杀毒引擎的参数调整方法、装置、设备和存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种杀毒引擎的参数调整方法、装置、设备和存储介质。

背景技术：

2.目前，现有的病毒查杀引擎的查杀策略、查杀力度主要是依据开发者的设计来决定的，当病毒查杀引擎设计完成之后，病毒查杀引擎对病毒查杀的检出率阈值和误报率阈值是无法更改的。然而，在实际运用场景下，不同的客户往往有不同的病毒查杀需求，对于病毒查杀的检出率阈值和误报率阈值无法更改的病毒查杀引擎来说，则是无法满足客户不同的病毒查杀需求的。

技术实现要素：

3.本发明主要目的在于提供一种杀毒引擎的参数调整方法、装置、设备和存储介质，旨在解决现有的病毒查杀引擎的检出率阈值和误报率阈值无法更改，导致无法满足客户不同的病毒查杀需求的技术问题。
4.为实现上述目的，本发明提供一种杀毒引擎的参数调整方法，应用于服务侧，所述杀毒引擎包括不同泛化能力的检测模块；所述参数调整方法包括以下步骤：
5.确定所述杀毒引擎的目标模式；
6.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
7.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。
8.在一实施例中，在所述依次类推直至对泛化能力最强的检测模块调参完成的步骤之后，或者，在所述依次类推直至对泛化能力最弱的检测模块调参完成的步骤之后，还包括：
9.返回所述基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整的步骤以及后续步骤，或者所述基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整的步骤以及后续步骤，直至满足收敛条件，收敛得到最终的杀毒引擎。
10.在一实施例中，所述收敛条件为当前获取的杀毒引擎的误报率满足误报率需求；
11.相应地，在每次对各个检测模块调参完成之后，还包括：
12.将本次的调参信息反馈至终端侧，其中，所述终端侧为需求为所述目标模式的杀毒引擎所对应的终端设备；
13.接收所述终端侧的误报率信息，其中，所述误报率信息包括误报率以及指示是否满足误报率需求的信息中的至少一个。
14.在一实施例中，在每次接收所述终端侧的误报率信息之后，还包括：
15.在满足误报率需求时，返回训练最终完成信息，以指示所述终端侧无需再次反馈误报率信息。
16.在一实施例中，所述收敛条件为各个检测模块的参数变化量小于预设阈值。
17.在一实施例中，在所述收敛得到最终的杀毒引擎的步骤之后，还包括：
18.将所述最终的杀毒引擎所对应的参数信息更新至终端侧，所述终端侧为：需求为所述目标模式的杀毒引擎所对应的终端设备。
19.在一实施例中，所述训练用新样本的获取方法，包括：
20.获取终端侧反馈的新样本；其中，所述终端侧为：需求为所述目标模式的杀毒引擎所对应的终端设备。
21.在一实施例中，所述调整的各个检测模块的参数为各个检测模块分别对应的误报率阈值。
22.为实现上述目的，本发明提供一种杀毒引擎的参数调整方法，应用于终端侧，所述参数调整方法包括：
23.反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行下述的训练操作：
24.确定所述杀毒引擎的目标模式；
25.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证各个检测模块误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
26.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成；
27.接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；
28.反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。
29.在一实施例中，所述的参数调整方法，还包括：
30.接收所述服务侧反馈的训练最终完成信息，并在接收到所述训练最终完成信息之后，不再反馈当前的误报率。
31.在一实施例中，所述的参数调整方法，还包括：
32.反馈所述服务侧在每次执行调参训练时，所需的训练用新样本。
33.为实现上述目的，本发明还提供一种杀毒引擎的参数调整装置，应用于服务侧，所述杀毒引擎包括不同泛化能力的检测模块，所述参数调整装置包括：
34.目标模式确定单元，用于确定所述杀毒引擎的目标模式；
35.低误报调参单元，用于在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
36.高检出调参单元，用于在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。
37.为实现上述目的，本发明还提供一种杀毒引擎的参数调整装置，应用于终端侧，所述参数调整装置包括：
38.目标模式反馈单元，用于反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行下述的训练操作：
39.确定所述杀毒引擎的目标模式；
40.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
