本發明公開了一種病毒數據包的識別方法、裝置及系統。其中，該識別方法包括：從多個待識別的數據包中查找第一數據包，其中，第一數據包不同于病毒樣本庫中已記錄的病毒數據包；獲取第一數據包的第一特征和與第一特征對應的病毒概率，其中，病毒概率是用于表示攜帶有第一特征的數據包為病毒的概率；使用病毒概率和第一特征確定第一數據包是否為病毒數據包。采用本發明，解決了現有技術中從大量的數據包中甄別病毒的效率低的問題，實現了快速準確從大量數據包中甄別出病毒數據包，提高了從大量數據包中甄別病毒的效率。

技術領域

本發明涉及數據處理領域，具體而言，涉及一種病毒數據包的識別方法、裝置及系統。

背景技術

網絡病毒(也稱病毒)是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一集合計算機指令或者程序代碼，隨著技術的發展，上述的病毒也開始入侵移動終端，為此，應用于電腦的殺毒軟件也出現在移動終端上。

當前的殺毒軟件是用于消除電腦病毒、特洛伊木馬和惡意軟件等計算機威脅的一類軟件，反病毒軟件通過實時監控和掃描磁盤，將內存中流過的數據與其自身攜帶的病毒庫的特征碼相比較，以判斷是否為病毒，清除病毒，以保護計算機。隨著技術的發展，出現在移動終端上的病毒查殺軟件也具有相似的功能，例如，常見的安卓手機的病毒查殺軟件，在安卓手機上的病毒查殺軟件(如騰訊手機管家)主要也是采用病毒特征來識別惡意軟件，這些病毒特征都是從已收集到的惡意樣本中分析出來的。

現有技術的安卓手機中每天新增的樣本數量很大，例如，騰訊手機管家的監控顯示每天新增的安卓樣本平均數量已經超過2萬，在這些新增樣本中，絕大多數是安全樣本，只有很少一部分是惡意的，從中快速甄別出這些少數的惡意樣本，成為整個病毒查殺環節的一個關鍵點，然而從大量的安卓樣本中快速甄別出惡意樣本是一件非常耗費人力的事情。目前，業界主要使用發送短信、聯網、撥打電話等敏感操作或權限來識別疑似軟件，可是正常軟件通常也有這些(如發送短信、聯網和撥打電話等)操作和權限，采用篩選敏感操作的方法篩選惡意軟件，篩選出來的樣本存在大量的正常樣本，因此，現有技術中在甄別出可疑樣本后，技術分析人員仍需要嘗試非常多的樣本后才能找到為數不多的惡意樣本，甄別效率低，并且需要耗費大量的人力物力。

針對上述從大量的數據包中甄別病毒的效率低的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種病毒數據包的識別方法、裝置及系統，以至少解決從大量的數據包中甄別病毒的效率低的技術問題。

根據本發明實施例的一個方面，提供了一種病毒數據包的識別方法，該識別方法包括：從多個待識別的數據包中查找第一數據包，其中，第一數據包不同于病毒樣本庫中已記錄的病毒數據包；獲取第一數據包的第一特征和與第一特征對應的病毒概率，其中，病毒概率是用于表示攜帶有第一特征的數據包為病毒的概率；使用病毒概率和第一特征確定第一數據包是否為病毒數據包。

根據本發明實施例的另一方面，還提供了一種病毒數據包的識別裝置，該識別裝置包括：查找模塊，用于從多個待識別的數據包中查找第一數據包，其中，第一數據包不同于病毒樣本庫中已記錄的病毒數據包；數據獲取模塊，用于獲取第一數據包的第一特征和與第一特征對應的病毒概率，其中，病毒概率是用于表示攜帶有第一特征的數據包為病毒的概率；第一確定模塊，用于使用病毒概率和第一特征確定第一數據包是否為病毒數據包。

根據本發明實施例的另一方面，還提供了一種病毒數據包的識別系統，該識別系統包括：病毒數據包的識別裝置。