CN112989349A - 病毒检测方法、装置、设备及存储介质 - Google Patents
病毒检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112989349A CN112989349A CN202110417708.7A CN202110417708A CN112989349A CN 112989349 A CN112989349 A CN 112989349A CN 202110417708 A CN202110417708 A CN 202110417708A CN 112989349 A CN112989349 A CN 112989349A
- Authority
- CN
- China
- Prior art keywords
- virus
- client
- target
- information item
- behavior information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请提供了一种病毒检测方法、装置、设备及存储介质,属于互联网和计算机领域。所述方法包括:获取多个客户端上报的与计算机病毒相关的病毒监控数据;对于目标溯源地址,从目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识;以n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;对病毒行为数据进行统计处理,确定各个行为信息项在n个目标客户端中的出现概率;将出现概率满足要求的行为信息项,确定为与计算机病毒相关的异常行为信息项;基于异常行为信息项,生成针对计算机病毒的解决方案。本申请中,可以准确锁定与计算机病毒相关的异常行为信息项。
Description
技术领域
本申请实施例涉及计算机和互联网技术领域,特别涉及一种病毒检测方法、装置、设备及存储介质。
背景技术
目前,随着病毒在网络中的传播,网络针对病毒的防范能力也逐渐增加。
在相关技术中,终端通过特征匹配、性能监控等手段来发现终端中的病毒文件。进一步地,在确定病毒文件之后,对终端上的监控数据进行进一步分析,确定与病毒文件相关联的文件,进而将该病毒文件,以及与病毒文件相关联的文件进行删除,以此来保证终端的正常运行。
然而,在上述相关技术中,仅仅依靠病毒文件获取相关联的文件,无法彻底删除终端中的异常文件,导致无法准确保证终端的正常运行。
发明内容
本申请实施例提供了一种病毒检测方法、装置、设备及存储介质,能够准确保证客户端运行过程的安全性。所述技术方案包括以下几项。
根据本申请实施例的一个方面,提供了一种病毒检测方法,所述方法包括:
获取多个客户端上报的与计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,所述n为正整数;
以所述n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;其中,所述病毒行为数据包括所述目标客户端的客户端标识和至少一个行为信息项;
对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率;
将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项;
基于所述异常行为信息项,生成针对所述计算机病毒的解决方案。
根据本申请实施例的一个方面,提供了一种病毒检测方法,所述方法包括:
从异常行为数据包中确定计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
向服务器上报所述病毒监控数据;
接收来自所述服务器的针对所述计算机病毒的解决方案;
以所述解决方案为基准,对客户端的运行过程进行监测。
根据本申请实施例的一个方面,提供了一种病毒检测装置,所述装置包括:
监控数据获取模块,用于获取多个客户端上报的与计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
客户端标识获取模块,用于对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,所述n为正整数;
行为数据获取模块,用于以所述n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;其中,所述病毒行为数据包括所述目标客户端的客户端标识和至少一个行为信息项;
出现概率确定模块,用于对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率;
异常信息确定模块,用于将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项;
解决方案生成模块,用于基于所述异常行为信息项,生成针对所述计算机病毒的解决方案。
根据本申请实施例的一个方面,提供了一种病毒检测装置,所述装置包括:
监控数据确定模块,用于从异常行为数据包中确定计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
监控数据发送模块,用于向服务器发送所述病毒监控数据;
解决方案接收模块,用于接收来自所述服务器的针对所述计算机病毒的解决方案;
运行过程监测模块,用于以所述解决方案为基准,对客户端的运行过程进行监测。
计算机设备包括终端和服务器;
根据本申请实施例的一个方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现上述病毒检测方法。
根据本申请实施例的一个方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现上述服务器侧的病毒检测方法,或实现上述终端侧的病毒检测方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述服务器侧的病毒检测方法,或实现上述终端侧的病毒检测方法。
本申请实施例提供的技术方案可以包括如下有益效果:
通过目标溯源地址与客户端标识之间的对应关系,对多个目标客户端上报的病毒行为数据进行处理,进而获取各个行为信息项在该多个目标客户端中的出现概率,以此来确定与计算机病毒相关的异常行为信息项,直接获取行为信息项与计算机病毒之间的关联关系,也就是说,即使计算机病毒在执行过程中经过多次跳转,生成多个不相关的行为信息项,依旧可以准确锁定与计算机病毒相关的异常行为信息项,便于后续对计算机病毒的处理,以及对客户端的修复,能够准确保证客户端运行过程的安全性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请一个实施例提供的计算机病毒处理***的示意图;
图2是本申请一个实施例提供的病毒检测方法的流程图;
图3示例性示出了一种病毒检测方法的示意图;
图4是本申请另一个实施例提供的病毒检测方法的流程图;
图5示例性示出了一种异常挖矿行为的判断方式的示意图;
图6和图7示例性示出了病毒处理方式的示意图;
图8是本申请一个实施例提供的病毒检测装置的框图;
图9是本申请再一个实施例提供的病毒检测装置的框图;
图10是本申请另一个实施例提供的病毒检测装置的框图;
图11是本申请又一个实施例提供的病毒检测装置的框图;
图12是本申请一个实施例提供的服务器结构的示意图;
图13是本申请一个实施例提供的终端结构的示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
挖矿:即区块链挖矿,是一种利用计算机的算力计算出区块链虚拟货币的位置并获取的过程。以比特币为例,每隔一个时间点,比特币***会在***节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块,随即得到一个比特币,这个过程就是人们常说的挖矿。
挖矿病毒:攻击者通过各种手段将挖矿病毒对应的程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的算力进行挖矿,从而获取利益,这类非法植入用户计算机的恶意程序就是挖矿病毒。
