一种病毒检测方法、装置、设备及计算机可读存储介质

技术领域

本申请涉及网络安全技术领域，特别涉及一种病毒检测方法、装置、电子设备及计算机可读存储介质。

背景技术

在网络安全领域，威胁情报库可作为已知威胁的特征库进行危险识别。但是，当前业内中所使用的威胁情报库，主要针对的是一些静态参数，例如文件HASH值、主机IP(Internet Protocol，网际互连协议)地址、域名、URL(Uniform Resource Locator，统一资源定位器)等等。但是对于一些隐藏较深、能够使用特别手段加密隐藏信息的病毒，上述方法的识别能力非常有限。鉴于此，提供一种解决上述技术问题的方案，已经是本领域技术人员所亟需关注的。

发明内容

本申请的目的在于提供一种病毒检测方法、装置、电子设备及计算机可读存储介质，以便有效提高对病毒的检测能力。

为解决上述技术问题，一方面，本申请公开了一种病毒检测方法，包括：

调用目标主机中安装的主机行为采集工具以获取所述目标主机的行为日志；

解析所述行为日志以提取目标主机行为信息；

将所述目标主机行为信息在预先生成的主机行为威胁情报库中进行匹配查找；所述主机行为威胁情报库存储有样本主机处于被病毒样本控制状态时的样本主机行为信息；

若匹配程度不小于预设标准，则判定所述目标主机已被所述病毒感染并侵害。

可选地，所述主机行为威胁情报库的生成过程包括如下步骤：

在所述样本主机中安装所述主机行为采集工具；

在所述样本主机中运行所述病毒样本；

调用所述主机行为采集工具以获取所述样本主机的行为日志；

解析所述行为日志以提取所述样本主机行为信息，并汇总生成所述主机行为威胁情报库。

可选地，所述行为日志具体为因各类指定项目的创建、删除和更改行为而产生的日志；其中，所述指定项目包括：主机进程、文件、计划任务、服务、注册表。

可选地，所述样本主机行为信息包括：所述样本主机在处于被所述病毒样本控制状态时所创建、删除和更改的各类所述指定项目的名称及其执行命令；

所述目标主机行为信息包括：所述目标主机所创建、删除和更改的各类所述指定项目的名称和/或对应执行的命令。

可选地，所述匹配程度不小于预设标准，包括：

所述目标主机行为信息在所述主机行为威胁情报库中的总命中率不小于预设比值。

可选地，在所述判定所述目标主机已被所述病毒感染并侵害之后，还包括：

基于所述目标主机行为信息，对所述主机行为威胁情报库进行补充更新。

又一方面，本申请公开了一种病毒检测装置，包括：

调用模块，用于调用目标主机中安装的主机行为采集工具以获取所述目标主机的行为日志；

提取模块，用于解析所述行为日志以提取目标主机行为信息；

生成模块，用于预先生成主机行为威胁情报库，所述主机行为威胁情报库存储有样本主机处于被病毒样本控制状态时的样本主机行为信息；

检测模块，用于将所述目标主机行为信息在所述主机行为威胁情报库中进行匹配查找；若匹配程度不小于预设标准，则判定所述目标主机已被所述病毒感染并侵害。

可选地，所述生成模块在生成所述主机行为威胁情报库时，具体用于：

在所述样本主机中安装所述主机行为采集工具；在所述样本主机中运行所述病毒样本；调用所述主机行为采集工具以获取所述样本主机的行为日志；解析所述行为日志以提取所述样本主机行为信息，并汇总生成所述主机行为威胁情报库。

可选地，所述行为日志具体为因各类指定项目的创建、删除和更改行为而产生的日志；其中，所述指定项目包括：主机进程、文件、计划任务、服务、注册表。

可选地，所述样本主机行为信息包括：所述样本主机在处于被所述病毒样本控制状态时所创建、删除和更改的各类所述指定项目的名称及其执行命令；

所述目标主机行为信息包括：所述目标主机所创建、删除和更改的各类所述指定项目的名称和/或对应执行的命令。

可选地，所述检测模块在判断匹配程度是否不小于预设标准时，具体用于：

判断所述目标主机行为信息在所述主机行为威胁情报库中的总命中率是否不小于预设比值；若是，则判定所述匹配程度不小于所述预设标准。

可选地，所述生成模块在所述检测模块判定所述目标主机已被所述病毒感染并侵害之后，还用于：

基于所述目标主机行为信息，对所述主机行为威胁情报库进行补充更新。

又一方面，本申请还公开了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序以实现如上所述的任一种病毒检测方法的步骤。