41.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成；
42.参数接收单元，用于接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；
43.误报率反馈单元，用于反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。
44.为实现上述目的，本发明还提供一种服务侧设备，包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的杀毒引擎的参数调整程序，所述杀毒引擎的参数调整程序被所述处理器执行时实现如上所述的杀毒引擎的参数调整方法的各个步骤。
45.为实现上述目的，本发明还提供一种终端侧设备，包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的杀毒引擎的参数调整程序，所述杀毒引擎的参数调整程序被所述处理器执行时实现如上所述的杀毒引擎的参数调整方法的各个步骤。
46.为实现上述目的，本发明还提供一种存储介质，所述存储介质存储有杀毒引擎的
参数调整程序，所述杀毒引擎的参数调整程序被处理器执行时实现如上所述的杀毒引擎的参数调整方法的各个步骤。
47.本技术实施例中提供的一种杀毒引擎的参数调整方法、装置、设备和存储介质的技术方案，至少具有如下技术效果或优点：
48.由于采用了确定杀毒引擎的目标模式，在目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近杀毒引擎的最大误报率(所谓接近最大误报率意为：与最大误报率之间的差值绝对值小于预设数值，收敛后，停止对泛化能力最弱的检测模块的调参，这里收敛的意思为多次调参时，误报率均接近最大误报率，或者多次调参的参数变化在预设范围内)，其次，按照泛化能力由弱及强，对除泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，在误报率稳定的前提下，产生新的检出样本(此处对该句话意思进行解释：在对泛化能力次弱的检测模块进行训练时，需要将样本数据依次输入泛化能力最弱和次弱的检测模块，即将泛化能力最弱的检测模块没有检测出为病毒的样本再次输入泛化能力次弱的检测模块，然后不断调整泛化能力次弱的检测模块的参数，使得“考虑泛化能力最弱以及次弱的检测模块”时，计算出来的误报率依然接近最大误报率，但检出率有所提高。这里所述的“误报率稳定”的意思为：与最大误报率的差值的绝对值依然小于所述预设数值，收敛后，即停止对泛化能力次弱的检测模块的调参，所谓收敛，即多次对次弱的检测模块调参，“考虑泛化能力最弱以及次弱的检测模块”时误报率均接近最大误报率，或者多次调参的参数变化在预设范围内。以此类推，不断调整其他检测模块，直至对泛化能力最强的检测模块也调参完成)，依次类推直至对泛化能力最强的检测模块调参完成；在目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近杀毒引擎的最大误报率(由于是高检出模式，因此在实际生产过程中，该最大误报率相比低误报模式下的最大误报率，可能会大一些)，其次，按照泛化能力由强及弱，对除泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成的技术方法(具体训练方法和低误报率需求下相似，具体可参见上文，此处不再赘述)，解决了现有的病毒查杀引擎的检出率阈值和误报率阈值无法更改，导致无法满足客户不同的病毒查杀需求的技术问题，实现了根据客户的需求对杀毒引擎的检出率和误报率进行调整，使得杀毒引擎能够满足于客户的需求，且能够使得最终的杀毒引擎在满足误报率要求的条件下，检出率尽可能高。
附图说明
49.图1是本发明实施例方案涉及的设备的硬件架构示意图；
50.图2为本发明杀毒引擎的参数调整方法的第一实施例的流程示意图；
51.图3为本发明低误报率模式和高检出率模式下的检测模块的调整策略示意图；
52.图4为本发明杀毒引擎的参数调整方法的第二实施例的流程示意图；
53.图5为本发明杀毒引擎的参数调整方法的第三实施例的流程示意图；
54.图6为一种杀毒引擎的参数调整装置的功能模块图。
具体实施方式
55.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
56.如图1所示，图1是本发明实施例方案涉及的设备的硬件架构示意图。
57.作为一种实现方式，本发明实施例方案涉及的是服务侧设备时，所述服务侧设备可以是单个服务器，也可以是服务器集，并且具体实现可以为基于云计算的虚拟机。具体的，图1仅仅示出了一个服务器设备的硬件结构，其仅仅是示意图，不足以限定本技术，仅用于帮助本领域技术人员理解。所述服务侧设备包括：处理器101，例如cpu，存储器102，通信总线103。其中，通信总线103用于实现这些组件之间的连接通信。
58.存储器102可以是高速rax存储器，也可以是稳定的存储器(non-volatilexexory)，例如磁盘存储器。如图1所示，作为一种存储介质的存储器102中可以包括杀毒引擎的参数调整程序；而处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
59.确定所述杀毒引擎的目标模式；
