本發明公開了一種病毒檢測方法、裝置和介質。所述方法包括：獲取包含父子文件的可疑文件，所述可疑文件中的父文件為白文件，所述可疑文件中的子文件的文件屬性為灰或者未知；確定所述父文件的第一基礎靜態特征以及所述子文件的第二基礎靜態特征；基于樣本文件集、所述第一基礎靜態特征和所述第二基礎靜態特征，生成所述可疑文件對應的第一分布特征；以所述第一基礎靜態特征、所述第二基礎靜態特征和所述第一分布特征為輸入，利用白利用病毒的病毒檢測模型輸出所述可疑文件的病毒檢測結果；所述病毒檢測模型是基于所述樣本文件集中已標注的樣本文件對應的特征進行機器學習訓練確定的。本發明可以提高病毒檢測的準確性和適應性。

技術領域

本發明涉及互聯網通信技術領域，尤其涉及一種病毒檢測方法、裝置和介質。

背景技術

隨著通信技術的不斷發展，互聯網已經融入了生活的方方面面。然而，網絡黑產作為互聯網發展的衍生物也變得無孔不入，日益嚴峻地威脅著網絡安全。網絡黑產中將病毒偽裝為安全無害的父文件所對應的子文件，隨著父文件的啟動，惡意的子文件也被加載或執行。實為病毒的子文件能夠破壞計算機功能或者破壞數據，可以影響計算機使用并且能夠自我復制。我們將這類基于白利用技術（也叫白加黑利用技術）得到的父子文件合稱為白利用病毒。相關技術中，檢測白利用病毒主要通過樣本鑒定和主動防御的方式。樣本鑒定的方式基于子文件的靜態特征或者動態特征，容易被病毒繞過。主動防御的方式大部分是基于進程檢測，并不能有效較好的覆蓋更細分類下的病毒。因此，需要提供對白利用病毒更有效的檢測方案。

發明內容

為了解決現有技術應用在對白利用病毒進行檢測時準確性低等問題，本發明提供了一種病毒檢測方法、裝置和介質：

一方面，本發明提供了一種病毒檢測方法，所述方法包括：

獲取包含父子文件的可疑文件，所述可疑文件中的父文件為白文件，所述可疑文件中的子文件的文件屬性為灰或者未知；

確定所述父文件的第一基礎靜態特征以及所述子文件的第二基礎靜態特征；

基于樣本文件集、所述第一基礎靜態特征和所述第二基礎靜態特征生成所述可疑文件對應的第一分布特征；

以所述第一基礎靜態特征、所述第二基礎靜態特征和所述第一分布特征為輸入，利用白利用病毒的病毒檢測模型輸出所述可疑文件的病毒檢測結果；

其中，所述病毒檢測模型是基于所述樣本文件集中已標注的樣本文件對應的特征進行機器學習訓練確定的。

另一方面提供了一種病毒檢測裝置，所述裝置包括：

獲取模塊：用于獲取包含父子文件的可疑文件，所述可疑文件中的父文件為白文件，所述可疑文件中的子文件的文件屬性未知；

確定模塊：用于確定所述父文件的第一基礎靜態特征以及所述子文件的第二基礎靜態特征；

生成模塊：用于基于樣本文件集、所述第一基礎靜態特征和所述第二基礎靜態特征生成所述可疑文件對應的第一分布特征；

檢測模塊：用于以所述第一基礎靜態特征、所述第二基礎靜態特征和所述第一分布特征為輸入，利用白利用病毒的病毒檢測模型輸出所述可疑文件的病毒檢測結果；

其中，所述病毒檢測模型是基于所述樣本文件集中已標注的樣本文件對應的特征進行機器學習訓練確定的。

另一方面提供了一種電子設備，所述電子設備包括處理器和存儲器，所述存儲器中存儲有至少一條指令或至少一段程序，所述至少一條指令或所述至少一段程序由所述處理器加載并執行以實現如上述的病毒檢測方法。

另一方面提供了一種計算機可讀存儲介質，所述存儲介質中存儲有至少一條指令或至少一段程序，所述至少一條指令或所述至少一段程序由處理器加載并執行以實現如上述的病毒檢測方法。