本申請公開了一種病毒特征數據的處理方法、裝置及設備，涉及網絡安全技術領域，可減少病毒特征數據提取的冗余。其中方法包括：首先根據病毒樣本信息的運行行為、和靜態掃描所述病毒樣本信息所獲得的程序信息，對所述病毒樣本信息進行分類；然后依據病毒樣本信息的特征信息，對分類后的病毒樣本信息進行聚類，其中，所述特征信息至少包括文件大小、節表名稱及個數、代碼入口點指定范圍內的字節、代碼段大小、可執行文件類型中的一個或多個；最后按照聚類后的病毒樣本信息進行多維度的病毒特征數據提取。本申請適用于病毒特征數據的提取處理。

技術領域

本申請涉及網絡安全技術領域，尤其是涉及到一種病毒特征數據的處理方法、裝置及設備。

背景技術

隨著計算機互聯網技術的發展，互聯網應用變得越來越豐富，在帶來海量信息與功能的同時使得計算機病毒的傳播也更加便捷。近些年出現的病毒技術相比互聯網早期已經有了很大變化。

為了進行反病毒處理，可利用病毒庫中病毒特征進行病毒掃描，從而實現病毒查殺。目前，病毒庫中的病毒特征具體可通過反病毒工程師手動添加提取。然而，這種方式提取的病毒特征存在局限性，使得大量的病毒特征只能針對單一個體或者變種病毒查殺，進而會造成病毒特征數據的冗余。

發明內容

有鑒于此，本申請提供了一種病毒特征數據的處理方法、裝置及設備，主要目的在于解決目前現有技術中提取的病毒特征存在局限性，造成提取的病毒特征數據存在冗余的技術問題。

根據本申請的一個方面，提供了一種病毒特征數據的處理方法，該方法包括：

根據病毒樣本信息的運行行為、和靜態掃描所述病毒樣本信息所獲得的程序信息，對所述病毒樣本信息進行分類；

依據病毒樣本信息的特征信息，對分類后的病毒樣本信息進行聚類，其中，所述特征信息至少包括文件大小、節表名稱及個數、代碼入口點指定范圍內的字節、代碼段大小、可執行文件類型中的一個或多個；

按照聚類后的病毒樣本信息進行多維度的病毒特征數據提取。

可選的，所述依據病毒樣本信息的特征信息，對分類后的病毒樣本信息進行聚類，具體包括：

按照文件大小之間差值是否小于預設差值閾值、和/或節表名稱及個數是否相同、和/或代碼入口點指定范圍內的字節相似度是否小于預設相似度閾值、和/或代碼段大小之間差值是否小于預定差值閾值、和/或可執行文件類型是否相同，對分類后的病毒樣本信息進行聚類。

可選的，所述根據病毒樣本信息的運行行為、和靜態掃描所述病毒樣本信息所獲得的程序信息，對所述病毒樣本信息進行分類，具體包括：

檢測在所述病毒樣本信息運行過程中是否存在感染其他樣本的行為；及

根據靜態掃描所述病毒樣本信息所獲得的程序信息，檢測所述病毒樣本信息是否被加殼處理；

按照上述檢測結果，將病毒樣本信息分類為加殼感染型病毒樣本信息、非加殼感染型病毒樣本信息、加殼非感染型病毒樣本信息、非加殼非感染型病毒樣本信息。

可選的，所述按照聚類后的病毒樣本信息進行多維度的病毒特征數據提取，具體包括：

提取與聚類后的非加殼非感染型病毒樣本信息對應的多維度信息，其中，所述多維度信息至少包括非加殼非感染型病毒樣本信息所在存儲的字符串、代碼區域，文件可執行類型，代碼入口點所在節索引，附加數據，導出表與導入表，資源，安全傳輸層協議TLS，節數據以及可執行區域中的一個或多個；

通過數值類信息計算各自維度信息對應的區域上下限范圍數值；及

根據數據類信息計算各自維度信息對應的最大包括的模糊數據塊；