60.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
61.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。
62.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
63.返回所述基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整的步骤以及后续步骤，或者所述基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整的步骤以及后续步骤，直至满足收敛条件，收敛得到最终的杀毒引擎。
64.所述收敛条件为当前获取的杀毒引擎的误报率满足误报率需求；
65.所述收敛条件还可以为各个检测模块的参数变化量小于预设阈值；
66.所述调整的各个检测模块的参数为各个检测模块分别对应的误报率阈值。
67.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
68.将本次的调参信息反馈至终端侧，其中，所述终端侧为需求为所述目标模式的杀毒引擎所对应的终端设备；
69.接收所述终端侧的误报率信息，其中，所述误报率信息包括误报率以及指示是否满足误报率需求的信息中的至少一个。
70.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
71.在满足误报率需求时，返回训练最终完成信息，以指示所述终端侧无需再次反馈误报率信息。
72.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
73.将所述最终的杀毒引擎所对应的参数信息更新至终端侧，所述终端侧为：需求为所述目标模式的杀毒引擎所对应的终端设备。
74.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
75.获取终端侧反馈的新样本；其中，所述终端侧为：需求为所述目标模式的杀毒引擎所对应的终端设备。
76.如图1所示，作为另一种实现方式，本发明实施例方案涉及的是终端侧设备时，所述终端侧设备可以是具体的pc端，也可以是多个pc段对应的集中管理平台。具体的，所述终端侧设备包括：处理器101，例如cpu，存储器102，通信总线103。其中，通信总线103用于实现这些组件之间的连接通信。
77.存储器102可以是高速rax存储器，也可以是稳定的存储器(non-volatilexexory)，例如磁盘存储器。如图1所示，作为一种存储介质的存储器102中可以包括杀毒引擎的参数调整程序；而处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
78.反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行下述的训练操作：
79.确定所述杀毒引擎的目标模式；
80.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
81.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成；
82.接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；
83.反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。
84.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整程序，并执行以下操作：
85.接收所述服务侧反馈的训练最终完成信息，并在接收到所述训练最终完成信息之后，不再反馈当前的误报率。
86.在一实施例中，处理器101可以用于调用存储器102中存储的杀毒引擎的参数调整
程序，并执行以下操作：
87.反馈所述服务侧在每次执行调参训练时，所需的训练用新样本。
88.基于上述装置的硬件构架，提出本发明杀毒引擎的参数调整方法的实施例。
89.参照图2，图2为本发明杀毒引擎的参数调整方法的第一实施例，所述杀毒引擎的参数调整方法，应用于服务侧，该方法属于一种调参训练的训练操作，包括以下步骤：
90.步骤s210：确定所述杀毒引擎的目标模式。
91.在本实施例中，服务侧可以为数据中心搭建的云计算平台，云计算平台中搭载有杀毒引擎。杀毒引擎的目标模式由用户根据实际的需求确定，杀毒引擎的目标模式包括低误报率模式和高检出率模式，低误报率模式下的杀毒引擎对病毒数据的误报率较低，但通常来说会造成检出率也较低，高检出率模式下的杀毒引擎对病毒数据的检出率较高，但通常误报率也较高，本技术旨在不管对于低误报率模式，还是高检出率模式，都能够在满足误报率需求的情况下，尽可能提高检出率。其中，检出率是指对病毒检查出来的比例，误报率是指对提示病毒的错误几率。
92.在本技术实施例中，终端侧也可以搭载有杀毒引擎，为了便于区分，将服务侧的杀毒引擎称为第一杀毒引擎，终端侧的杀毒引擎称为第二杀毒引擎。其中，第一杀毒引擎和第二杀毒引擎均包括多个具有不同泛化能力的检测模块，每个检测模块用于病毒数据的检测，各个检测模块成串联关系，后面的检测模块对前面检测模块未检测出病毒的数据进行再次检测。
