一种病毒入侵的系统恢复方法及系统与流程

本发明涉及计算机，具体而言，涉及一种病毒入侵的系统恢复方法及系统。

背景技术：

1、目前病毒入侵是指恶意软件通过各种手段侵入计算机系统，对系统进行破坏、篡改或者窃取用户信息的行为。某些病毒会删除、加密或篡改用户的重要数据，导致数据无法访问或使用。系统恢复是指在系统遭受病毒入侵后，采取一系列措施将系统恢复到正常状态的过程。对于被破坏或篡改的系统文件，可以通过系统备份、修复工具或重新安装操作系统来恢复。但是对所有数据都进行备份的话，会耗费大量的计算机资源。在计算机一个文件夹都已经进行损坏，当文件进行不可逆转的损坏的情况下，无法得知文件夹内包含的文件内容，从而较难恢复到未进行病毒入侵时的情况。

技术实现思路

1、本发明的目的在于提供了一种病毒入侵的系统恢复方法及系统，用以解决现有技术中存在的上述问题。

2、第一方面，本发明实施例提供了一种病毒入侵的系统恢复方法，包括：

3、获得病毒入侵后的日志文件、受损文件和未受损文件；所述日志文件包括多个受损文件和未受损文件的多条操作语句；所述未受损文件在病毒入侵后未受到损伤的文件；所述受损文件为在病毒入侵后受到损伤的文件；