又一方面，本申请还公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如上所述的任一种病毒检测方法的步骤。

本申请所提供的病毒检测方法包括：调用目标主机中安装的主机行为采集工具以获取所述目标主机的行为日志；解析所述行为日志以提取目标主机行为信息；将所述目标主机行为信息在预先生成的主机行为威胁情报库中进行匹配查找；所述主机行为威胁情报库存储有样本主机处于被病毒样本控制状态时的样本主机行为信息；若匹配程度不小于预设标准，则判定所述目标主机已被所述病毒感染并侵害。

本申请所提供的病毒检测方法、装置、电子设备及计算机可读存储介质所具有的有益效果是：本申请以主机行为特征为检测依据，基于被病毒样本感染的样本主机，建立了主机行为威胁情报库，从而可提取目标主机的行为信息与主机行为威胁情报库进行比对，精准地检测出病毒感染情况，提高了病毒检测结果的精确度和可信度。

附图说明

为了更清楚地说明现有技术和本申请实施例中的技术方案，下面将对现有技术和本申请实施例描述中需要使用的附图作简要的介绍。当然，下面有关本申请实施例的附图描述的仅仅是本申请中的一部分实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图，所获得的其他附图也属于本申请的保护范围。

图1为本申请实施例公开的一种病毒检测方法的流程图；

图2为本申请实施例公开的一种主机行为威胁情报库的生成方法流程图；

图3为本申请实施例公开的一种病毒检测装置的结构框图；

图4为本申请实施例公开的一种电子设备的结构框图。

具体实施方式

本申请的核心在于提供一种病毒检测方法、装置、电子设备及计算机可读存储介质，以便有效提高对病毒的检测能力。

为了对本申请实施例中的技术方案进行更加清楚、完整地描述，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行介绍。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

在网络安全领域，威胁情报库可作为已知威胁的特征库进行危险识别。但是，当前业内中所使用的威胁情报库，主要针对的是一些静态参数，例如文件HASH值、主机IP(Internet Protocol，网际互连协议)地址、域名、URL(Uniform Resource Locator，统一资源定位器)等等。但是对于一些隐藏较深、能够使用特别手段加密隐藏信息的病毒，上述方法的识别能力非常有限。鉴于此，本申请提供了一种病毒检测方案，可有效解决上述问题。

参见图1所示，本申请实施例公开了一种病毒检测方法，主要包括：

S101：调用目标主机中安装的主机行为采集工具以获取目标主机的行为日志。

S102：解析行为日志以提取目标主机行为信息。

S103：将目标主机行为信息在预先生成的主机行为威胁情报库中进行匹配查找；主机行为威胁情报库存储有样本主机处于被病毒样本控制状态时的样本主机行为信息。

S104：若匹配程度不小于预设标准，则判定目标主机已被病毒感染并侵害。

具体地，由于病毒感染主机后会通过相关行为操作来达到侵害的目的，由此，申请人提出，可基于主机的特定行为进行病毒检测。由此，本申请预先建立了主机行为威胁情报库，记载了一个主机在被病毒感染后所会出现的各种主机行为相关信息。

为建立主机行为威胁情报库，可选取大量样本主机运行病毒样本，模拟被该种病毒感染的状态，了解被该种病毒感染后样本主机的各种主机行为，将样本主机行为信息存储并汇集成主机行为威胁情报库。

容易理解的是，主机行为威胁情报库中可分成多个子库，分别存储与不同种病毒对应的样本主机行为信息，以便可针对多种病毒分别进行检测。

在对待检测主机即目标主机进行病毒检测时，本申请预先在目标主机上安装了主机行为采集工具，以便采集目标主机的行为日志，行为日志中记录了目标主机所进行的行为操作的详细信息。作为一个具体实施例，主机行为采集工具可采用sysmon。当然，本领域技术人员也可采用其他采集工具。