93.之所以在终端侧也部署杀毒引擎，是为了保证杀毒引擎在执行病毒检测操作时，避免与服务侧通讯造成过长的延时。此外，本领域技术人员容易理解，在终端侧也部署有杀毒引擎的情况下，服务侧训练完成后，直接传输杀毒引擎的参数即可，无需将具体模型架构传输至终端侧。
94.具体的，用户主要通过第二杀毒引擎对病毒数据进行检测，终端侧的显示界面中为用户提供了用户可以选择的目标模式，即低误报率模式和高检出率模式，用户在终端侧的显示界面中选择则实际所需的第二杀毒引擎的目标模式之后，终端侧将用户选择的第二杀毒引擎的目标模式反馈给服务侧，其中，第二杀毒引擎的目标模式也是服务侧所需要的第一杀毒引擎的目标模式。进而，服务侧接收终端侧反馈的第二杀毒引擎的目标模式之后，可以确定出接收到的第二杀毒引擎的目标模式是低误报率模式还是高检出率模式，即可以确定出所需的第一杀毒引擎的目标模式是低误报率模式还是高检出率模式。服务侧确定出所需的第一杀毒引擎的目标模式之后，根据具体的目标模式对第一杀毒引擎中的各个检测模块进行调参训练，即调整第一杀毒引擎中的各个检测模块的参数，具体调参训练如步骤s220-步骤s230或步骤s240-步骤s250所示。
95.步骤s220：在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率。
96.步骤s230：其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成。
97.在本实施例中，训练用新样本是训练用的新样本，可以是由终端侧反馈送给服务
侧的新样本，终端侧为需求为目标模式的杀毒引擎所对应的终端设备，这样可以使得最终训练完成的杀毒引擎能够和客户的具体环境相适配，最终生成契合客户需求的杀毒引擎。终端侧将第二杀毒引擎的目标模式反馈给服务侧的同时，还将第二杀毒引擎检测过的病毒数据作为训练用新样本也反馈给服务侧。
98.服务侧接收到的实际的训练用新样本包括了携带病毒的数据和未携带病毒的数据，在本技术实施例中，还需对这些训练用新样本打标签，具体的，可以采用yara、模糊哈希匹配等方法对训练用新样本进行病毒性验证之后，即可以得到哪些数据有携带病毒，哪些数据没有携带病毒，对携带病毒的数据进行打标签，得到病毒样本，以及对未携带病毒的数据进行打标签，得到不带病毒的样本，可以理解为安全样本，根据病毒样本和安全样本进行训练操作，此外，具体打标签的工作可以放置于终端侧，也可以放置于服务侧，本技术对此不作限定。在本实施例中，第一杀毒引擎包括的多个泛化能力不同的检测模块，例如，ai模块(人工智能模块)、检测规则模块和黑白名单模块等等。ai模块：利用病毒样本数据归纳一套算法，“自学习和自发现”病毒的变化规律。检测规则模块：例如yara规则，yara是一款旨在帮助恶意软件研究人员识别和分类恶意软件样本的开源工具，使用yara可以基于文本或二进制模式创建恶意软件家族描述信息或其他匹配信息。yara规则可以提交给文件或在运行进程，以帮助研究人员识别其是否属于某个已进行规则描述的恶意软件家族。黑白名单模块：“白名单”的概念与“黑名单”相对应。例如：在电脑系统里，有很多软件都应用到了黑白名单规则，操作系统、防火墙、杀毒软件、邮件系统、应用软件等，凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后，被列入到黑名单的用户(或ip地址、ip包、邮件、病毒等)不能通过。如果设立了白名单，则在白名单中的用户(或ip地址、ip包、邮件等)会优先通过，不会被当成垃圾邮件拒收，安全性和快捷性都大大提高。将其含义扩展一步，那么凡有黑名单功能的应用，就会有白名单功能与其对应。
99.在本实施例中，每个检测模块对应有自己的病毒检测能力，包括检出率和误报率，每个检测模块的检出率和误报率根据自身的泛化能力决定，由于每个检测模块的泛化能力是不同的，泛化能力较强的检测模块对病毒样本的检出能力较高，即检出率较高，但其的误报率也较高；泛化能力较弱的检测模块对病毒样本的检出能力不高，即检出率也不高，但其的误报率较低。因此，在服务侧在确定目标模式为低误报率模式时，根据各个检测模块泛化能力的强弱，从泛化能力最弱的检测模块到泛化能力最强的检测模块，依次对各个检测模块进行参数调整。
100.其中，在低误报率模式下，根据杀毒引擎的最大误报率，首先对泛化能力最弱的检测模块进行调参，直至该泛化能力最弱的检测模块的误报率接近该最大误报率，所谓接近该最大误报率，意为：和最大误报率之间的差距绝对值小于预设数值(此外，本技术并不限定一定是小于最大误报率，也可以超过最大误报率一定范围)。
101.其次，基于该泛化能力最弱的检测模块识别的“不是病毒的样本”(包括病毒样本和安全样本)，对泛化能力次弱的检测模块进行训练，在训练时，保证该泛化能力次弱的检测模块尽可能地多地检测出新的病毒样本，但是在对泛化能力次弱的检测模块训练完成后，考虑泛化能力最弱和次弱的检测模块时，误报率和最大误报率之间的差距依然在一定范围之内。
102.接着，基于该泛化能力最弱和次弱的检测模块识别的“不是病毒的样本”(包括病
毒样本和安全样本)，对泛化能力次次弱的检测模块进行训练，在训练时，保证该泛化能力次次弱的检测模块尽可能多地检测出新的病毒样本，但是在对泛化能力次次弱的检测模块训练完成后，考虑泛化能力最弱、次弱和次次弱的检测模块时，误报率和最大误报率之间的差距依然在一定范围之内。
103.依次类推，直到对泛化能力最强的检测模块调参完成。
