CN101685483B - 一种病毒特征码提取的方法和装置 - Google Patents
一种病毒特征码提取的方法和装置 Download PDFInfo
- Publication number
- CN101685483B CN101685483B CN2008101618010A CN200810161801A CN101685483B CN 101685483 B CN101685483 B CN 101685483B CN 2008101618010 A CN2008101618010 A CN 2008101618010A CN 200810161801 A CN200810161801 A CN 200810161801A CN 101685483 B CN101685483 B CN 101685483B
- Authority
- CN
- China
- Prior art keywords
- virus sample
- infection
- character string
- type virus
- infection type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种病毒特征码提取的方法和装置,所述方法包括以下步骤:对病毒样本进行分类;根据所述病毒样本的分类结果提取所述病毒样本的特征码。本发明的实施例中,通过对病毒文件的分类并根据分类结果提取病毒特征码,提高了病毒特征码的提取效率。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种病毒特征码提取的方法和装置。
背景技术
计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量的信息的同时,也使得计算机病毒的传播更加便捷。计算机病毒生成工具的出现后网络信息的安全性更是受到极大威胁。这些恶意程序一旦发作就会对计算机系统造成破坏,轻则篡改文件、影响系统稳定与执行效率、窃取信息,重则导致系统瘫痪,甚至破坏系统硬件部分,严重威胁到信息安全。
目前普遍使用的杀毒软件技术大多只能检测和查杀已知类型的恶意程序,使用的最广泛的检测方法就是特征码技术。现有的特征码提取技术主要是由反病毒工程师通过对恶意程序的逆向工程以及其它分析,手动或者半手动提取得到。
在实现本发明的过程中,发明人发现现有技术中存在以下缺点:
现有技术中,一旦有新的病毒或病毒变种出现就需要由反病毒工程师手动或者半手动提取该病毒的特征码,再通过升级的方式更新用户计算机上杀毒软件的病毒特征库,用于这个过程是通过手动或者半手动的方式完成的,所以会耗费大量的人力、物力、尤其是时间,病毒特征码的提取效率较低。
发明内容
本发明实施例提供了一种病毒特征码提取的方法和装置,以提高病毒特征码的提取效率。
本发明实施例提供了一种病毒特征码提取的方法,包括以下步骤:
对病毒样本进行分类;
所述对病毒样本进行分类包括:
通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
其中,所述根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本包括:将所述导入函数的数量小于预先设定的阈值的所述非感染型病毒样本分类为非感染加壳型病毒样本;将所述导入函数的数量不小于预先设定的阈值的所述非感染型病毒样本分类为非感染非加壳型病毒样本;
其中,所述根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本包括:若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点不同,则将所述感染型病毒样本分类为修改入口点的感染型病毒样本;若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点相同,则将所述感染型病毒样本分类为不修改入口点的感染型病毒样本;
根据所述病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述根据所述病毒样本的分类结果提取所述病毒样本的特征码包括:从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。
本发明实施例提供了一种病毒特征码提取装置,包括:
分类单元,用于对病毒样本进行分类;
提取单元,用于根据所述分类单元得到的病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述分类单元包括:
行为分析子单元,用于通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
第一扫描子单元,用于扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
所述提取单元包括:
第一提取子单元,用于从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
第二提取子单元,用于从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
所述分类单元还包括:
第二扫描子单元,用于扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
所述提取单元还包括:
第三提取子单元,用于对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
第四提取子单元,用于对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为不修改入口点的感染型病毒样本的特征码。
本发明的实施例中,通过对病毒文件的分类并根据分类结果提取病毒特征码,提高了病毒特征码的提取效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中一种病毒特征码提取的方法流程图;
图2是本发明实施例中一种病毒特征码提取装置结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种病毒特征码提取的方法,如图1所示,包括以下步骤:
步骤101,对病毒样本进行分类。将病毒样本分类为非感染加壳型病毒样本、非感染非加壳型病毒样本、修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本。
运行病毒样本并采集病毒样本的行为,根据采集到的病毒样本行为判断该病毒样本是否具有感染性。如果该病毒样本具有感染正常文件的行为,则确定该病毒样本为感染性病毒样本;若该病毒样本具有破坏或恶意修改正常文件的异常行为但不具有感染正常文件的行为,则确定该病毒样本为非感染性病毒样本。
静态扫描病毒文件,获得病毒文件导入表中导入函数的数量,入口点信息等,根据上述信息对病毒样本进行进一步分类。
对非感染型病毒,由于加壳后的病毒文件会隐藏导入表的信息,使导入表中包含较少的导入函数信息,因而需要通过对非感染型病毒文件的静态扫描获得病毒样本文件导入表中导入函数的数量,并将其与预先设定的阈值比较,将导入函数的数量小于预先设定的阈值的非感染型病毒样本分类为非感染加壳型病毒样本,将所述导入函数的数量不小于预先设定的阈值的非感染型病毒样本分类为非感染非加壳型病毒样本。
对感染型病毒样本,通过静态扫描获得正常文件以及正常文件被感染型病毒样本感染后的被感染文件的入口点信息,并对二者进行比较,若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点不同,则将所述感染型病毒样本分类为修改入口点的感染型病毒样本;若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点相同,则将所述感染型病毒样本分类为不修改入口点的感染型病毒样本。
步骤102,根据所述病毒样本的分类结果提取所述病毒样本的特征码。
对非感染非加壳病毒特征码,其提取方法为从病毒样本文件入口点后绕过编译器字符串信息提取一段或几段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为该病毒样本的特征码。之所以绕过编译器信息,主要是由于每个编译器都会生成一些代码,而相同的编译器生成的不同文件这些代码都是几乎一样的,所以特征码不能选在这些地方。比如有这样一段编译器特征码:
{″0103080D121314191A1C1D1E1F20212227282A2B303133″,″6A68E8BF8BC7E889658BF4893E56FF158B4E890D8B46A3″,″Microsoft Visual C++7.0″,0},