矿池:由于区块链虚拟货币(例如比特币)全网的运算水准在不断的呈指数级别上涨,单个设备或少量的算力都无法在区块链网络上获取到区块奖励。在全网算力提升到了一定程度后,过低的获取奖励的概率,促使一些极客开发出一种可以将少量算力合并联合运作的方法,使用这种方式建立的网站便被称作“矿池”(Mining Pool)。在此机制中,不论个人矿工所能使用的运算力多寡,只要是通过加入矿池来参与挖矿活动,无论是否有成功挖掘出有效资料块,皆可经由对矿池的贡献来获得少量区块链虚拟货币奖励,亦即多人合作挖矿,获得的奖励也由多人依照贡献度分享。
请参考图1,其示出了本申请一个实施例提供的计算机病毒处理***的示意图。该计算机病毒处理***可以包括:终端10和服务器20。
终端10可以是诸如手机、平板电脑、游戏主机、电子书阅读器、多媒体播放设备、可穿戴设备、PC(Personal Computer,个人计算机)等电子设备。
服务器20用于为终端10提供后台服务。服务器20可以是一台服务器,也可以是由多台服务器组成的服务器集群,或者是一个云计算服务中心。可选地,服务器20可以是上述客户端的后台服务器。
可选地,在本申请实施例中,上述计算机病毒处理***可以运用于区块链中。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层。
区块链底层平台可以包括用户管理、基础服务、智能合约以及运营监控等处理模块。其中,用户管理模块负责所有区块链参与者的身份信息管理,包括维护公私钥生成(账户管理)、密钥管理以及用户真实身份和区块链地址对应关系维护(权限管理)等,并且在授权的情况下,监管和审计某些真实身份的交易情况,提供风险控制的规则配置(风控审计);基础服务模块部署在所有区块链节点设备上,用来验证业务请求的有效性,并对有效请求完成共识后记录到存储上,对于一个新的业务请求,基础服务先对接口适配解析和鉴权处理(接口适配),然后通过共识算法将业务信息加密(共识管理),在加密之后完整一致的传输至共享账本上(网络通信),并进行记录存储;智能合约模块负责合约的注册发行以及合约触发和合约执行,开发人员可以通过某种编程语言定义合约逻辑,发布到区块链上(合约注册),根据合约条款的逻辑,调用密钥或者其它的事件触发执行,完成合约逻辑,同时还提供对合约升级注销的功能;运营监控模块主要负责产品发布过程中的部署、配置的修改、合约设置、云适配以及产品运行中的实时状态的可视化输出,例如:告警、监控网络情况、监控节点设备健康状态等。
平台产品服务层提供典型应用的基本能力和实现框架,开发人员可以基于这些基本能力,叠加业务的特性,完成业务逻辑的区块链实现。应用服务层提供基于区块链方案的应用服务给业务参与方进行使用。
示例性地,上述服务器20为区块链中的挖矿节点,上述终端10为控制服务器20执行挖矿行为的用户终端。当然,在实际运用中,服务器20可以为区块链中的任一节点,该节点在具有挖矿功能的情况下,可以同时具有区块链存储模块、路由模块等,本申请实施例对此不作限定。
可选地,上述终端10和上述服务器20通过网络进行互相通信。下面,结合几个实施例对本申请技术方案进行介绍说明。
请参考图2,其示出了本申请一个实施例提供的计算机病毒的处理方法的流程图。该方法可应用于图1所示的计算机病毒处理***中,如各步骤的执行主体可以是服务器20,该方法可以包括以下几个步骤(201~206)。
步骤201,获取多个客户端上报的与计算机病毒相关的病毒监控数据。
计算机病毒是指对客户端的运行环境具有破坏作用的计算机程序。可选地,在不同的情况下,计算机病毒对客户端的运行环境的破坏方式不同。例如,计算机病毒用于破坏客户端的安全运行环境,造成客户端漏洞,进而使得其它计算机病毒能够通过该漏洞入侵客户端;再例如,计算机病毒用于控制客户端非法启动计算机程度,进而使得客户端在未检测到用户操作的情况下,自动启动某个计算机程序,以此来为计算机病毒的植入者提供非法收益。当然,计算机病毒也可以通过网络、硬盘、光盘、软盘等作为媒介来感染其它客户端。可选地,在本申请实施例中,上述计算机病毒为挖矿病毒。
在本申请实施例中,服务器在对计算机病毒进行检测之前,获取多个客户端上报的与计算机病毒相关的病毒监控数据。其中,该多个客户端是指存在或可能存在计算机病毒的客户端。
病毒监控数据是指在确定客户端中存在计算机病毒的情况下,由客户端向服务器发送的数据。可选地,该病毒监控数据包括客户端标识和计算机病毒的溯源地址。其中,客户端标识即为上报病毒监控数据的客户端的标识信息,用于指示该客户端的唯一性;计算机病毒的溯源地址是指用于指示计算机病毒的受益者,可选地,该计算机病毒的溯源地址包括计算机病毒投放者对应的受益地址。示例性地,在区块链中,上述计算机病毒为挖矿病毒,上述挖矿病毒的溯源地址包括矿池地址和/或钱包标识,该矿池地址是指计算机设备所属的挖矿计算机集合的标识,该钱包标识是指挖矿收益存储地址的标识。
在一种可能的实施方式中,客户端在确定存在计算机病毒时,向服务器发送上述病毒监控数据。可选地,客户端在检测到由用户触发生成的,用于指示目标行为为异常行为的触发操作的情况下,确定客户端存在计算机病毒,且该计算机病毒为针对上述目标行为的病毒,进一步地,客户端获取该目标行为对应的网络数据包,并对该网络数据包进行解析以获取与上述计算机病毒相关的病毒监控数据。
在另一种可能的实施方式中,为了保证客户端运行的安全性,客户端在确定可能存在计算机病毒时,即向服务器发送上述病毒监控数据。可选地,客户端在检测到与目标行为相关的执行操作时,若该目标行为属于非常用行为,则确定可能存在计算机病毒,进一步地,客户端获取该目标行为对应的网络数据包,并对该网络数据包进行解析以获取与上述计算机病毒相关的病毒监控数据。
需要说明的一点是,在本申请实施例中,上述计算机病毒可以是针对任意电子设备的病毒,如手机、服务器、个人计算机、电子书阅读器、多媒体播放设备、可穿戴设备等,本申请实施例对此不作限定。
步骤202,对于目标溯源地址,从目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识。
在本申请实施例中,服务器在获取上述病毒监控数据之后,从病毒监控数据中获取目标溯源地址,进而对于目标溯源地址,服务器从目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,n为正整数。其中,目标溯源地址是指任一客户端上报的病毒监控数据中的溯源地址;目标溯源地址对应的客户端标识集合中包括至少一个客户端标识,该客户端标识为上报该目标溯源地址的客户端所对应的标识。
可选地,在本申请实施例中,服务器在获取多个客户端上报的病毒监控数据之后,以该病毒监控数据中的溯源地址为基准,对该病毒监控数据进行分类处理,确定每个溯源地址对应的客户端标识集合,该客户端标识集合中包括该溯源地址的上报客户端所对应的标识。
可选地,在本申请实施例中,服务器在获取上述目标溯源地址之后,以该目标溯源地址为基准,匹配获取该目标溯源地址对应的客户端标识集合,进而从该客户端标识集合所包含的客户端标识中选择n个目标客户端标识。
步骤203,以n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据。
在本申请实施例中,服务器在获取上述n个目标客户端标识之后,以该n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据。其中,目标客户端即为上述目标客户端标识所指示的病毒行为数据。
上述病毒行为数据包括目标客户端的客户端标识和至少一个行为信息项。行为信息项是指客户端在运行过程中向服务器上报的数据,可选地,该行为信息项包括但不限于以下至少一项:运行过程产生的数据、运行过程中产生的文件、运行过程中使用的数据、运行过程中使用的文件、运行过程中的浏览记录(如文件浏览记录、网页浏览记录)等。可选地,客户端在运行过程中,可以实时向服务器上报上述病毒行为数据,也可以按照一定的时间间隔向服务器上报上述病毒行为数据,本申请实施例对此不作限定。其中,上述时间间隔可以根据实际情况进行灵活设置和调整,本申请实施例对此不作限定。
在一种可能的实施方式中,病毒行为数据为客户端上报的全部行为数据。可选地,计算机设备在获取上述病毒行为数据时,获取上述n个目标客户端分别上报的全部病毒行为数据。
在另一种可能的实施方式中,病毒行为数据为客户端上报的部分行为数据。可选地,服务器在在获取上述病毒行为数据时,获取上述n个目标客户端在目标时段内分别上报的病毒行为数据。其中,该目标时段为客户端运行繁忙的时段,不同客户端对应的目标时段可以相同,也可以不同,本申请实施例对此不作限定。当然,在实际运用中,服务器在获取上述病毒行为数据时,也可以获取n个目标客户端分别对应的最新上报的病毒行为数据作为上述所需的病毒行为数据。