104.当然，本领域技术人员可以理解，上述所调整的各个模块的参数可以为识别病毒时所采用的误报率阈值。
105.如图3中的左图所示，图中的低误报模式是指低误报率模式。假设第一杀毒引擎包括a、b、c和d，四个检测模块，该四个检测模块的泛化能力从弱到强表示为pd《pc《pb《pa，先从泛化能力较弱的d开始调整，由于d的泛化能力较弱，误报率也较低，尽可能调整d的参数，比如扩大d的误报率阈值，直至d的误报率接近第一杀毒引擎的最大误报率时，停止d的误报率阈值的扩大。接下来调整c的参数，比如误报率阈值，逐渐扩大c的误报率阈值，由于c的泛化能力高于d，即便c的误报率低于d，也能够使得c检测出d未检测出的病毒样本，直至c的尽可能多地产生新的检出样本，且d和c一起考虑时，误报率基本保持稳定。以此类推，直到a调参完成。
106.图3左侧图中的矩形面积表示低误报率模式下的a，b，c，d四个检测模块在第一杀毒引擎中的能够检出的病毒的占比，通过上述训练过程，自然而然地，d到a的占比是逐渐减小的。采用步骤s220-步骤s230的方法对各个检测模块的误报率阈值进行扩大后，不仅保证了第一杀毒引擎有一个低的误报率的前提下，同时又尽可能地提高了检出率。
107.步骤s240：在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率。
108.步骤s250：其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。
109.在本实施例中，在高检出率模式下，根据杀毒引擎的最大误报率，首先对泛化能力最强的检测模块进行调参，直至该泛化能力最强的检测模块的误报率接近该最大误报率，所谓接近该最大误报率，意为：和最大误报率之间的差距绝对值小于预设数值(此外，本技术并不限定一定是小于最大误报率，也可以超过最大误报率一定范围)。此外，高检出模块相比于低误报模块的最大误报率会相对大一些。
110.其次，基于该泛化能力最强的检测模块识别的“不是病毒的样本”(包括病毒样本和安全样本)，对泛化能力次强的检测模块进行训练，在训练时，保证该泛化能力次强的检测模块尽可能地多地检测出新的病毒样本，但是在对泛化能力次强的检测模块训练完成后，考虑泛化能力最强和次强的检测模块时，误报率和最大误报率之间的差距依然在一定范围之内。
111.接着，基于该泛化能力最强和次强的检测模块识别的“不是病毒的样本”(包括病毒样本和安全样本)，对泛化能力次次强的检测模块进行训练，在训练时，保证该泛化能力次次强的检测模块尽可能多地检测出新的病毒样本，但是在对泛化能力次次强的检测模块训练完成后，考虑泛化能力最强、次强和次次强的检测模块时，误报率和最大误报率之间的
差距依然在一定范围之内。
112.依次类推，直到对泛化能力最弱的检测模块调参完成。
113.当然，本领域技术人员可以理解，上述所调整的各个模块的参数可以为识别病毒时所采用的误报率阈值。
114.如图3中的右图所示，图中的高检出模式是指高检出率模式。假设第一杀毒引擎同样包括a、b、c和d，四个检测模块，该四个检测模块的泛化能力从强到弱表示为pa》pb》pc》pd，先从泛化能力最强的a开始调整，尽可能扩大a的误报率阈值，直至a的误报率接近第一杀毒引擎的最大误报率时，停止a的误报率阈值的扩大。接下来调整b的误报率阈值，逐渐扩大b的误报率阈值，保证b尽可能多地产生新的检出样本，但整体误报率又保持稳定。以此类推，直到d调参完成。图3中，图3右侧图中的矩形面积表示高检出率模式下的a，b，c，d四个检测模块在第一杀毒引擎中的能够检出的病毒数量占比，采用上述训练方法，自然而然，从a到d的占比是逐渐减小的。进一步的，采用步骤s240-步骤s250的方法对各个检测模块的误报率阈值进行扩大后，不仅保证了第一杀毒引擎有一个较高的检出率，同时也将第一杀毒引擎的误报率约束在了用户可以接受的范围内。
115.本实施例通过采用上述的技术手段，解决了现有的病毒查杀引擎的检出率阈值和误报率阈值无法更改，导致无法满足客户不同的病毒查杀需求的技术问题，实现了根据客户的需求对杀毒引擎的检出率和误报率进行调整，使得杀毒引擎能够满足于客户的需求。
116.进一步的，基于第一实施例，在所述依次类推直至对泛化能力最强的检测模块调参完成的步骤之后，或者，在所述依次类推直至对泛化能力最弱的检测模块调参完成的步骤之后，还包括：
117.返回所述基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整的步骤以及后续步骤，或者所述基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整的步骤以及后续步骤，直至满足收敛条件，收敛得到最终的杀毒引擎。
118.具体的，在低误报率模式下，服务侧按照泛化能力由弱及强，对各个检测模块的误报率阈值调整完成之后，重新接收终端侧发送的训练用新样本，然后基于新的训练用新样本，返回执行步骤s220-步骤s230的步骤，直至满足收敛条件，收敛得到最终的第一杀毒引擎。或者，在高检出率模式下，服务侧按照泛化能力由强及弱，对各个检测模块的误报率阈值调整完成之后，重新接收终端侧发送的训练用新样本，然后基于新的训练用新样本，返回执行步骤s240-步骤s250的步骤，直至满足收敛条件，收敛得到最终的第一杀毒引擎。其中，所述收敛条件可以为当前获取的杀毒引擎的误报率满足误报率需求，收敛得到最终的第一杀毒引擎之后，不在对第一杀毒引擎中的各个检测模块的误报率阈值进行调整。
