通過(guò)上述步驟201-203對(duì)已知病毒文件中重要特征指令的特征值分析,并將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到的該病毒的結(jié)構(gòu)特征參數(shù)必然能概括出大部分病毒及其變種或類似結(jié)構(gòu)的新型病毒的通用表現(xiàn)形式,從而為最終的病毒檢測(cè)提供良好的判斷依據(jù)。
這里,所述根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,包括:所述病毒分類模型為決策樹(shù)模型時(shí),以所述基準(zhǔn)參考值作為決策樹(shù)的分支節(jié)點(diǎn),分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù),由所述至少一個(gè)分類回歸樹(shù)構(gòu)成所述至少一個(gè)病毒分類模型。
步驟205、根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令。
待檢測(cè)文件可以為新型的病毒文件,也可能為未感染病毒的正常文件,根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別,實(shí)際上是進(jìn)行病毒的結(jié)構(gòu)特征參數(shù)的匹配,該病毒分類模型中包括了各種病毒的結(jié)構(gòu)特征參數(shù)。病毒分類模型為至少一個(gè),當(dāng)病毒分類模型為不止一個(gè)時(shí),比如兩個(gè)病毒分類模型,可以將其中任意一個(gè)病毒分類模型中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配,也可以將兩個(gè)病毒分類模型進(jìn)行迭代或疊加后先得到綜合分類模型,再將該綜合分類模型中的病毒的結(jié)構(gòu)特征參數(shù)用于與待檢測(cè)文件進(jìn)行匹配。當(dāng)然,病毒分類模型可以為更多,比如五個(gè),可以與其中至少一個(gè)病毒分類模型進(jìn)行迭代或疊加后得到綜合分類模型,如,分別兩兩迭代或疊加得到第一綜合分類模型和第二綜合分類模型,再與剩下的一個(gè)原有的分類模型進(jìn)行迭代或疊加等等。如圖3-圖5所示為幾種分類模型(或稱分類器)的迭代或疊加組合實(shí)例。
步驟206、判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果是,則執(zhí)行步驟207;否則,不予進(jìn)行處理。
步驟207、所述第二操作指令的特征值符合所述病毒的結(jié)構(gòu)特征參數(shù),識(shí) 別出所述待檢測(cè)的文件為病毒文件。
待檢測(cè)文件可以為新型的病毒文件,也可能為未感染病毒的正常文件,提取該待檢測(cè)文件中的指令信息特征值,將其根據(jù)所述至少一個(gè)病毒分類模型進(jìn)行識(shí)別,實(shí)際上是進(jìn)行病毒的結(jié)構(gòu)特征參數(shù)的匹配,只要有至少一個(gè)匹配結(jié)果,則說(shuō)明該待檢測(cè)文件為病毒文件,進(jìn)一步,可以根據(jù)病毒分類模型的病毒分類結(jié)果對(duì)該病毒文件、或病毒文件中某條或多條指令信息為哪一類病毒進(jìn)行區(qū)分。
方法實(shí)施例三、
基于上述方法實(shí)施例二,本發(fā)明實(shí)施例的信息處理方法,一個(gè)具體應(yīng)用為:在所述病毒分類模型為決策樹(shù)模型時(shí),以所述基準(zhǔn)參考值作為決策樹(shù)的分支節(jié)點(diǎn),分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù)。
如圖7所示,上述具體應(yīng)用的流程包括:
步驟301、獲取所述參考樣本的估計(jì)值與訓(xùn)練得到的實(shí)際值。
步驟302、根據(jù)所述估計(jì)值和所述實(shí)際值,計(jì)算出估計(jì)值與實(shí)際值的殘差所構(gòu)成的梯度。
步驟303、在每一次梯度減少的方向建立一個(gè)新的分類回歸樹(shù),重復(fù)N次,N為大于1的自然數(shù),得到N個(gè)分類回歸樹(shù)。
這里需要指出的是:以下涉及服務(wù)器項(xiàng)的描述,與上述方法描述是類似的,同方法的有益效果描述,不做贅述。對(duì)于本發(fā)明服務(wù)器實(shí)施例中未披露的技術(shù)細(xì)節(jié),請(qǐng)參照本發(fā)明方法實(shí)施例的描述。