从获取的行为日志中，可提取出目标主机行为信息，即记录了目标主机执行的相关主机行为的关键信息。进而，可将目标主机行为信息在主机行为威胁情报库进行匹配查找，若匹配程度达到预设标准，则说明目标主机行为信息与被病毒样本感染的样本主机行为信息相似度高，可判定目标主机不仅已被病毒感染，而且已被实施侵害。容易理解的是，所提取的目标主机行为信息的数量越多，检测结果的可信度也越高。

而若匹配程度小于预设标准，考虑到病毒潜伏期，稳妥起见，还不能完全肯定目标主机是否已被病毒感染。此时，可结合采用其他安全检测方法进一步判断。

可见，本申请所提供的病毒检测方法，以主机行为特征为检测依据，基于被病毒样本感染的样本主机，建立了主机行为威胁情报库，从而可提取目标主机的行为信息与主机行为威胁情报库进行比对，精准地检测出被病毒感染并侵害的情况，提高了病毒检测结果的精确度和可信度。

参见图2所示，本申请实施例公开了一种主机行为威胁情报库的生成方法，主要包括：

S201：在样本主机中安装主机行为采集工具。

其中，主机行为采集工具具体可采用sysmon，或者其他采集工具。

S202：在样本主机中运行病毒样本。

具体地，为了模拟被病毒感染后的主机状态，当安装完主机行为采集工具后，再运行病毒样本程序。

S203：调用主机行为采集工具以获取样本主机的行为日志。

S204：解析行为日志以提取样本主机行为信息，并汇总生成主机行为威胁情报库。

病毒样本运行结束后，可查看主机行为采集工具所产生的行为日志，进而从中提取出样本主机行为信息。将收集到的上述各个样本主机行为信息进行汇总，形成一个特定行为映射为特定病毒木马的主机行为威胁情报库。

作为一种具体实施例，本申请实施例所提供的病毒检测方法在上述内容的基础上，行为日志具体为因各类指定项目的创建、删除和更改行为而产生的日志；其中，指定项目包括：主机进程、文件、计划任务、服务、注册表。

具体地，申请人发现病毒感染后多进行关于主机进程、文件、计划任务、服务、注册表的创建、修改、删除的活动，以达到侵害主机数据安全和设备安全的目的。由此，本实施例中，将主机进程、文件、计划任务、服务、注册表设定为“指定项目”，所采用的主机行为采集工具是能够对各类指定项目的创建、删除和更改操作生成日志的采集工具。

当然，本领域技术人员还可以设定一些其他类型的指定项目，本申请对此并不进行限定。

作为一种具体实施例，本申请实施例所提供的病毒检测方法在上述内容的基础上，样本主机行为信息包括：样本主机在处于被病毒样本控制状态时所创建、删除和更改的各类指定项目的名称及其执行命令；

目标主机行为信息包括：目标主机所创建、删除和更改的各类指定项目的名称和/或对应执行的命令。

具体地，例如，在提取样本主机行为信息构建主机行为威胁情报库时，对于主机进程日志，可提取出病毒样本所释放的目录程序名及其对应执行的命令；对于文件日志，可提取出病毒样本新增、修改、删除的文件名及其对应执行的命令；对于计划任务日志，可提取出病毒样本所创建的计划任务名及其对应执行的命令；对于服务日志，可提取出病毒样本所创建的服务名及其对应执行的命令；对于注册表日志，可提取出病毒样本新增或者修改的注册表路径及其对应执行的命令。

类似地，目标主机所创建、删除和更改的主机进程名、文件名、计划任务名、服务名、注册表名，以及相关对应执行的命令，均可以作为目标主机行为信息。容易理解的是，目标主机行为信息的数量越多，检测结果越准确。

作为一种具体实施例，本申请实施例所提供的病毒检测方法在上述内容的基础上，匹配程度不小于预设标准，包括：

目标主机行为信息在主机行为威胁情报库中的总命中率不小于预设比值。

具体地，本实施例具体以目标主机行为信息的总命中率来衡量匹配程度。若总命中率不小于预设比值，则说明目标主机行为信息与样本主机行为信息相似度高，可判定目标主机被病毒感染。