119.进一步的，所述收敛条件还可以为各个检测模块的参数变化量小于预设阈值。其中，参数变化量可以理解为上一次对各个检测模块的误报率阈值调整完成之后各个检测模块对应的最终误报率阈值与本次对各个检测模块的误报率阈值调整完成之后各个检测模块对应的最终误报率阈值之间的差值，对各个检测模块的误报率阈值分多次调整完成之后，如果连续两次各个检测模块的参数变化量均小于预设阈值，则不在对第一杀毒引擎中的各个检测模块的误报率阈值进行调整。
120.参照图4，图4为本发明杀毒引擎的参数调整方法的第二实施例，基于第一实施例，在第二实施例中在每次对各个检测模块调参完成之后，还包括以下步骤：
121.步骤310：将本次的调参信息反馈至终端侧。
122.在本实施例中，服务侧在本次对第一杀毒引擎中各个检测模块的误报率阈值调整完成之后，将本次的第一杀毒引擎中各个检测模块的最终的误报率阈值作为调参信息发送给终端侧，终端侧根据调参信息对第二杀毒引擎中各个检测模块的误报率阈值进行调整。
123.步骤320：接收所述终端侧的误报率信息。
124.在本实施例中，服务侧每间隔预设时长，接收终端侧反馈的误报率信息。其中，终端侧反馈的误报率信息包括第二杀毒引擎的误报率以及指示第二杀毒引擎是否满足误报率需求的信息中的至少一个。该误报率信息可以具体为误报率，此时，服务侧可以判断该误报率是否满足需求，在不满足时，进行再次进行训练。当然，该误报率信息也可以为“是否满足误报率需求”的信息。此时，服务侧根据该误报率信息确定是再次进行训练，还是不再进行训练。所谓满足误报率需求，即是和最大误报率之间的差值绝对值小于预设数值。
125.进一步的，在每次接收所述终端侧的误报率信息之后，还包括以下步骤：
126.在满足误报率需求时，返回训练最终完成信息，以指示所述终端侧无需再次反馈误报率信息。
127.具体的，训练最终完成信息可以理解为第一杀毒引擎中的各个检测模块的误报率阈值无需在进行调整。服务侧当前获取的第一杀毒引擎的误报率满足误报率需求时，服务侧将训练最终完成信息发送给终端侧或终端侧的集中管理平台，以指示终端侧或终端侧的集中管理平台不用在相服务侧发送误报率信息，也就是第一杀毒引擎中的各个检测模块的误报率阈值不需要在进行调整。
128.进一步的，在所述收敛得到最终的杀毒引擎的步骤之后，还包括下步骤：
129.将所述最终的杀毒引擎所对应的参数信息更新至终端侧。
130.其中，最终的杀毒引擎所对应的参数信息可以是最后一次对第一杀毒引擎中的各个检测模块的误报率阈值调整之后，各个检测模块的最终的误报率阈值，也可以是倒数第二次对第一杀毒引擎中的各个检测模块的误报率阈值调整之后，各个检测模块的最终的误报率阈值，也可以是最后一次与倒数第二次对第一杀毒引擎中的各个检测模块的误报率阈值调整之后，各个检测模块的最终的误报率阈值的平均值，也可以是最后一次和倒数第二次中最接近该平均值的一次所对应的各个检测模块的最终的误报率阈值。具体的，服务侧将该参数信息发送给终端侧，终端侧根据参数信息更新第二杀毒引擎中的各个检测模块的误报率阈值，然后采用更新后的第二杀毒引擎进行数据检测。
131.参照图5，图5为本发明杀毒引擎的参数调整方法的第三实施例，所述杀毒引擎的参数调整方法，应用于终端侧，具体步骤可以通过具体的pc设备实现，也可以通过集中管理平台实现，还可以是pc设备与集中管理平台一起实现。该方法包括以下步骤：
132.步骤s410：反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行步骤s210-步骤s250所述的训练操作。
133.在本实施例中，服务侧和终端侧均搭载有杀毒引擎，为了便于区分，将服务侧的杀毒引擎称为第一杀毒引擎，终端侧的杀毒引擎称为第二杀毒引擎。服务侧所需要的杀毒引擎的目标模式即是服务侧所需要的第一杀毒引擎的目标模式，第一杀毒引擎的目标模式由第二杀毒引擎的目标模式决定，第二杀毒引擎的目标模式有用户需求决定。
134.具体的，终端侧的显示界面中为用户提供了用户可以选择的目标模式，即低误报
率模式和高检出率模式，用户在终端侧的显示界面中选择则实际所需的第二杀毒引擎的目标模式之后，终端侧将用户选择的第二杀毒引擎的目标模式反馈给服务侧，如果用户选择的是低误报率模式，第一杀毒引擎的目标模式是低误报率模式，则服务侧所需要的第二杀毒引擎的目标模式是低误报率模式，如果用户选择的是高检出率模式，第一杀毒引擎的目标模式是高检出率模式，则服务侧所需要的第二杀毒引擎的目标模式是高检出率模式。
135.服务侧接收到终端侧发送的目标模式后执行步骤s210-步骤s250所述的训练操作，其中，步骤s210-步骤s250所述的训练操作具体参见第一实施例，本实施例不在具体赘述。
136.步骤s420：接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息。
137.在本实施例中，终端侧收服务侧反馈的调参完成的第一杀毒引擎的参数信息，然后采用参数信息对第二杀毒引擎中各个检测模块的误报率阈值进行调整。其中，所述的参数信息其与上述的调参信息相同。即服务侧在每次对第一杀毒引擎中各个检测模块的误报率阈值调整完成之后，将每次的第一杀毒引擎中各个检测模块的最终的误报率阈值作为调参信息发送给终端侧，终端侧接收调参信息，并根据调参信息对第二杀毒引擎中各个检测模块的误报率阈值进行调整。