需要说明的一点是,在本申请实施例中,上述病毒行为数据可以是在已存储的数据,也可以实时获取的数据,本申请实施例对此不作限定。例如,服务器在确定n个目标客户端标识之后,从已存储的数据中获取该n个目标客户端分别上报的病毒行为数据;再例如,服务器在确定n个目标客户端标识之后,实时获取该n个目标客户端分别上报的病毒行为数据;还例如,服务器在确定n个目标客户端标识之后,从已存储的数据中获取该n个目标客户端分别上报的病毒行为数据作为第一病毒行为数据,同时,实时获取该n个目标客户端分别上报的病毒行为数据作为第二病毒行为数据,进而由第一病毒行为数据和第二病毒行为数据组成最终所需的病毒行为数据。
步骤204,对病毒行为数据进行统计处理,确定各个行为信息项在n个目标客户端中的出现概率。
在本申请实施例中,服务器在获取上述病毒行为数据之后,对该病毒行为数据进行统计处理,确定该病毒行为数据所包含的各个行为信息项在上述n个目标客户端中的出现概率。其中,该出现概率用于描述行为信息项在目标客户端中的出现情况。可选地,该出现概率为行为信息项在n个目标客户端中的出现概率。可选地,在本申请实施例中,服务器在获取该出现概率时,从n个目标客户端中确定出现行为信息项的客户端,进而将出现行为信息项的客户端的数量与目标客户端的总数量之间的比值,确定为上述出现概率。
步骤205,将出现概率满足要求的行为信息项,确定为与计算机病毒相关的异常行为信息项。
在本申请实施例中,服务器在获取上述出现概率之后,以该出现概率为基准,将出现概率满足要求的行为信息项,确定为与上述计算机病毒相关的异常行为信息项。
可选地,服务器在获取上述出现概率之后,获取出现概率对应的要求,进而将出现概率满足该要求的行为信息项作为与计算机病毒相关的异常行为信息项。其中,不同行为信息项对应的要求可以相同,也可以不同,本申请实施例对此不作限定。
步骤206,基于异常行为信息项,生成针对计算机病毒的解决方案。
在本申请实施例中,服务器在获取上述异常行为信息项之后,基于该异常行为信息项,生成针对上述计算机病毒的解决方案。其中,该解决方案是指在计算机病毒出现时进行处理,并在计算机病毒未出现时进行预防的方案。
在一种可能的实施方式中,服务器在获取上述异常行为信息项之后,对该异常行为信息项进行溯源处理,获取异常行为信息项对应的异常操作。其中,该异常操作是指生成异常行为信息项的操作,即客户端在执行该异常操作时生成上述异常行为信息项。之后,服务器在计算机病毒与异常操作之间建立相关关系,生成针对该计算机病毒的解决方案。
在另一种可能的实施方式中,服务器在获取上述异常行为信息项之后,直接基于该异常行为信息项,在计算机病毒与异常行为信息项之间建立相关关系,生成针对上述计算机病毒的解决方案。
当然,在其它可能的实施方式中,上述解决方案可以既包括计算机病毒与异常操作之间的相关关系,也可以包括计算机病毒与异常行为信息项之间的相关关系,本申请实施例对此不作限定。
可选地,在本申请实施例中,服务器在获取针对计算机病毒的解决方案之后,向客户端提供该解决方案,进而使得客户端能够以该解决方案为基准,对客户端自身的运行过程进行监控,避免计算机病毒对客户端进行破坏。
综上所述,本申请实施例提供的技术方案中,通过目标溯源地址与客户端标识之间的对应关系,对多个目标客户端上报的病毒行为数据进行处理,进而获取各个行为信息项在该多个目标客户端中的出现概率,以此来确定与计算机病毒相关的异常行为信息项,直接获取行为信息项与计算机病毒之间的关联关系,也就是说,即使计算机病毒在执行过程中经过多次跳转,生成多个不相关的行为信息项,依旧可以准确锁定与计算机病毒相关的异常行为信息项,便于后续对计算机病毒的处理,以及对客户端的修复,能够准确保证客户端运行过程的安全性。
下面,对上述病毒行为数据的统计方式进行介绍。
在示例性实施例中,上述步骤204包括以下几个步骤:
2041、基于行为信息项在n个目标客户端分别上报的病毒行为数据中的出现情况,获取行为信息项对应的客户端标识集合;
2042、对行为信息项对应的客户端标识集合进行去重处理,去除重复的客户端标识,得到去重后的客户端标识集合;
2043、根据去重后的客户端标识集合所包含的客户端标识的数量和n,确定行为信息项在n个目标客户端中的出现概率。
可选地,在本申请实施例中,服务器在获取上述病毒行为信息之后,从病毒行为信息中获取各个行为信息项,进而,对于某个行为信息项,服务器基于该行为信息项在上述n个目标客户端分别上报的病毒行为数据中的出现情况,获取该行为信息项对应的客户端标识集合。其中,该客户端标识集合中包括至少一个出现该行为信息项的目标客户端的客户端标识,且客户端标识集合中客户端标识的数量与行为信息项在病毒行为数据中的出现次数相同。
之后,由于同一客户端在不同时刻可能上报相同的行为信息项,服务器在获取上述行为信息项对应的客户端标识集合之后,对行为信息项对应的客户端标识集合进行去重处理,去除重复的客户端标识,并获取去重后的客户端标识集合,进而根据去重后的客户端标识集合所包含的客户端标识的数量和上述n,获取行为信息项的出现概率。可选地,将去重后的客户端标识集合所包含的客户端标识的数量和上述n之间的比值作为行为信息项的出现概率。
下面,对上述异常行为项的获取方式进行介绍。
在示例性实施例中,上述步骤205包括以下几个步骤:
2051、获取各个行为信息项的标准出现概率;
2052、若任一行为信息项的出现概率和标准出现概率之间的数值关系满足设定条件,则将行为信息项确定为异常行为信息项。
标准出现概率是指行为信息项在全量客户端中的出现概率。可选地,该标准出现概率为服务器根据全局客户端上报的行为数据中统计获取的,该行为数据包括病毒行为数据和除病毒行为数据之外的其它行为数据。在本申请实施例中,服务器在获取上述出现概率之后,获取各个行为信息项的标准出现概率。进一步地,根据标准出现概率与上述出现概率,确定行为信息项是否为异常行为信息项。
可选地,若行为信息项的出现概率和标准出现概率之间的数值关系满足设定条件,则将行为信息项确定为异常行为信息项;若行为信息项的出现概率和标准出现概率之间的数值关系未满足设定条件,则将行为信息项确定为异常行为信息项。其中,上述设定条件可以为出现概率远大于标准出现概率,如出现概率为标准出现概率的m倍,m为大于1的正整数。这样,即使行为信息项为操作***相关程序、驱动、高广软件相关程序、驱动等产生的,在正常情况下出现概率极高的行为信息项,服务器也可以依据上述方式,在出现概率极高的情况下,确定该行为信息项不属于异常行为数据项。
需要说明的一点是,在本申请实施例中,上述标准出现概率可以是服务器在获取各个行为信息项之后即统计并生成的,也可以是服务器在获取上述行为概率之后统计生成的,本申请实施例对此不作限定。可选地,服务器依据当前运行负荷确定获取标准出现概率的方式。示例性地,若服务器的当前负荷过大(如待处理数据量大于目标数值),则将之前已统计获取的历史标准出现概率作为上述标准出现概率;若服务器的当前负荷正常(如待处理数据量小于目标数值),则针对行为信息项进行数据统计,确定实时标准出现概率作为上述标准出现概率。
下面,对上述目标客户端标识的获取方式进行介绍。
在示例性实施例中,上述步骤202包括以下几个步骤:
2021、基于溯源地址对病毒监控数据进行分类处理,得到溯源地址分类集合;
2022、对于目标溯源地址,从目标溯源地址对应的客户端标识集合中,确定n个目标客户端标识。
在本申请实施例中,服务器在获取上述病毒监控数据之后,从各个病毒监控数据中获取溯源地址,基于溯源地址对病毒监控数据进行分类处理,得到溯源地址分类集合。其中,该溯源地址分类集合中包括至少一组溯源地址分类数据,每一组溯源地址分类数据包括一个溯源地址与一组客户端标识集合之间的对应关系。
在本申请实施例中,服务器在获取上述溯源地址分类集合之后,选取任意一个溯源地址作为目标溯源地址,进一步地,对于目标溯源地址,服务器基于与目标溯源地址对应的客户端标识集合,从该客户端标识集合中获取客户端标识,进而确定n个目标客户端标识。
在一种可能的实施方式中,为了保证后续所获取的病毒行为数据的随机性,服务器随机获取n个目标客户端。可选地,服务器在获取上述目标溯源地址之后,从该目标溯源地址对应的客户端标识集合中,随机采样选取n个客户端标识。
在另一种可能的实施方式中,服务器依据预设要求获取n个目标客户端标识。可选地,服务器在获取上述目标溯源地址之后,依据预设要求,从该目标溯源地址对应的客户端标识集合中,获取满足要求的n个客户端标识。可选地,上述预设要求包括但不限于以下至少一项:客户端的运行时长最长、客户端上报的病毒行为数据最多、病毒行为数据为最新数据等。当然,在实际运用中,预设要求可以根据实际情况进行灵活设置和调整,本申请实施例对此不作限定。