当然，本领域技术人员也可采用其他的方式来判定匹配程度，例如，可采用打分制。具体地，可为不同种类的指定项目设定不同大小的权重，首先根据不同种类指定项目的行为信息在主机行为威胁情报库中的命中情况分别打分，然后再根据对应权重综合计算总分数。本申请对此并不进行限定。

作为一种具体实施例，本申请实施例所提供的病毒检测方法在上述内容的基础上，在判定目标主机已被病毒感染并侵害之后，还包括：

基于目标主机行为信息，对主机行为威胁情报库进行补充更新。

具体地，为了进一步丰富和优化主机行为威胁情报库，可将被确认感染病毒的目标主机的相关行为信息作为优化依据，从中筛查出病毒控制下的行为特征信息，以便进一步补充更新主机行为威胁情报库。

参见图3所示，本申请实施例公开了一种病毒检测装置，主要包括：

调用模块301，用于调用目标主机中安装的主机行为采集工具以获取目标主机的行为日志；

提取模块302，用于解析行为日志以提取目标主机行为信息；

生成模块303，用于预先生成主机行为威胁情报库，主机行为威胁情报库存储有样本主机处于被病毒样本控制状态时的样本主机行为信息；

检测模块304，用于将目标主机行为信息在主机行为威胁情报库中进行匹配查找；若匹配程度不小于预设标准，则判定目标主机已被病毒感染并侵害。

可见，本申请实施例所公开的病毒检测装置，以主机行为特征为检测依据，基于被病毒样本感染的样本主机，建立了主机行为威胁情报库，从而可提取目标主机的行为信息与主机行为威胁情报库进行比对，精准地检测出被病毒感染并侵害的情况，提高了病毒检测结果的精确度和可信度。

关于上述病毒检测装置的具体内容，可参考前述关于病毒检测方法的详细介绍，这里就不再赘述。

作为一种具体实施例，本申请实施例所公开的病毒检测装置在上述内容的基础上，生成模块303在生成主机行为威胁情报库时，具体用于：

在样本主机中安装主机行为采集工具；在样本主机中运行病毒样本；调用主机行为采集工具以获取样本主机的行为日志；解析行为日志以提取样本主机行为信息，并汇总生成主机行为威胁情报库。

作为一种具体实施例，本申请实施例所公开的病毒检测装置在上述内容的基础上，行为日志具体为因各类指定项目的创建、删除和更改行为而产生的日志；其中，指定项目包括：主机进程、文件、计划任务、服务、注册表。

作为一种具体实施例，本申请实施例所公开的病毒检测装置在上述内容的基础上，样本主机行为信息包括：样本主机在处于被病毒样本控制状态时所创建、删除和更改的各类指定项目的名称及其执行命令；

目标主机行为信息包括：目标主机所创建、删除和更改的各类指定项目的名称和/或对应执行的命令。

作为一种具体实施例，本申请实施例所公开的病毒检测装置在上述内容的基础上，检测模块304在判断匹配程度是否小于预设标准时，具体用于：

判断目标主机行为信息在主机行为威胁情报库中的总命中率是否不小于预设比值；若是，则判定匹配程度不小于预设标准。

作为一种具体实施例，本申请实施例所公开的病毒检测装置在上述内容的基础上，生成模块303还用于：

在检测模块304判定目标主机已被病毒感染并侵害之后，基于目标主机行为信息，对主机行为威胁情报库进行补充更新。

参见图4所示，本申请实施例公开了一种电子设备，包括：

存储器401，用于存储计算机程序；

处理器402，用于执行所述计算机程序以实现如上所述的任一种病毒检测方法的步骤。

进一步地，本申请实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时用以实现如上所述的任一种病毒检测方法的步骤。

关于上述电子设备和计算机可读存储介质的具体内容，可参考前述关于病毒检测方法的详细介绍，这里就不再赘述。

本申请中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的设备而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需说明的是，在本申请文件中，诸如“第一”和“第二”之类的关系术语，仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或者操作之间存在任何这种实际的关系或者顺序。此外，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上对本申请所提供的技术方案进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请的保护范围内。