138.步骤s430：反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。
139.在本实施例中，终端侧每间隔预设时长向服务侧反馈一次第二杀毒引擎的误报率信息，服务侧接收该误报率信息，如果通过误报率信息确定第二杀毒引擎的误报率不满足误报率需求时，再次对第一杀毒引擎中各个检测模块的误报率阈值进行调整，也就是服务侧重新执行步骤s210-步骤s250的所述的训练操作。其中，终端侧每次向服务侧反馈第二杀毒引擎的误报率信息的同时，还反馈服务侧在每次执行调参训练时所需的训练用新样本。其中，终端侧本次反馈给服务侧的训练用新样本相对于上一次反馈给服务侧的训练用新样本是新的训练用新样本，即服务侧基于新的训练用新样本，重新执行步骤s210-步骤s250的所述的训练操作。
140.进一步的，基于第三实施例，所述的参数调整方法的还包括以下步骤：
141.接收所述服务侧反馈的训练最终完成信息，并在接收到所述训练最终完成信息之后，不再反馈当前的误报率。
142.具体的，训练最终完成信息可以理解为服务侧的第一杀毒引擎中的各个检测模块的误报率阈值无需在进行调整。服务侧确定当前获取的第一杀毒引擎的误报率满足误报率需求时，将训练最终完成信息发送给终端侧或终端侧的集中管理平台，终端侧或终端侧的集中管理平台接收到练最终完成信息之后，确定服务侧的第一杀毒引擎中的各个检测模块的误报率阈值不需要在进行调整，即不再反馈第二杀毒引擎当前的误报率。进而，在接收到服务侧发送的最终的第一杀毒引擎所对应的参数信息时，采用该参数信息更新第二杀毒引擎中的各个检测模块的误报率阈值，然后采用更新后的第二杀毒引擎进行数据检测。
143.如图6所示，本技术提供的一种杀毒引擎的参数调整装置，应用于服务侧，所述杀毒引擎包括不同泛化能力的检测模块，所述参数调整装置包括：
144.目标模式确定单元510，用于确定所述杀毒引擎的目标模式；
145.低误报调参单元520，用于在所述目标模式为低误报率模式时，基于训练用新样
本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
146.高检出调参单元530，用于在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。
147.本发明应用于服务侧的一种杀毒引擎的参数调整装置具体实施方式与上述应用于服务侧的一种杀毒引擎的参数调整方法各实施例基本相同，在此不再赘述。
148.如图6所示，本技术提供的一种杀毒引擎的参数调整装置，应用于终端侧，所述参数调整装置包括：
149.目标模式反馈单元610，用于反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行下述的训练操作：
150.确定所述杀毒引擎的目标模式；
151.在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；
152.在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成；
153.参数接收单元620，用于接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；
154.误报率反馈单元630，用于反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。
155.本发明应用于终端侧的一种杀毒引擎的参数调整装置具体实施方式与上述应用于终端侧的一种杀毒引擎的参数调整方法各实施例基本相同，在此不再赘述。
156.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
157.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流
程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
158.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
159.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
160.应当注意的是，在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
161.尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
162.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

技术特征：