在上述预设要求为客户端的运行时长最长的情况下,服务器在获取上述与目标溯源地址对应的客户端标识集合之后,依据客户端运行时长从大到小的顺序,对该客户端标识集合中的客户端标识进行排序,选取前n个客户端标识作为上述n个目标客户端标识。
在上述预设要求为客户端上报的病毒行为数据最多的情况下,服务器在获取上述与目标溯源地址对应的客户端标识集合之后,依据客户端上报的病毒行为数据从多到少的顺序,对该客户端标识集合中的客户端标识进行排序,选取前n个客户端标识作为上述n个目标客户端标识。
在上述预设要求为病毒行为数据为最新数据的情况下,服务器在获取上述与目标溯源地址对应的客户端标识集合之后,依据病毒行为数据的更新时刻从近到远的顺序,对该客户端标识集合中的客户端标识进行排序,选取前n个客户端标识作为上述n个目标客户端标识。
另外,以区块链中的挖矿行为为例,结合参考图3,对服务器侧的病毒检测方法进行完整介绍。
步骤301,获取多个客户端上报的与挖矿病毒相关的病毒监控数据,其中,该病毒监控数据包括客户端标识和挖矿病毒的溯源地址。可选地,该挖矿病毒的溯源地址包括矿池地址和/或钱包标识。
步骤302,基于溯源地址与客户端标识之间的对应关系,对病毒监控数据进行分类,得到各个溯源地址对应的客户端标识集合。
步骤303,获取目标溯源地址对应的客户端标识集合中随机获取n个目标客户端标识。其中,n为正整数。
步骤304,基于n个目标客户端标识,获取n个目标客户端分别上报的病毒行为数据。其中,病毒行为数据包括目标客户端的客户端标识和至少一个行为信息项。
步骤305,从病毒行为数据中获取目标行为信息项。
步骤306,获取目标行为信息项的出现概率和标准出现概率。其中,出现概率是指目标行为信息项在n个目标客户端中的出现概率,标准出现概率是指目标行为信息项在全量客户端中的出现概率。
步骤307,判断出现概率与标准出现概率之间是否满足设定条件。若出现概率与标准出现概率之间满足设定条件,则确定目标行为信息项与挖矿病毒相关,执行步骤308,之后,从病毒行为数据中获取另一行为信息项作为目标行为信息项,并重新执行步骤306;若出现概率与标准出现概率之间未满足设定条件,则确定目标行为信息项与挖矿病毒无关,直接从病毒行为数据中获取另一行为信息项作为目标行为信息项,并执行步骤306。
步骤308,将目标行为信息项作为与挖矿病毒相关的异常行为信息项,并基于异常行为信息项生成针对挖矿病毒的解决方案。
请参考图4,其示出了本申请另一个实施例提供的病毒检测方法的流程图。该方法可应用于图1所示的计算机病毒处理***中,如各步骤的执行主体可以是终端10(以下称为“客户端”),该方法可以包括以下几个步骤(401~404)。
步骤401,从异常行为数据包中确定计算机病毒相关的病毒监控数据。
行为数据包即为网络数据包,异常行为数据包即为异常行为对应的网络数据包。在本申请实施例中,客户端在确定当前执行的目标行为为异常行为的情况下,获取该异常行为数据包,进而对该异常行为数据包进行解析,从异常行为数据包中确定计算机病毒相关的病毒监控数据。其中,该病毒监控数据包括客户端标识和计算机病毒的溯源地址。
可选地,在本申请实施例中,客户端在正常运行的过程中,对自身获取的网络数据包进行监测。可选地,客户端在获取网络数据包之后,基于该网络数据包的格式确定该网络数据包对应的目标行为。其中,不同行为对应的网络数据包的格式不同。可选地,在确定网络数据包对应的格式时,客户端确定检测到上述目标行为,进而显示提示信息。其中,该提示信息是针对上述目标行为是否属于异常行为的判断信息。可选地,若客户端检测到针对该提示信息的选择操作,则确定该目标行为属于异常行为。之后,客户端获取上述目标行为对应的网络数据包,并将该目标行为对应的网络数据包确定为上述异常行为数据包,进而依据该目标行为对应的网络数据包的解析方式,基于该解析方式对该异常行为数据包进行解析,以此来获取上述病毒监控数据。
示例性地,如图5所示,以区块链中的挖矿行为为例,在客户端运行过程中,对客户端中的挖矿行为进行实时监控。可选地,客户端在获取网络数据包时,将网络数据包与挖矿行为的数据包进行格式匹配。在网络数据包与挖矿行为的数据包的格式相匹配时,确定该网络数据包即为挖矿行为数据包,进而从挖矿行为数据包中获取矿池地址和钱包标识。之后,在该矿池地址和钱包标识获取成功的情况下,弹框显示提示信息,该提示信息用于提醒用户选择当前挖矿行为是否为用户自身挖矿行为。若通过用户选择确定当前挖矿行为为用户自身挖矿行为,则将矿池地址和钱包标识作为溯源地址,结合客户端标识,生成病毒监控数据,并向服务器上报该病毒监控数据。
步骤402,向服务器上报病毒监控数据。
在本申请实施例中,客户端在获取上述病毒监控数据之后,向服务器上报该病毒监控数据。对应地,服务器接收该病毒监控数据,并基于该病毒监控数据的溯源地址,确定与计算机病毒相关的异常行为信息项。
需要说明的一点是,服务器在获取上述病毒监控数据之后,可以实时对该病毒监控数据中的溯源地址进行处理,也可以先存储该病毒监控数据再按照一定的时间周期,对多个客户端上报的病毒监控数据中的溯源地址进行处理,本申请实施例对此不作限定。
步骤403,接收来自服务器的针对计算机病毒的解决方案。
可选地,服务器在获取与计算机病毒相关的异常行为信息项,基于该异常行为信息,生成针对计算机病毒的解决方案,并向客户端发送该解决方案,对应地,客户端接收来自服务器的针对计算机病毒的解决方案。
步骤404,以解决方案为基准,对客户端的运行过程进行监测。
在本申请实施例中,客户端在接收到上述解决方案之后,基于该解决方案,度客户端的运行过程进行检测。
在一种可能的实施方式中,该解决方案包括异常操作与计算机病毒之间的相关关系。其中,异常操作是指生成异常行为信息项的操作。可选地,客户端在对运行过程进行监测时,在检测到上述异常操作的情况下,不对该异常操作做出响应,并获取该异常操作的触发条件,进而基于该触发条件,对客户端进行修复。其中,修复后的客户端不生成该触发条件。示例性地,若上述触发条件为存在目标文件,则客户端在修复时删除该目标文件;若上述触发条件为***漏洞造成的他人远程控制,则客户端在修复时对该***漏洞进行修复;若上述触发条件为访问目标网站,则客户端在修复时屏蔽该目标网址。
在另一种可能的实施方式中,该解决方案包括异常行为信息项与计算机病毒之间的相关关系。可选地,客户端在对运行过程进行监测时,若检测到上述异常行为信息项,则获取该异常行为信息项对应的目标操作。其中,该目标操作是指生成该异常行为信息项的操作,进而停止针对该目标操作的响应。在这种情况下,即使计算机病毒采用其它方式对客户端中的正常程序进行操控,只要操控过程中产生异常行为信息项,客户端即可停止运行上述正常程序。
综上所述,本申请实施例提供的技术方案中,通过溯源地址确定与计算机病毒相关的异常行为信息项,并依据异常行为信息项生成针对计算机病毒的解决方案,由客户端依据该解决方案对自身的运行过程进行监测,直接获取行为信息项与计算机病毒之间的关联关系,即使计算机病毒在执行过程中经过多次跳转,生成多个行为信息项,客户端依旧可以准确锁定与计算机病毒相关的异常行为信息项,准确保证客户端运行过程的安全性。
另外,结合参考图6,以区块链中的挖矿行为为例,对本申请的完整方案进行介绍。在客户端正常运行的过程中,客户端实时进行关键数据采集,向服务器上报数据,进而服务器获取该关键数据。其中,该关键数据包括客户端标识与至少一个行为信息项。之后,客户端在对挖矿行为进行监测的过程中,若检测到挖矿行为且用户确认挖矿行为不属于用户自身控制执行的行为,则生成病毒监控数据,并向服务器上报该病毒数据作为挖矿行为监控结果数据。之后,服务器根据挖矿行为监控结果数据中的溯源地址(矿池地址和钱包标识),对挖矿行为进行分类,确定各个溯源地址对应的客户端标识集合,并将上述关键数据作为统计信息,对各个行为信息项进行相关性计算,确定各个行为信息项与挖矿病毒之间的相关关系,并生成针对挖矿病毒的解决方案,向客户端发送该解决方案,进而,客户端依据该解决方案对自身进行监测与修复。
另外,以区块链中的挖矿行为为例,结合参考图7,对本申请中的病毒检测方法进行完整介绍。
步骤701,客户端在检测到挖矿行为的情况下,显示目标提示信息。其中,该目标提示信息是针对挖矿行为是否属于异常行为的判断信息。
步骤702,响应于针对提示信息的确认指令,客户端确定挖矿行为属于异常行为,并将该挖矿行为对应的网络数据包确定为异常行为数据包。