服務(wù)器實(shí)施例一:
本發(fā)明實(shí)施例的一種服務(wù)器,如圖8所示,所述服務(wù)器包括:
判斷單元41用于獲取至少一個(gè)指定類型的可執(zhí)行文件,從所述至少一個(gè)指定類型的可執(zhí)行文件中提取至少一個(gè)第一操作指令,判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,如果符合所述預(yù)設(shè)策略,則將所述第一操作指令確定為特征指令。
處理單元42用于提取所述特征指令的特征值,將所述特征指令的特征值用于構(gòu)造病毒分類模型,分析得到病毒的結(jié)構(gòu)特征參數(shù);
識(shí)別單元43用于根據(jù)所述病毒分類模型對(duì)至少一個(gè)待檢測(cè)的文件進(jìn)行識(shí)別時(shí),從所述至少一個(gè)待檢測(cè)的文件中提取至少一個(gè)第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。
采用本發(fā)明實(shí)施例,通過(guò)判斷單元41、處理單元42和識(shí)別單元43,能對(duì)可能為病毒文件的可執(zhí)行文件進(jìn)行檢測(cè)分析,當(dāng)發(fā)現(xiàn)該可執(zhí)行文件中的第一操作指令的特征符合預(yù)設(shè)策略,則將該可執(zhí)行文件作為已知的病毒文件,將該已知的病毒文件中符合預(yù)設(shè)策略的第一操作指令作為特征指令并對(duì)其特征值進(jìn)行提取,以便于通過(guò)提取的該特征值來(lái)構(gòu)造病毒分類模型,從而分析得到病毒的結(jié)構(gòu)特征參數(shù)。對(duì)待檢測(cè)的文件進(jìn)行識(shí)別,看是否為病毒文件時(shí),提取該待檢測(cè)的文件中的第二操作指令,判斷所述第二操作指令的特征值是否符合所述病毒的結(jié)構(gòu)特征參數(shù),如果符合所述病毒的結(jié)構(gòu)特征參數(shù),則識(shí)別出所述待檢測(cè)的文件為病毒文件。不僅無(wú)需人工介入病毒識(shí)別的分析,而且能通過(guò)結(jié)構(gòu)特征參數(shù)的比對(duì),精準(zhǔn)的識(shí)別出病毒,從而提高了識(shí)別精度和識(shí)別效率。
在本發(fā)明實(shí)施例一具體應(yīng)用中,判斷單元41還用于采取以下一種或多種方式來(lái)判斷所述第一操作指令的特征是否符合預(yù)設(shè)策略,包括:方式一:判斷所述第一操作指令是否用于調(diào)用指定的系統(tǒng)應(yīng)用程序接口API函數(shù),以執(zhí)行包括修改注冊(cè)表或修改系統(tǒng)關(guān)鍵路徑在內(nèi)的操作,如果是,則符合所述預(yù)設(shè)策略;方式二:判斷所述第一操作指令的出現(xiàn)頻率和/或次數(shù)是否達(dá)到預(yù)設(shè)的閾值,如果是,則符合所述預(yù)設(shè)策略;方式三:判斷所述第一操作指令所包含的靜態(tài)代碼信息入口處的區(qū)域大小和/或邊界是否符合預(yù)設(shè)條件,如果是,則符合所述預(yù)設(shè)策略。
由于已知病毒文件的指令信息具備一定的特征,比如,病毒文件中的某些指令信息會(huì)調(diào)用一些較為特殊的系統(tǒng)應(yīng)用程序接口(API)函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑,同種病毒的代碼部分往往 具有相似性;比如,具備這些特征的指令信息的出現(xiàn)次數(shù)和頻率很頻繁,或者即便不具有某種特征,還未明確的情況下指令信息的出現(xiàn)次數(shù)和頻率很多頻繁;比如,很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值等等;因此,將這些情況都作為預(yù)設(shè)策略,對(duì)PE文件中的指令信息進(jìn)行檢測(cè)分析時(shí),按照指令信息的特征與預(yù)設(shè)策略中的特征進(jìn)行比對(duì),如果發(fā)現(xiàn)具備一定的特征,則將這樣的指令信息作為重要特征指令,用于后續(xù)構(gòu)造分類器使用。
在本發(fā)明實(shí)施例一具體應(yīng)用中,處理單元42還可以包括:第一子處理單元,用于將所述特征指令的特征值作為參考樣本,對(duì)所述參考樣本進(jìn)行信息不純度的分析,以得到病毒種類劃分的基準(zhǔn)參考值;第二子處理單元,用于根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,通過(guò)所述至少一個(gè)病毒分類模型得到用于表征病毒分類的所述病毒的結(jié)構(gòu)特征參數(shù)。