1.一种杀毒引擎的参数调整方法，其特征在于，应用于服务侧，所述杀毒引擎包括不同泛化能力的检测模块；所述参数调整方法包括以下步骤：确定所述杀毒引擎的目标模式；在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。2.如权利要求1所述的参数调整方法，其特征在于，在所述依次类推直至对泛化能力最强的检测模块调参完成的步骤之后，或者，在所述依次类推直至对泛化能力最弱的检测模块调参完成的步骤之后，还包括：返回所述基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整的步骤以及后续步骤，或者所述基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整的步骤以及后续步骤，直至满足收敛条件，收敛得到最终的杀毒引擎。3.如权利要求2所述的参数调整方法，其特征在于，所述收敛条件为当前获取的杀毒引擎的误报率满足误报率需求；相应地，在每次对各个检测模块调参完成之后，还包括：将本次的调参信息反馈至终端侧，其中，所述终端侧为需求为所述目标模式的杀毒引擎所对应的终端设备；接收所述终端侧的误报率信息，其中，所述误报率信息包括误报率以及指示是否满足误报率需求的信息中的至少一个。4.如权利要求3所述的参数调整方法，其特征在于，在每次接收所述终端侧的误报率信息之后，还包括：在满足误报率需求时，返回训练最终完成信息，以指示所述终端侧无需再次反馈误报率信息。5.若权利要求2所述的参数调整方法，其特征在于，所述收敛条件为各个检测模块的参数变化量小于预设阈值。6.如权利要求5所述的参数调整方法，其特征在于，在所述收敛得到最终的杀毒引擎的步骤之后，还包括：将所述最终的杀毒引擎所对应的参数信息更新至终端侧，所述终端侧为：需求为所述目标模式的杀毒引擎所对应的终端设备。7.如权利要求1至6中任一项所述的参数调整方法，其特征在于，所述训练用新样本的获取方法，包括：获取终端侧反馈的新样本；其中，所述终端侧为：需求为所述目标模式的杀毒引擎所对
应的终端设备。8.如权利要求1至6中任一项所述的参数调整方法，其特征在于，所述调整的各个检测模块的参数为各个检测模块分别对应的误报率阈值。9.一种杀毒引擎的参数调整方法，其特征在于，应用于终端侧，所述参数调整方法包括：反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行如权利要求1所述的训练操作：接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。10.如权利要求9所述的参数调整方法，其特征在于，还包括：接收所述服务侧反馈的训练最终完成信息，并在接收到所述训练最终完成信息之后，不再反馈当前的误报率。11.如权利要求9或10所述的参数调整方法，其特征在于，还包括：反馈所述服务侧在每次执行调参训练时，所需的训练用新样本。12.一种杀毒引擎的参数调整装置，其特征在于，应用于服务侧，所述杀毒引擎包括不同泛化能力的检测模块，所述参数调整装置包括：目标模式确定单元，用于确定所述杀毒引擎的目标模式；低误报调参单元，用于在所述目标模式为低误报率模式时，基于训练用新样本，首先对泛化能力最弱的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由弱及强，对除所述泛化能力最弱的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最强的检测模块调参完成；高检出调参单元，用于在所述目标模式为高检出率模式时，基于训练用新样本，首先对泛化能力最强的检测模块进行参数调整，以使得该检测模块的误报率接近所述杀毒引擎的最大误报率；其次，按照泛化能力由强及弱，对除所述泛化能力最强的检测模块之外，其余各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，依次类推直至对泛化能力最弱的检测模块调参完成。13.一种杀毒引擎的参数调整装置，其特征在于，应用于终端侧，所述参数调整装置包括：目标模式反馈单元，用于反馈服务侧所需要的杀毒引擎的目标模式，以指示所述服务侧执行如权利要求1所述的训练操作：参数接收单元，用于接收所述服务侧反馈的调参完成的所述杀毒引擎的参数信息；误报率反馈单元，用于反馈当前的误报率信息至所述服务侧，以指示所述服务侧执行在不满足误报率需求时再次进行参数调整的操作。14.一种服务侧设备，其特征在于，包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的杀毒引擎的参数调整程序，所述杀毒引擎的参数调整程序被所述处理器执行时实现如权利要求1-7任一项所述的杀毒引擎的参数调整方法的各个步骤。15.一种终端侧设备，其特征在于，包括存储器、处理器以及存储在所述存储器并可在
所述处理器上运行的杀毒引擎的参数调整程序，所述杀毒引擎的参数调整程序被所述处理器执行时实现如权利要求8-10任一项所述的杀毒引擎的参数调整方法的各个步骤。16.一种存储介质，其特征在于，所述存储介质存储有杀毒引擎的参数调整程序，所述杀毒引擎的参数调整程序被处理器执行时实现如权利要求1-11任一项所述的杀毒引擎的参数调整方法的各个步骤。

技术总结

本发明公开了一种杀毒引擎的参数调整方法、装置、设备和存储介质，该方法包括在确定杀毒引擎的目标模式是低误报率模式时，按照泛化能力由弱及强，对各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，直至对泛化能力最强的检测模块调参完成，或者在确定杀毒引擎的目标模式是高检出率模式时，按照泛化能力由强及弱，对各个检测模块进行参数调整，保证误报率稳定的前提下，产生新的检出样本，直至对泛化能力最弱的检测模块调参完成。本发明解决了现有的病毒查杀引擎的检出率阈值和误报率阈值无法更改，导致无法满足客户不同的病毒查杀需求的技术问题。不同的病毒查杀需求的技术问题。不同的病毒查杀需求的技术问题。