步骤703,客户端从异常行为信息包中确定挖矿病毒相关的目标病毒监控数据。其中,目标病毒监控数据包括客户端标识和挖矿病毒的溯源地址,该溯源地址中包括矿池地址和/或钱包标识。
步骤704,客户端向服务器上报目标病毒监控数据。对应地,服务器获取该目标病毒监控数据,当然,服务器同时也接收其它客户端发送的其它病毒监控数据。
步骤705,服务器基于病毒监控数据中的溯源地址,对病毒行为数据进行分类处理,得到溯源地址分类集合。其中,溯源地址分类集合中包括至少一组溯源地址分类数据,每一组溯源地址分类数据包括一个溯源地址与一组客户端标识集合之间的对应关系;病毒监控数据中包括上述目标病毒监控数据和上述其它病毒监控数据。
步骤706,服务器从各个溯源地址对应的客户端标识集合中,分别获取n个目标客户端标识。
步骤707,服务器基于目标客户端标识,获取各个目标客户端分别上报的病毒行为数据。其中,该病毒行为数据中包括上报该数据的客户端对应的客户端标识和至少一个行为信息项。
步骤708,服务器对各个病毒行为数据进行统计处理,确定各个行为信息项在目标客户端中的出现概率。
步骤709,服务器将出现概率与标准出现概率之间的数值关系满足设定条件的行为信息项,确定为与挖矿病毒相关异常行为信息项。
步骤710,服务器基于异常行为信息项,生成针对挖矿病毒的解决方案。
步骤711,服务器向客户端发送针对挖矿病毒的解决方案,对应地,客户端接收针对挖矿病毒的解决方案。
步骤712,客户端以解决方案为基准,对自身的运行过程进行监测。
下述为本申请装置实施例,可以用于执行本申请方法实施例。对于本申请装置实施例中未披露的细节,请参照本申请方法实施例。
请参考图8,其示出了本申请一个实施例提供的病毒检测装置的框图。该装置具有实现上述病毒检测方法的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以是服务器,也可以设置在服务器中。该装置800可以包括:监控数据获取模块810、客户端标识获取模块820、行为数据获取模块830、出现概率确定模块840、异常信息确定模块850和解决方案生成模块860。
所述监控数据获取模块810,用于获取多个客户端上报的与所述计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址。
所述客户端标识获取模块820,用于对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,所述n为正整数。
所述行为数据获取模块830,用于以所述n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;其中,所述病毒行为数据包括所述目标客户端的客户端标识和至少一个行为信息项。
所述出现概率确定模块840,用于对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率。
所述异常信息确定模块850,用于将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项。
所述解决方案生成模块860,用于基于所述异常行为信息项,生成针对所述计算机病毒的解决方案。
在示例性实施例中,如图9所示,所述出现概率确定模块840包括:标识集合获取子模块841、标识集合去重子模块842和出现概率确定子模块843。
所述标识集合获取子模块841,用于基于所述行为信息项在所述n个目标客户端分别上报的病毒行为数据中的出现情况,获取所述行为信息项对应的客户端标识集合。
所述标识集合去重子模块842,用于对所述行为信息项对应的客户端标识集合进行去重处理,去除重复的客户端标识,得到去重后的客户端标识集合。
所述出现概率确定子模块843,用于根据所述去重后的客户端标识集合所包含的客户端标识的数量和所述n,确定所述行为信息项在所述n个目标客户端中的出现概率。
在示例性实施例中,如图9所示,所述异常信息确定模块850包括:标准概率获取子模块851和异常信息确定子模块852。
所述标准概率获取子模块851,用于获取各个所述行为信息项的标准出现概率,所述标准出现概率是指所述行为信息项在全量客户端中的出现概率。
所述异常信息确定子模块852,用于若任一行为信息项的出现概率和标准出现概率之间的数值关系满足设定条件,则将所述行为信息项确定为所述异常行为信息项。
在示例性实施例中,如图9所示,所述客户端标识获取模块820,包括:分类集合获取子模块821和客户端确定子模块822。
所述分类集合获取子模块821,用于基于所述溯源地址对所述病毒监控数据进行分类处理,得到溯源地址分类集合,所述溯源地址分类集合中包括至少一组溯源地址分类数据,每一组溯源地址分类数据包括一个溯源地址与一组客户端标识集合之间的对应关系。
所述客户端确定子模块822,用于对于所述目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取所述n个目标客户端标识。
在示例性实施例中,所述客户端确定子模块822,用于从所述目标溯源地址对应的客户端标识集合中,随机采样选取所述n个目标客户端标识。
在示例性实施例中,所述解决方案生成模块860,用于对所述异常行为信息项进行溯源处理,获取所述异常行为信息项对应的异常操作,所述异常操作是指生成所述异常行为信息项的操作;在所述计算机病毒与所述异常操作之间建立相关关系,生成针对所述计算机病毒的解决方案;和/或;基于所述异常行为信息项,在所述计算机病毒与所述异常行为信息项之间建立相关关系,生成针对所述计算机病毒的解决方案。
在示例性实施例中,所述计算机病毒为挖矿病毒,所述挖矿病毒的溯源地址包括矿池地址和/或钱包标识,所述矿池地址是指计算机设备所属的挖矿计算机集合的标识,所述钱包标识是指挖矿收益存储地址的标识。
综上所述,本申请实施例提供的技术方案中,通过目标溯源地址与客户端标识之间的对应关系,对多个目标客户端上报的病毒行为数据进行处理,进而获取各个行为信息项在该多个目标客户端中的出现概率,以此来确定与计算机病毒相关的异常行为信息项,直接获取行为信息项与计算机病毒之间的关联关系,也就是说,即使计算机病毒在执行过程中经过多次跳转,生成多个行为信息项,服务器依旧可以准确锁定与计算机病毒相关的异常行为信息项,便于后续对计算机病毒的处理,以及对客户端的修复,能够准确保证客户端运行过程的安全性。
请参考图10,其示出了本申请另一个实施例提供的病毒检测装置的框图。该装置具有实现上述病毒检测方法的功能,所述功能可以由硬件实现,也可以由硬件执行相应的软件实现。该装置可以是终端,也可以设置在终端中。该装置1000可以包括:监控数据确定模块1010、监控数据发送模块1020、解决方案接收模块1030和运行过程监测模块1040。
所述监控数据确定模块1010,用于从异常行为数据包中确定计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址。
所述监控数据发送模块1020,用于向服务器发送所述病毒监控数据。
所述解决方案接收模块1030,用于接收来自所述服务器的针对所述计算机病毒的解决方案。
所述运行过程监测模块1040,用于以所述解决方案为基准,对客户端的运行过程进行监测。
在示例性实施例中,所述解决方案包括异常操作与所述计算机病毒之间的相关关系。所述运行过程监测模块1040,用于:在检测到所述异常操作的情况下,取消针对所述异常操作的响应;获取所述异常操作的触发条件;基于所述触发条件,对所述客户端进行修复;其中,修复后的客户端不生成所述触发条件。
在示例性实施例中,所述解决方案包括异常行为信息项与所述计算机病毒之间的相关关系。所述运行过程监测模块1040,用于在检测所述异常行为信息项的情况下,获取所述异常行为信息项对应的目标操作;其中,所述目标操作是指生成所述异常行为信息项的操作;停止针对所述目标操作的响应。
在示例性实施例中,如图11所示,所述装置1000还包括:提示信息显示模块1050和异常行为确定模块1060。
所述提示信息显示模块1050,用于在检测到目标行为的情况下,显示提示信息;其中,所述提示信息是针对所述目标行为是否属于所述异常行为的判断信息。
所述异常行为确定模块1060,用于响应于针对所述提示信息的确认指令,确定所述目标行为属于所述异常行为,并将所述异常行为对应的网络数据包确定为异常行为数据包。