4、根据受损文件，得到受损文件树；所述受损文件树表示受损后的文件路径和文件的类别；

5、在注册表中获取受损文件包含的文件数量，得到受损文件数量；

6、根据所述日志文件、受损文件和未受损文件，通过文件判别网络，得到受损文件类型；所述受损文件类型表示受损文件包含受损文件数量的文件的文件类型；

7、根据所述到受损文件数量、生成文件类型和受损文件树，得到生成文件树；所述生成文件树包括生成的位置和位置对应的类型；

8、根据所述生成文件树，生成文件；

9、删除部分受损文件，将注册表中指向部分受损文件的信息修改为生成文件。

10、可选的，所述根据所述日志文件、受损文件和未受损文件，通过文件判别网络，得到受损文件类型，包括：

11、在所述日志文件中找到未受损文件对应的操作语句，得到未受损操作集合；在所述日志文件中找到受损文件对应的操作语句，得到受损操作集合；

12、获得未受损文件类型；所述未受损文件类型表示未受损的文件的文件类型；

13、根据所述未受损操作集合和所述未受损文件类型训练文件判别网络，得到训练好的文件判别网络；

14、将所述受损操作集合输入训练好的文件判别网络，得到受损文件类型。

15、可选的，所述文件判别网络包括语义卷积网络和注重网络；所述注重网络包括第一卷积网络、第二卷积网络、第三卷积网络和第一神经网络。

16、可选的，所述根据所述未受损操作集合和所述未受损文件类型训练文件判别网络，得到训练好的文件判别网络，包括：

17、将所未受损操作集合构建二维矩阵，得到未受损操作矩阵；多个未受损操作集合对应获得多个未受损操作矩阵；

18、获得未受损二维卷积核；所述未受损二维卷积核的尺寸为1xn；n表示为受损操作矩阵的行数；

19、将所述未受损操作矩阵与未受损二维卷积核以步长为1进行卷积，得到第一未受损操作特征向量；多个未受损操作矩阵对应获得多个未受损操作特征向量；

20、基于所述未受损操作矩阵和未受损文件类型，通过注重网络，得到第二未受损操作特征向量；

21、将所述第一未受损操作特征向量和第二未受损操作特征向量融合后，输入分类网络，得到预测文件类型；

22、将预测文件类型与对应的未受损文件类型计算损失，后向传播训练判别网络，得到训练好的判别网络。

23、可选的，所述基于所述未受损操作矩阵和未受损文件类型，通过注重网络，得到第二未受损操作特征向量，包括：

24、将多个未受损操作矩阵中相同的未受损文件类型的未受损操作矩阵加入一个集合作为相同类别未受损集合；多个未受损文件类型对应获得多个相同类别未受损集合；

25、将相同类别未受损集合中未受损操作矩阵的全部出现的操作语句提取，得到相同操作矩阵；

26、将所述多个相同类别未受损集合之间未重合的操作语句进行提取，得到未重合操作矩阵；

27、将所述相同操作矩阵输入第一卷积网络，提取判别相同的未受损文件类型的特征，得到相同操作特征；

28、将所述未受损操作矩阵中与未重合操作矩阵重合的操作语句作为受损未重合操作矩阵；

29、将所述受损未重合操作矩阵输入第二卷积网络，提取判别不同的未受损文件类型的特征，得到未重合操作特征；

30、将所述未受损操作矩阵输入第三卷积网络，提取受损操作矩阵的特征，得到未受损操作特征；

31、将所述相同操作特征、未重合操作特征和未受损操作特征输入第一神经网络，得到第二未受损操作特征向量。

32、可选的，所述根据受损文件，得到受损文件树，包括：

33、将受损文件的文件路径作为受损文件路径；

34、根据所述多个受损文件路径，构建受损路径树。

35、可选的，所述根据所述多个受损文件路径，构建受损路径树，包括：

36、以根目录作为根节点；

37、将受损文件路径中根目录下的文件和文件夹作为第二文件；

38、若所述受损路径树中不存在第二文件，新建一个根节点的子节点，子节点中的值表示第二文件的类别。

39、可选的，所述根据所述到受损文件数量、生成文件类型和受损文件树，得到生成文件树，包括：

40、在受损文件树中的叶节点处，生成受损文件数量的子节点，得到第一生成文件树；

41、将所述第一生成文件树中生成的子节点对应的值设为生成文件类型，得到生成文件树。

42、其中，所述受损路径树表示受损的文件的路径。经过检测得到受损文件下还包含的文件的数量和对应的文件类别。在受损路径树的叶节点上加上这些文件对应的节点，构建新的生成文件树。

43、可选的，所述根据所述生成文件树，生成文件，包括：

44、将所述生成文件树进行中序遍历，得到受损文件位置，在受损文件位置生成对应的生成文件类型的文件。

45、其中，受损位置表示通过受损文件的路径达到的最终位置。同时也是生成文件树的叶节点位置。

46、其中，本实施例中，采用中序遍历，因为生成文件树的构建方法，采用中序遍历更加符合文件对应的路径。

47、第二方面，本发明实施例提供了一种病毒入侵的系统恢复系统，包括：

48、获取模块：获得病毒入侵后的日志文件、受损文件和未受损文件；所述日志文件包括多个受损文件和未受损文件的多条操作语句；所述未受损文件在病毒入侵后未受到损伤的文件；所述受损文件为在病毒入侵后受到损伤的文件；

49、受损树构建模块：根据受损文件，得到受损文件树；所述受损文件树表示受损后的文件路径和文件的类别；

50、受损文件数量获取模块：在注册表中获取受损文件包含的文件数量，得到受损文件数量；

51、文件类型判别模块：根据所述日志文件、受损文件和未受损文件，通过文件判别网络，得到受损文件类型；所述受损文件类型表示受损文件包含受损文件数量的文件的文件类型；

52、获取生成文件树模块：根据所述到受损文件数量、生成文件类型和受损文件树，得到生成文件树；所述生成文件树包括生成的位置和位置对应的类型；

53、生成文件模块：根据所述生成文件树，生成文件；

54、注册表修改模块：删除部分受损文件，将注册表中指向部分受损文件的信息修改为生成文件。

55、相较于现有技术，本发明实施例达到了以下有益效果：

56、本发明实施例还提供了一种病毒入侵的系统恢复方法和系统，所述方法包括：获得病毒入侵后的日志文件、受损文件和未受损文件。所述日志文件包括多个受损文件和未受损文件的多条操作语句。所述未受损文件在病毒入侵后未受到损伤的文件。所述受损文件为在病毒入侵后受到损伤的文件。根据受损文件，得到受损文件树。所述受损文件树表示受损后的文件路径和文件的类别。在注册表中获取受损文件包含的文件数量，得到受损文件数量。根据所述日志文件、受损文件和未受损文件，通过文件判别网络，得到受损文件类型。所述受损文件类型表示受损文件包含受损文件数量的文件的文件类型。根据所述到受损文件数量、生成文件类型和受损文件树，得到生成文件树。所述生成文件树包括生成的位置和位置对应的类型。根据所述生成文件树，生成文件。删除部分受损文件，将注册表中指向部分受损文件的信息修改为生成文件。

57、根据受损文件的路径构建树，来体现受损文件的路径和类别。根据注册表判断受损文件中包含的文件数量。在通过日志文件的操作语句，通过网络判定受损文件包含的文件多的文件类别。从而更加准确找到对应的文件类别。根据文件数量和文件类别构建新的树结构。通过遍历树结构，能够生成损坏的对应文件数量且对应文件类别的文件。当文件进行不可逆转的损坏，可以进行复原类型，知道被损耗的是哪些数据，并且自动生成相同的类别，之后可以人工添加或者重新自动更新数据。达到了在没有备份数据的情况下能够恢复对应文件类型的系统的文件的技术效果。