表示入口点之后第一个,第三个,第八个...字节处的代码为6A,68,E8...。如果一个非感染非加壳病毒文件的入口点后满足以上特征码,则说明这个非感染非加壳病毒文件是由“Microsoft Visual C++7.0”编译生成的,如果要提取它的特征码,就要避开该编译器产生的信息,然后提取一段或多段字符串和字符串的位置信息。
对非感染加壳病毒特征码,由于病毒已加壳,则病毒文件本身的字符串已被加密,不能作为特征码。提取方法为忽略病毒样本文件的结构,根据用户预先设定的提取位置从病毒文件提取一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为病毒样本的特征码。
对修改入口点的感染型病毒特征码,对被该种类型的病毒样本感染的被感染文件而言,入口点后的字符串即为新增的病毒特征码,但由于有些修改入口点的感染型病毒会在每次复制自身的时候改变字符串,因而,需要对多个被感染文件进行对比分析来获得特征码。提取方法为对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述修改入口点的感染型病毒样本的特征码。
对不修改入口点的感染型病毒特征码,该种类型的病毒样本不会修改正常文件的入口点。提取方法为对比正常文件及所述正常文件被所述不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。
在提取病毒的特征码之后,可以将获得的特征码保存入数据库。在特征码入库的过程中,可以将特征码及其相关信息如:病毒类型、病毒名称等一起存入数据库。
本发明的实施例中,通过对病毒文件的分类并根据分类结果提取病毒特征码,提高了病毒特征码的提取效率。
本发明实施例提供了一种病毒特征码提取装置,如图2所示,包括:
分类单元201,用于对病毒样本进行分类;
提取单元202,用于根据所述分类单元得到的病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述分类模块201包括:
行为分析子单元203,用于通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
第一扫描子单元204,用于扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
第二扫描子单元205,用于扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本。
其中,所述提取单元202包括:
第一提取子单元206,用于从所述非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为所述非感染非加壳型病毒样本的特征码;
第二提取子单元207,用于从设定的提取位置提取所述非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为所述非感染加壳型病毒样本的特征码;
第三提取子单元208,用于对比被所述修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述修改入口点的感染型病毒样本的特征码;
第四提取子单元209,用于对比正常文件及所述正常文件被所述不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。
本发明的实施例中,通过对病毒文件的分类并根据分类结果提取病毒特征码,提高了病毒特征码的提取效率。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以可借助软件加必要的通用硬件平台的方式来实现,基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
总之,以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (2)
1.一种病毒特征码提取的方法,其特征在于,包括以下步骤:
对病毒样本进行分类;
所述对病毒样本进行分类包括:
通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
其中,所述根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本包括:将所述导入函数的数量小于预先设定的阈值的所述非感染型病毒样本分类为非感染加壳型病毒样本;将所述导入函数的数量不小于预先设定的阈值的所述非感染型病毒样本分类为非感染非加壳型病毒样本;
其中,所述根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本包括:
若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点不同,则将所述感染型病毒样本分类为修改入口点的感染型病毒样本;若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点相同,则将所述感染型病毒样本分类为不修改入口点的感染型病毒样本;
根据所述病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述根据所述病毒样本的分类结果提取所述病毒样本的特征码包括:从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。
2.一种病毒特征码提取装置,其特征在于,包括:
分类单元,用于对病毒样本进行分类;
提取单元,用于根据所述分类单元得到的病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述分类单元包括:
行为分析子单元,用于通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
第一扫描子单元,用于扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
所述提取单元包括:
第一提取子单元,用于从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
第二提取子单元,用于从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
所述分类单元还包括:
第二扫描子单元,用于扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
所述提取单元还包括:
第三提取子单元,用于对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
第四提取子单元,用于对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为不修改入口点的感染型病毒样本的特征码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101618010A CN101685483B (zh) | 2008-09-22 | 2008-09-22 | 一种病毒特征码提取的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101618010A CN101685483B (zh) | 2008-09-22 | 2008-09-22 | 一种病毒特征码提取的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101685483A CN101685483A (zh) | 2010-03-31 |
| CN101685483B true CN101685483B (zh) | 2011-07-20 |
Family
ID=42048640
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101618010A Expired - Fee Related CN101685483B (zh) | 2008-09-22 | 2008-09-22 | 一种病毒特征码提取的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101685483B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101989322B (zh) * | 2010-11-19 | 2012-11-21 | 北京安天电子设备有限公司 | 自动提取恶意代码内存特征的方法和系统 |
| CN103530294B (zh) * | 2012-07-05 | 2017-12-22 | 腾讯科技(深圳)有限公司 | 一种文件分类方法和装置 |
| CN104036187B (zh) * | 2013-03-04 | 2017-04-12 | 阿里巴巴集团控股有限公司 | 计算机病毒类型确定方法及其系统 |