综上所述,本申请实施例提供的技术方案,通过溯源地址确定与计算机病毒相关的异常行为信息项,并依据异常行为信息项生成针对计算机病毒的解决方案,由客户端依据该解决方案对自身的运行过程进行监测,直接获取行为信息项与计算机病毒之间的关联关系,即使计算机病毒在执行过程中经过多次跳转,生成多个行为信息项,客户端依旧可以准确锁定与计算机病毒相关的异常行为信息项,准确保证客户端运行过程的安全性。
请参考图12,其示出了本申请一个实施例提供的服务器的结构框图。该服务器可用于实现上述病毒检测方法的功能。具体来讲:
服务器1200包括中央处理单元(Central Processing Unit,CPU)1201、包括随机存取存储器(Random Access Memory,RAM)1202和只读存储器(Read Only Memory,ROM)1203的***存储器1204,以及连接***存储器1204和中央处理单元1201的***总线1205。服务器1200还包括帮助计算机内的各个器件之间传输信息的基本输入/输出***(I/O***)1206,和用于存储操作***1213、应用程序1214和其他程序模块1215的大容量存储设备1207。
基本输入/输出***1206包括有用于显示信息的显示器1208和用于用户输入信息的诸如鼠标、键盘之类的输入设备1209。其中显示器1208和输入设备1209都通过连接到***总线1205的输入输出控制器1210连接到中央处理单元1201。基本输入/输出***1206还可以包括输入输出控制器1210以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地,输入输出控制器1210还提供输出到显示屏、打印机或其他类型的输出设备。
大容量存储设备1207通过连接到***总线1205的大容量存储控制器(未示出)连接到中央处理单元1201。大容量存储设备1207及其相关联的计算机可读介质为服务器1200提供非易失性存储。也就是说,大容量存储设备1207可以包括诸如硬盘或者CD-ROM(Compact Disc Read-Only Memory,只读光盘)驱动器之类的计算机可读介质(未示出)。
不失一般性,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM(Erasable Programmable Read Only Memory,可擦除可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read Only Memory,电可擦可编程只读存储器)、闪存或其他固态存储其技术,CD-ROM、DVD(Digital Video Disc,高密度数字视频光盘)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知计算机存储介质不局限于上述几种。上述的***存储器1204和大容量存储设备1207可以统称为存储器。
根据本申请的各种实施例,服务器1200还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即服务器1200可以通过连接在***总线1205上的网络接口单元1211连接到网络1212,或者说,也可以使用网络接口单元1211来连接到其他类型的网络或远程计算机***(未示出)。
所述存储器还包括计算机程序,该计算机程序存储于存储器中,且经配置以由一个或者一个以上处理器执行,以实现上述病毒检测方法。
请参考图13,其示出了本申请一个实施例提供的终端1300的结构框图。该终端1300可以是诸如手机、平板电脑、游戏主机、电子书阅读器、多媒体播放设备、可穿戴设备、PC等电子设备。该终端用于实施上述实施例中提供的虚拟对象的控制方法。该终端可以是图1所示游戏运行环境中的终端10。具体来讲:
通常,终端1300包括有:处理器1301和存储器1302。
处理器1301可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器1301可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(FieldProgrammable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器1301也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器1301可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器1301还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1302可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1302还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。在一些实施例中,存储器1302中的非暂态的计算机可读存储介质用于存储至少一个指令,至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集,且经配置以由一个或者一个以上处理器执行,以实现上述病毒检测方法。
在一些实施例中,终端1300还可选包括有:***设备接口1303和至少一个***设备。处理器1301、存储器1302和***设备接口1303之间可以通过总线或信号线相连。各个***设备可以通过总线、信号线或电路板与***设备接口1303相连。具体地,***设备包括:射频电路1304、显示屏1305、摄像头组件1306、音频电路1307、定位组件1308和电源1309中的至少一种。
本领域技术人员可以理解,图13中示出的结构并不构成对终端1300的限定,可以包括比图示更多或更少的组件,或者组合某些组件,或者采用不同的组件布置。
在示例性实施例中,还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集在被服务器的处理器执行时以实现上述病毒检测方法。
在示例性实施例中,还提供了一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或所述指令集在被终端的处理器执行时以实现上述病毒检测方法。
可选地,该计算机可读存储介质可以包括:ROM(Read Only Memory,只读存储器)、RAM(Random Access Memory,随机存取存储器)、SSD(Solid State Drives,固态硬盘)或光盘等。其中,随机存取记忆体可以包括ReRAM(Resistance Random Access Memory,电阻式随机存取记忆体)和DRAM(Dynamic Random Access Memory,动态随机存取存储器)。
在示例性实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。服务器的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该服务器执行上述病毒检测方法。
在示例性实施例中,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。终端的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该终端执行上述病毒检测方法。
应当理解的是,在本文中提及的“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。另外,本文中描述的步骤编号,仅示例性示出了步骤间的一种可能的执行先后顺序,在一些其它实施例中,上述步骤也可以不按照编号顺序来执行,如两个不同编号的步骤同时执行,或者两个不同编号的步骤按照与图示相反的顺序执行,本申请实施例对此不作限制。
以上所述仅为本申请的示例性实施例,并不用以限制本申请,凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (15)
1.一种病毒检测方法,其特征在于,所述方法包括:
获取多个客户端上报的与计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,所述n为正整数;
以所述n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;其中,所述病毒行为数据包括所述目标客户端的客户端标识和至少一个行为信息项;