這里,所述第一子處理單元可以具體為特征值提取模塊,用于提取特征指令的特征值,將所述特征指令的特征值作為參考樣本,對(duì)所述參考樣本進(jìn)行信息不純度的分析,以得到病毒種類劃分的基準(zhǔn)參考值。所述第二子處理單元可以具體為構(gòu)造分類器模塊,根據(jù)所述基準(zhǔn)參考值進(jìn)行病毒分類模型的劃分,得到至少一個(gè)病毒分類模型,通過(guò)所述至少一個(gè)病毒分類模型得到用于表征病毒分類的所述病毒的結(jié)構(gòu)特征參數(shù)。相應(yīng)的,所述識(shí)別單元,可以具體為病毒檢測(cè)模塊,用于識(shí)別出病毒和檢測(cè)出識(shí)別出的病毒屬于何種病毒分類。
這里需要指出的是,構(gòu)造分類器模塊在所述病毒分類模型為決策樹(shù)模型時(shí),以所述基準(zhǔn)參考值作為決策樹(shù)的分支節(jié)點(diǎn),分別向所述分支節(jié)點(diǎn)的左側(cè)和右側(cè)進(jìn)行劃分并在殘差的梯度減少方向建立至少一個(gè)分類回歸樹(shù),由所述至少一個(gè)分類回歸樹(shù)構(gòu)成所述至少一個(gè)病毒分類模型。具體的,是獲取所述參考樣本的估計(jì)值與訓(xùn)練得到的實(shí)際值;根據(jù)所述估計(jì)值和所述實(shí)際值,計(jì)算出估計(jì)值與實(shí)際值的殘差所構(gòu)成的梯度;在每一次梯度減少的方向建立一個(gè)新的分類回歸樹(shù),重復(fù)N次,N為大于1的自然數(shù),得到N個(gè)分類回歸樹(shù)。
有關(guān)特征值提取模塊、構(gòu)造分類器模塊、病毒檢測(cè)模塊的具體舉例和算法 描述請(qǐng)?jiān)斠?jiàn)后續(xù)的應(yīng)用場(chǎng)景描述。
服務(wù)器實(shí)施例二
這里需要指出的是,上述服務(wù)器可以是通過(guò)集群系統(tǒng)構(gòu)成的,為實(shí)現(xiàn)各單元功能而合并為一或各單元功能分體設(shè)置的電子設(shè)備,客戶端和服務(wù)器都至少包括用于存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)和用于數(shù)據(jù)處理的處理器,或者包括設(shè)置于服務(wù)器內(nèi)的存儲(chǔ)介質(zhì)或獨(dú)立設(shè)置的存儲(chǔ)介質(zhì)。
其中,對(duì)于用于數(shù)據(jù)處理的處理器而言,在執(zhí)行處理時(shí),可以采用微處理器、中央處理器(CPU,Central Processing Unit)、數(shù)字信號(hào)處理器(DSP,Digital Singnal Processor)或可編程邏輯陣列(FPGA,F(xiàn)ield-Programmable Gate Array)實(shí)現(xiàn);對(duì)于存儲(chǔ)介質(zhì)來(lái)說(shuō),包含操作指令,該操作指令可以為計(jì)算機(jī)可執(zhí)行代碼,通過(guò)所述操作指令來(lái)實(shí)現(xiàn)上述本發(fā)明實(shí)施例信息處理方法流程中的各個(gè)步驟。
該服務(wù)器作為硬件實(shí)體S11的一個(gè)示例如圖9所示。所述裝置包括處理器51、存儲(chǔ)介質(zhì)52以及至少一個(gè)外部通信接口53;所述處理器51、存儲(chǔ)介質(zhì)52以及外部通信接口53均通過(guò)總線54連接。
以一個(gè)現(xiàn)實(shí)應(yīng)用場(chǎng)景為例對(duì)本發(fā)明實(shí)施例闡述如下:
在本病毒識(shí)別的應(yīng)用場(chǎng)景中,采用本發(fā)明實(shí)施例具體為一種基于梯度上升決策樹(shù)的未知病毒分類與預(yù)測(cè)方案。在病毒識(shí)別的技術(shù)中,采用本發(fā)明實(shí)施例主要是通過(guò)分析未知病毒與已知病毒PE文件中的重要特征指令結(jié)構(gòu)的相似度預(yù)測(cè)病毒種類,提升未知病毒的檢測(cè)成功率。而且,本方案不需要運(yùn)行病毒,只需要提取PE文件中的靜態(tài)信息進(jìn)行分析即可。