| CN103902901B (zh) * | 2013-09-17 | 2017-10-31 | 北京安天网络安全技术有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN104915596B (zh) * | 2014-03-10 | 2018-01-26 | 可牛网络技术(北京)有限公司 | apk病毒特征库构建方法、装置及apk病毒检测系统 |
| CN104680065A (zh) * | 2015-01-26 | 2015-06-03 | 安一恒通(北京)科技有限公司 | 病毒检测方法、装置及设备 |
| CN106560833A (zh) * | 2016-07-22 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种基于文件头检测感染式病毒的方法及系统 |
| CN106445603B (zh) * | 2016-09-28 | 2018-02-02 | 腾讯科技(深圳)有限公司 | 程序处理方法和装置 |
| CN108319853B (zh) * | 2017-01-18 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 病毒特征码处理方法及装置 |
| CN112580039B (zh) * | 2019-09-30 | 2022-12-23 | 奇安信安全技术(珠海)有限公司 | 病毒特征数据的处理方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1352426A (zh) * | 2001-11-26 | 2002-06-05 | 北京实达铭泰计算机应用技术开发有限公司 | 一种计算机病毒防御方法 |
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN1900940A (zh) * | 2006-07-19 | 2007-01-24 | 谢朝霞 | 计算机安全启动的方法 |
| CN101127638A (zh) * | 2007-06-07 | 2008-02-20 | 飞塔信息科技(北京)有限公司 | 一种具有主动性的病毒自动防控系统和方法 |
-
2008
- 2008-09-22 CN CN2008101618010A patent/CN101685483B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1352426A (zh) * | 2001-11-26 | 2002-06-05 | 北京实达铭泰计算机应用技术开发有限公司 | 一种计算机病毒防御方法 |
| CN1719780A (zh) * | 2005-07-15 | 2006-01-11 | 复旦大学 | 一种基于移动代理的入侵检测系统和方法 |
| CN1752888A (zh) * | 2005-11-08 | 2006-03-29 | 朱林 | 用于移动/智能终端的病毒特征提取和检测系统及方法 |
| CN1900940A (zh) * | 2006-07-19 | 2007-01-24 | 谢朝霞 | 计算机安全启动的方法 |
| CN101127638A (zh) * | 2007-06-07 | 2008-02-20 | 飞塔信息科技(北京)有限公司 | 一种具有主动性的病毒自动防控系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101685483A (zh) | 2010-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101685483B (zh) | 一种病毒特征码提取的方法和装置 | |
| Crussell et al. | Andarwin: Scalable detection of semantically similar android applications | |
| Chen et al. | Achieving accuracy and scalability simultaneously in detecting application clones on android markets | |
| Shijo et al. | Integrated static and dynamic analysis for malware detection | |
| CN101924761B (zh) | 一种依据白名单进行恶意程序检测的方法 | |
| Cesare et al. | Control flow-based malware variantdetection | |
| Christodorescu et al. | Malware normalization | |
| Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
| US7873947B1 (en) | Phylogeny generation | |
| Raman | Selecting features to classify malware | |
| US20120151586A1 (en) | Malware detection using feature analysis | |
| Crussell et al. | Scalable semantics-based detection of similar android applications | |
| Alazab et al. | A hybrid wrapper-filter approach for malware detection | |
| CN102567661B (zh) | 基于机器学习的程序识别方法及装置 | |
| CN111639337B (zh) | 一种面向海量Windows软件的未知恶意代码检测方法及系统 | |
| Wang et al. | Orlis: Obfuscation-resilient library detection for Android | |
| CN103853979A (zh) | 基于机器学习的程序识别方法及装置 | |
| Zhong et al. | A malware classification method based on similarity of function structure | |
| KR101816045B1 (ko) | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 | |
| Manavi et al. | A new approach for malware detection based on evolutionary algorithm | |
| Naidu et al. | A syntactic approach for detecting viral polymorphic malware variants | |
| Lyu et al. | Suidroid: An efficient hardening-resilient approach to android app clone detection | |
| Mehra et al. | DaCoMM: detection and classification of metamorphic malware | |
| Altaher et al. | Computer virus detection using features ranking and machine learning | |
| Alam et al. | Droidnative: Semantic-based detection of android native code malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: Huawei Symantec Technologies Co., Ltd. Patentee after: University of Electronic Science and Technology of China Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: Chengdu Huawei Symantec Technologies Co., Ltd. Patentee before: University of Electronic Science and Technology of China |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110720 Termination date: 20170922 |