对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率;
将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项;
基于所述异常行为信息项,生成针对所述计算机病毒的解决方案。
2.根据权利要求1所述的方法,其特征在于,所述对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率,包括:
基于所述行为信息项在所述n个目标客户端分别上报的病毒行为数据中的出现情况,获取所述行为信息项对应的客户端标识集合;
对所述行为信息项对应的客户端标识集合进行去重处理,去除重复的客户端标识,得到去重后的客户端标识集合;
根据所述去重后的客户端标识集合所包含的客户端标识的数量和所述n,确定所述行为信息项在所述n个目标客户端中的出现概率。
3.根据权利要求1所述的方法,其特征在于,所述将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项,包括:
获取各个所述行为信息项的标准出现概率,所述标准出现概率是指所述行为信息项在全量客户端中的出现概率;
若任一行为信息项的出现概率和标准出现概率之间的数值关系满足设定条件,则将所述行为信息项确定为所述异常行为信息项。
4.根据权利要求1所述的方法,其特征在于,所述对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,包括:
基于所述溯源地址对所述病毒监控数据进行分类处理,得到溯源地址分类集合,所述溯源地址分类集合中包括至少一组溯源地址分类数据,每一组溯源地址分类数据包括一个溯源地址与一组客户端标识集合之间的对应关系;
对于所述目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取所述n个目标客户端标识。
5.根据权利要求4所述的方法,其特征在于,所述从所述目标溯源地址对应的客户端标识集合中,获取所述n个目标客户端标识,包括:
从所述目标溯源地址对应的客户端标识集合中,随机采样选取所述n个目标客户端标识。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述基于所述异常行为信息项,生成针对所述计算机病毒的解决方案,包括:
对所述异常行为信息项进行溯源处理,获取所述异常行为信息项对应的异常操作,所述异常操作是指生成所述异常行为信息项的操作;在所述计算机病毒与所述异常操作之间建立相关关系,生成针对所述计算机病毒的解决方案;
和/或;
基于所述异常行为信息项,在所述计算机病毒与所述异常行为信息项之间建立相关关系,生成针对所述计算机病毒的解决方案。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述计算机病毒为挖矿病毒,所述挖矿病毒的溯源地址包括矿池地址和/或钱包标识,所述矿池地址是指计算机设备所属的挖矿计算机集合的标识,所述钱包标识是指挖矿收益存储地址的标识。
8.一种病毒检测方法,其特征在于,所述方法包括:
从异常行为数据包中确定计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
向服务器上报所述病毒监控数据;
接收来自所述服务器的针对所述计算机病毒的解决方案;
以所述解决方案为基准,对客户端的运行过程进行监测。
9.根据权利要求8所述的方法,其特征在于,所述解决方案包括异常操作与所述计算机病毒之间的相关关系;
所述以所述解决方案为基准,对客户端的运行过程进行监测,包括:
在检测到所述异常操作的情况下,取消针对所述异常操作的响应;
获取所述异常操作的触发条件;
基于所述触发条件,对所述客户端进行修复;其中,修复后的客户端不生成所述触发条件。
10.根据权利要求8所述的方法,其特征在于,所述解决方案包括异常行为信息项与所述计算机病毒之间的相关关系;
所述以所述解决方案为基准,对客户端的运行过程进行监测,包括:
在检测所述异常行为信息项的情况下,获取所述异常行为信息项对应的目标操作;其中,所述目标操作是指生成所述异常行为信息项的操作;
停止针对所述目标操作的响应。
11.根据权利要求8至10任一项所述的方法,其特征在于,所述方法还包括:
在检测到目标行为的情况下,显示提示信息;其中,所述提示信息是针对所述目标行为是否属于所述异常行为的判断信息;
响应于针对所述提示信息的确认指令,确定所述目标行为属于所述异常行为,并将所述异常行为对应的网络数据包确定为异常行为数据包。
12.一种病毒检测装置,其特征在于,所述装置包括:
监控数据获取模块,用于获取多个客户端上报的与计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
客户端标识获取模块,用于对于目标溯源地址,从所述目标溯源地址对应的客户端标识集合中,获取n个目标客户端标识,所述n为正整数;
行为数据获取模块,用于以所述n个目标客户端标识为基准,对候选病毒行为数据所包含的客户端标识进行匹配处理,获取n个目标客户端分别上报的病毒行为数据;其中,所述病毒行为数据包括所述目标客户端的客户端标识和至少一个行为信息项;
出现概率确定模块,用于对所述病毒行为数据进行统计处理,确定各个所述行为信息项在所述n个目标客户端中的出现概率;
异常信息确定模块,用于将所述出现概率满足要求的行为信息项,确定为与所述计算机病毒相关的异常行为信息项;
解决方案生成模块,用于基于所述异常行为信息项,生成针对所述计算机病毒的解决方案。
13.一种病毒检测装置,其特征在于,所述装置包括:
监控数据确定模块,用于从异常行为数据包中确定计算机病毒相关的病毒监控数据,所述病毒监控数据包括客户端标识和所述计算机病毒的溯源地址;
监控数据发送模块,用于向服务器发送所述病毒监控数据;
解决方案接收模块,用于接收来自所述服务器的针对所述计算机病毒的解决方案;
运行过程监测模块,用于以所述解决方案为基准,对客户端的运行过程进行监测。
14.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1至7任一项所述的病毒检测方法,或实现如权利要求8至11任一项所述的病毒检测方法。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1至7任一项所述的病毒检测方法,或实现如权利要求8至11任一项所述的病毒检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110417708.7A CN112989349B (zh) | 2021-04-19 | 2021-04-19 | 病毒检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110417708.7A CN112989349B (zh) | 2021-04-19 | 2021-04-19 | 病毒检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112989349A true CN112989349A (zh) | 2021-06-18 |
| CN112989349B CN112989349B (zh) | 2021-08-13 |
Family
ID=76341071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110417708.7A Active CN112989349B (zh) | 2021-04-19 | 2021-04-19 | 病毒检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112989349B (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030065926A1 (en) * | 2001-07-30 | 2003-04-03 | Schultz Matthew G. | System and methods for detection of new malicious executables |
| CN102594780A (zh) * | 2011-01-12 | 2012-07-18 | 西门子公司 | 移动终端病毒的检测、清除方法及装置 |