本發(fā)明實(shí)施例的方法可以采用特征值提取模塊、構(gòu)造分類器模塊、病毒檢測(cè)模塊來(lái)實(shí)現(xiàn),其具體舉例和算法如下所述。通過(guò)所述特征提取模塊、構(gòu)造分類器模塊、病毒預(yù)測(cè)模塊,至少需要完成以下處理:1)對(duì)已知病毒的特征提取處理;2)將提取的特征存入數(shù)據(jù)庫(kù)以用于后續(xù)構(gòu)造分類器使用;3)根據(jù)提取的特征構(gòu)造用于識(shí)別病毒和病毒具體分類的該分類器;4)對(duì)未知病毒文件利用該構(gòu)造分類器進(jìn)行病毒檢測(cè),識(shí)別出病毒,輸出病毒分類。
一、針對(duì)所述特征值提取模塊而言,由于絕大多數(shù)病毒文件都是PE格式的文件。病毒文件在進(jìn)行各種操作時(shí)與普通PE文件類似,但它們常常通過(guò)調(diào)用一些較為特殊的系統(tǒng)API函數(shù)來(lái)達(dá)到其破壞目的,如對(duì)注冊(cè)表的讀寫操作、修改系統(tǒng)關(guān)鍵路徑。同種病毒的代碼部分往往具有相似性,因此提取PE文件中的重要特征指令,將特征指令的出現(xiàn)次數(shù)作為判斷依據(jù)。由于很多病毒采用加密技術(shù),可以提取代碼入口處的區(qū)域大小、邊界等做為特征值進(jìn)行比較。如:在m個(gè)PE格式的病毒文件中,選取n個(gè)有意義的操作指令作為特征提取出來(lái),組成m*n的矩陣X,其中X(ij)表示第i個(gè)文件中第j個(gè)特征出現(xiàn)的次數(shù),m個(gè)病毒文件所對(duì)應(yīng)的病毒類為m維向量Y,Y(i)表示第i個(gè)病毒文件所屬的病毒分類。簡(jiǎn)單來(lái)說(shuō),是通過(guò)分析PE文件中的重要指令和結(jié)構(gòu)的相似度來(lái)識(shí)別病毒和判斷病毒分類。
二、針對(duì)所述構(gòu)造分類器模塊而言,本發(fā)明實(shí)施例的分類器采用梯度上升決策樹(shù)實(shí)現(xiàn),原理為:算法開(kāi)始時(shí),為每個(gè)樣本賦上一個(gè)估計(jì)值,初始時(shí)每個(gè)樣本的估計(jì)值都一樣,在每一步訓(xùn)練中的到的模型(分類回歸樹(shù)),會(huì)是的數(shù)據(jù)點(diǎn)的估計(jì)有對(duì)有錯(cuò),計(jì)算數(shù)據(jù)點(diǎn)估計(jì)值與實(shí)際值的殘差的梯度,在每一次模型梯度減少的方向建立一個(gè)新模型,重復(fù)N次(N由用戶指定),會(huì)得到N個(gè)簡(jiǎn)單的分類器(分類回歸樹(shù)),將N個(gè)分類器組合起來(lái)(加權(quán)、或者進(jìn)行投票等),得到一個(gè)最終的模型。N個(gè)簡(jiǎn)單的分類器采用分類回歸樹(shù)構(gòu)造,具體步驟包括:
a、輸入X和Y-p的梯度g;
b、遍歷X,選擇任意特征的特征值X(ij),計(jì)算所有用特征值劃分后的信息不純性度(比較雜亂)(可以選擇GINI指數(shù)、雙化指數(shù)、有序雙化指數(shù)),信息不純度越大代表信息當(dāng)前X包含的病毒種類越雜亂,找到信息不純度最小時(shí)的X(kl);
c、求出X(il){i:0~m-1}中所有大于X(kl)的值d(k){k:1,2……},將X的所有的d(k)行組成左子樹(shù)數(shù)據(jù)集LX,對(duì)應(yīng)的g為L(zhǎng)g,將剩下的行組成右子樹(shù)數(shù)據(jù)集RX,對(duì)應(yīng)的病毒種類為Rg;
d、若劃分后的LX,RX的數(shù)量是否小于用戶設(shè)定數(shù)量,返回a步驟,繼續(xù) 尋找X(kl),r若信息不純性度量是小于一定值,則執(zhí)行e步驟,否則執(zhí)行g(shù)步驟;
e、返回當(dāng)前X對(duì)應(yīng)的g的平均值為分類樹(shù)的葉節(jié)點(diǎn);
f、選擇X(kl)為分裂結(jié)點(diǎn),節(jié)點(diǎn)的左子樹(shù)是大于特征值的數(shù)據(jù)集LX,Lg,節(jié)點(diǎn)的右子樹(shù)小于等于特征值的數(shù)據(jù)集RX,Rg;
g、將左子樹(shù)的數(shù)據(jù)集LX,Lg做為新數(shù)據(jù)集X,g,執(zhí)行b步驟;
h、將右子樹(shù)的數(shù)據(jù)集RX,Rg作為新數(shù)據(jù)集X,g,執(zhí)行c步驟。
