本發(fā)明公開(kāi)了一種宏病毒識(shí)別方法、裝置、存儲(chǔ)介質(zhì)及處理器。其中，該方法包括：獲取待檢測(cè)文件的待檢測(cè)宏程序；使用決策模型對(duì)待檢測(cè)宏程序進(jìn)行分析，識(shí)別待檢測(cè)宏程序是否為病毒宏程序，其中，決策模型為使用多組訓(xùn)練數(shù)據(jù)通過(guò)機(jī)器學(xué)習(xí)算法訓(xùn)練出的，多組訓(xùn)練數(shù)據(jù)包括第一類(lèi)數(shù)據(jù)和第二類(lèi)數(shù)據(jù)，第一類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：病毒宏程序和標(biāo)識(shí)該宏程序?yàn)椴《镜臉?biāo)簽；第二類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：非病毒宏程序和標(biāo)識(shí)該宏程序不為病毒的標(biāo)簽；在確定待檢測(cè)宏程序?qū)儆诓《竞瓿绦虻那闆r下，確定待檢測(cè)宏程序?qū)?yīng)待檢測(cè)文件為病毒文件。本發(fā)明解決了現(xiàn)有宏病毒識(shí)別效率低的技術(shù)問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體而言，涉及一種宏病毒識(shí)別方法、裝置、存儲(chǔ)介質(zhì)及處理器。

背景技術(shù)

目前，在進(jìn)行宏病毒查殺的過(guò)程中所使用的傳統(tǒng)方案是，通過(guò)傳統(tǒng)特征提取技術(shù)，提取宏病毒的特征碼，并存入數(shù)據(jù)庫(kù)。在病毒檢測(cè)時(shí)，提取需要進(jìn)行病毒檢測(cè)的文件中的宏程序，并將該宏程序與數(shù)據(jù)庫(kù)中的特征進(jìn)行匹配，以此來(lái)判定文件中是否存在病毒。

但是，通過(guò)上述方案提取的特征，通常只能針對(duì)于特定的病毒家族，以及該病毒家族的變種，容易被病毒作者繞過(guò)。

另外，提取宏病毒的工作需要訓(xùn)練有素的病毒分析人員來(lái)完成，因此，傳統(tǒng)的宏病毒查殺技術(shù)需要投入較多人力才能實(shí)現(xiàn)對(duì)宏病毒的識(shí)別，導(dǎo)致宏病毒的識(shí)別效率低，進(jìn)而影響宏病毒的查殺效率。

針對(duì)上述現(xiàn)有宏病毒識(shí)別效率低的問(wèn)題，目前尚未提出有效的解決方案。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供了一種宏病毒識(shí)別方法、裝置、存儲(chǔ)介質(zhì)及處理器，以至少解決現(xiàn)有宏病毒識(shí)別效率低的技術(shù)問(wèn)題。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種宏病毒識(shí)別方法，包括：獲取待檢測(cè)文件的待檢測(cè)宏程序；使用決策模型對(duì)所述待檢測(cè)宏程序進(jìn)行分析，識(shí)別所述待檢測(cè)宏程序是否為病毒宏程序，其中，所述決策模型為使用多組訓(xùn)練數(shù)據(jù)通過(guò)機(jī)器學(xué)習(xí)算法訓(xùn)練出的，所述多組訓(xùn)練數(shù)據(jù)包括第一類(lèi)數(shù)據(jù)和第二類(lèi)數(shù)據(jù)，所述第一類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：病毒宏程序和標(biāo)識(shí)該宏程序?yàn)椴《镜臉?biāo)簽；所述第二類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：非病毒宏程序和標(biāo)識(shí)該宏程序不為病毒的標(biāo)簽；在確定所述待檢測(cè)宏程序?qū)儆诓《竞瓿绦虻那闆r下，確定所述待檢測(cè)宏程序?qū)?yīng)所述待檢測(cè)文件為病毒文件。

進(jìn)一步地，獲取待檢測(cè)文件的待檢測(cè)宏程序包括：獲取待檢測(cè)文件集合，其中，所述待檢測(cè)文件集合中包括至少一個(gè)文件；識(shí)別所述待檢測(cè)文件集合中存在宏程序的文件為所述待檢測(cè)文件。

進(jìn)一步地，獲取待檢測(cè)文件的待檢測(cè)宏程序包括：判斷每個(gè)所述待檢測(cè)文件中的宏程序是否為多個(gè)；在所述待檢測(cè)文件的宏程序?yàn)槎鄠€(gè)的情況下，將同一個(gè)所述待檢測(cè)文件中的多個(gè)宏程序整合為一個(gè)所述待檢測(cè)宏程序。

進(jìn)一步地，所述決策模型通過(guò)以下方式訓(xùn)練得出：從預(yù)定病毒庫(kù)中提取病毒文件中的病毒宏程序和非病毒文件中的非病毒宏程序作為樣本集數(shù)據(jù)，其中，所述樣本集數(shù)據(jù)包括：訓(xùn)練集數(shù)據(jù)和測(cè)試集數(shù)據(jù)；使用所述訓(xùn)練集數(shù)據(jù)中的多組所述病毒宏程序和所述非病毒宏程序通過(guò)機(jī)器學(xué)習(xí)得到訓(xùn)練模型；使用所述測(cè)試集數(shù)據(jù)中的多組所述病毒宏程序和所述非病毒宏程序?qū)λ鲇?xùn)練模型的準(zhǔn)確性進(jìn)行驗(yàn)證；在所述訓(xùn)練模型的驗(yàn)證結(jié)果為準(zhǔn)確的情況下，確定所述訓(xùn)練模型為所述決策模型；在所述訓(xùn)練模型的驗(yàn)證結(jié)果為不準(zhǔn)確的情況下，根據(jù)所述驗(yàn)證結(jié)果調(diào)整所述訓(xùn)練模型。

根據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，提供了一種宏病毒識(shí)別裝置，包括：獲取單元，用于獲取待檢測(cè)文件的待檢測(cè)宏程序；識(shí)別單元，用于使用決策模型對(duì)所述待檢測(cè)宏程序進(jìn)行分析，識(shí)別所述待檢測(cè)宏程序是否為病毒宏程序，其中，所述決策模型為使用多組訓(xùn)練數(shù)據(jù)通過(guò)機(jī)器學(xué)習(xí)算法訓(xùn)練出的，所述多組訓(xùn)練數(shù)據(jù)包括第一類(lèi)數(shù)據(jù)和第二類(lèi)數(shù)據(jù)，所述第一類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：病毒宏程序和標(biāo)識(shí)該宏程序?yàn)椴《镜臉?biāo)簽；所述第二類(lèi)數(shù)據(jù)中的每組訓(xùn)練數(shù)據(jù)均包括：非病毒宏程序和標(biāo)識(shí)該宏程序不為病毒的標(biāo)簽；確定單元，用于在確定所述待檢測(cè)宏程序?qū)儆诓《竞瓿绦虻那闆r下，確定所述待檢測(cè)宏程序?qū)?yīng)所述待檢測(cè)文件為病毒文件。