| CN103177217A (zh) * | 2013-04-08 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件扫描方法、***及客户端和服务器 |
| CN104298920A (zh) * | 2014-10-14 | 2015-01-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、***及设备 |
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
| CN106302396A (zh) * | 2016-07-28 | 2017-01-04 | 韦春 | 用于局域网的病毒查杀方法及装置 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN108470126A (zh) * | 2018-03-19 | 2018-08-31 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN108595957A (zh) * | 2018-05-02 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 浏览器主页篡改检测方法、装置及存储介质 |
| CN109815702A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件行为的安全检测方法、装置及设备 |
| CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及*** |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
-
2021
- 2021-04-19 CN CN202110417708.7A patent/CN112989349B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030065926A1 (en) * | 2001-07-30 | 2003-04-03 | Schultz Matthew G. | System and methods for detection of new malicious executables |
| CN102594780A (zh) * | 2011-01-12 | 2012-07-18 | 西门子公司 | 移动终端病毒的检测、清除方法及装置 |
| CN103177217A (zh) * | 2013-04-08 | 2013-06-26 | 腾讯科技(深圳)有限公司 | 一种文件扫描方法、***及客户端和服务器 |
| CN104298920A (zh) * | 2014-10-14 | 2015-01-21 | 百度在线网络技术(北京)有限公司 | 一种病毒文件的处理方法、***及设备 |
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
| CN106302396A (zh) * | 2016-07-28 | 2017-01-04 | 韦春 | 用于局域网的病毒查杀方法及装置 |
| CN106650436A (zh) * | 2016-12-29 | 2017-05-10 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN108470126A (zh) * | 2018-03-19 | 2018-08-31 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及存储介质 |
| CN108595957A (zh) * | 2018-05-02 | 2018-09-28 | 腾讯科技(深圳)有限公司 | 浏览器主页篡改检测方法、装置及存储介质 |
| CN109815702A (zh) * | 2018-12-29 | 2019-05-28 | 360企业安全技术(珠海)有限公司 | 软件行为的安全检测方法、装置及设备 |
| CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及*** |
| CN110826067A (zh) * | 2019-10-31 | 2020-02-21 | 深信服科技股份有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 张建松: "《基于行为特征分析的恶意代码检测***研究与实现》", 《中国优秀硕士学位论文全文数据库(信息科技辑)》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112989349B (zh) | 2021-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111786950B (zh) | 基于态势感知的网络安全监控方法、装置、设备及介质 | |
| CN106789964B (zh) | 云资源池数据安全检测方法及*** | |
| US20240176879A1 (en) | Generating Simulated Spear Phishing Messages and Customized Cybersecurity Training Modules Using Machine Learning | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN108268354A (zh) | 数据安全监控方法、后台服务器、终端及*** | |
| CN105556526A (zh) | 分层威胁智能 | |
| CN113726780B (zh) | 基于态势感知的网络监控方法、装置、电子设备 | |
| CN110602217A (zh) | 基于区块链的联盟管理方法、装置、设备及存储介质 | |
| US20200145455A1 (en) | Detecting zero-day attacks with unknown signatures via mining correlation in behavioral change of entities over time | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| CN105378745A (zh) | 基于安全问题禁用和启用节点 | |
| CN111221722A (zh) | 行为检测方法、装置、电子设备及存储介质 | |
| CN112581129A (zh) | 区块链交易数据治理方法及装置、计算机设备及存储介质 | |
| CN113315828A (zh) | 一种流量录制方法、装置及流量录制设备、存储介质 | |
| Cao et al. | Learning state machines to monitor and detect anomalies on a kubernetes cluster | |
| CN116910816B (zh) | 一种提高隐私保护下的多方资产协同管理方法及装置 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| CN112989349B (zh) | 病毒检测方法、装置、设备及存储介质 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN113190200B (zh) | 展会数据安全的防护方法及装置 | |
| CN114925033A (zh) | 信息上链方法、装置、***及存储介质 | |
| CN113360575A (zh) | 联盟链中交易数据的监管方法、装置、设备及存储介质 | |
| CN113765924A (zh) | 基于用户跨服务器访问的安全监测方法、终端及设备 | |
| CN110933064A (zh) | 确定用户行为轨迹的方法及其*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40045484 Country of ref document: HK |