兩個(gè)核心點(diǎn)為:1)使用分類回歸樹(shù),以信息的不純度量作為樹(shù)的分支節(jié)點(diǎn),類比通信中采用的放大器的作用機(jī)理,將信號(hào)放大,更容易識(shí)別和區(qū)分,類似的,信息越不純,越容易作為區(qū)分的參考值,可以通過(guò)這種信息不純度分析更容易篩分出病毒分類。2)在殘差的梯度減少方向建立分類回歸樹(shù),可以使預(yù)測(cè)結(jié)果逼近真實(shí)結(jié)果。
三、針對(duì)所述病毒檢測(cè)模塊而言,分類器中得到N個(gè)簡(jiǎn)單分類器,用N個(gè)分類器依次對(duì)未知病毒文件進(jìn)行判斷,每次判斷病毒文件按照樹(shù)的分支條件選擇符合自己的葉子節(jié)點(diǎn),計(jì)算每次分類器判斷得到的葉子節(jié)點(diǎn)的信息增益,相加最多的為最終結(jié)果。可以采用任意一個(gè)分類器,也可以采用將多個(gè)分類器迭代的方法,這種迭代方案可以避免樹(shù)的過(guò)擬合,且還能提高病毒識(shí)別及分類的成功率。
在本申請(qǐng)所提供的幾個(gè)實(shí)施例中,應(yīng)該理解到,所揭露的設(shè)備和方法,可以通過(guò)其它的方式實(shí)現(xiàn)。以上所描述的設(shè)備實(shí)施例僅僅是示意性的,例如,所述單元的劃分,僅僅為一種邏輯功能劃分,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式,如:多個(gè)單元或組件可以結(jié)合,或可以集成到另一個(gè)系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另外,所顯示或討論的各組成部分相互之間的耦合、或直接耦合、或通信連接可以是通過(guò)一些接口,設(shè)備或單元的間接耦合或通信連接,可以是電性的、機(jī)械的或其它形式的。
上述作為分離部件說(shuō)明的單元可以是、或也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是、或也可以不是物理單元,即可以位于一個(gè)地方,也可 以分布到多個(gè)網(wǎng)絡(luò)單元上。可以根據(jù)實(shí)際的需要選擇其中的部分或全部單元來(lái)實(shí)現(xiàn)本實(shí)施例方案的目的。
另外,在本發(fā)明各實(shí)施例中的各功能單元可以全部集成在一個(gè)處理單元中,也可以是各單元分別單獨(dú)作為一個(gè)單元,也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn),也可以采用硬件加軟件功能單元的形式實(shí)現(xiàn)。
本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過(guò)程序指令相關(guān)的硬件來(lái)完成,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中,該程序在執(zhí)行時(shí),執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、只讀存儲(chǔ)器(ROM,Read-Only Memory)、隨機(jī)存取存儲(chǔ)器(RAM,Random Access Memory)、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
或者,本發(fā)明上述集成的單元如果以軟件功能模塊的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí),也可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中?;谶@樣的理解,本發(fā)明實(shí)施例的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)、服務(wù)器、或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分。而前述的存儲(chǔ)介質(zhì)包括:移動(dòng)存儲(chǔ)設(shè)備、ROM、RAM、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)。
以上所述,僅為本發(fā)明的具體實(shí)施方式,但本發(fā)明的保護(hù)范圍并不局限于此,任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到變化或替換,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)。因此,本發(fā)明的保護(hù)范圍應(yīng)以所述權(quán)利要求的保護(hù)范圍為準(zhǔn)。