CN102708313A - 针对大文件的病毒检测系统及方法 - Google Patents
针对大文件的病毒检测系统及方法 Download PDFInfo
- Publication number
- CN102708313A CN102708313A CN2012100599733A CN201210059973A CN102708313A CN 102708313 A CN102708313 A CN 102708313A CN 2012100599733 A CN2012100599733 A CN 2012100599733A CN 201210059973 A CN201210059973 A CN 201210059973A CN 102708313 A CN102708313 A CN 102708313A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- signal
- virus
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种针对大文件的病毒检测系统方法,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。本发明简单实用,对现有大文件隐藏病毒的方式,有着很高的判毒效率及可靠性,且不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
Description
技术领域
本发明涉及计算机安全防护技术领域,具体涉及针对较大文件的病毒检测系统及方法。
背景技术
我们知道,计算机病毒是人为的特制程序代码,其具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。现有最主要的病毒检测方法为特征码匹配的方法,通过对文件提取部分特征码,与病毒相应的特征进行比对,如果匹配则判定该文件为病毒文件,否则判定该文件至少不是该类病毒。
现有技术由于考虑到病毒本身的有效代码比较少,所以对于较大文件或超大文件(例如300M作为分界),通常不进行病毒检测,直接认为是安全文件。然而,病毒与反病毒是作为一种技术对抗长期存在的,随着以上判毒规律被越来越多病毒制造者所熟知,随之而来的就是新型的、经过包装的病毒。病毒制造者会故意地将含有病毒代码的文件做大,其通常的做法是在病毒代码后加上大量的冗余数据,以逃过检测。
发明内容
本发明的目的是针对可能包含有病毒的大文件,提供一种相应的病毒检测系统及方法。实现上述目的的技术方案如下:
一种针对大文件的病毒检测系统,其特征在于,包括:
信息量检测模块,读取被检测文件,判断其信息量与数据量是否匹配,并分别相应生成文件正常初判信号给病毒判定模块或文件异常初判信号给文件结构检测模块;
文件结构检测模块,在接收到文件异常初判信号后启动,读取被检测文件,判断文件结构中是否存在超过一定比例的数据块,并分别相应生成文件正常提示信号或文件异常提示信号给病毒判定模块;
病毒判定模块,根据信息量检测模块提供的文件正常初判信号、文件结构检测模块提供的文件正常提示信号生成文件正常判定信号,或根据文件结构检测模块提供的文件正常提示信号生成文件正常判定信号。
一种针对大文件的病毒检测方法,其特征在于,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
本发明的有益效果在于:先判断大文件的信息量是否正常,如果正常则判定该文件非病毒文件,如果信息量不正常则进一步分析文件的结构,如果文件结构中确实存在超过整个文件一定比例的数据块,则判定该文件包含有病毒,否则判定该文件非病毒文件。本发明简单实用,对现有大文件隐藏病毒的方式,有着很高的判毒效率及可靠性,且不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
附图说明
图1为本发明实施例提供的系统的主体构成框图。
图2为本发明实施例提供的系统中信息量检测模块的的构成框图。
图3为本发明实施例提供的系统中文件结构检测模块的的构成框图。
图4为本发明实施例提供的方法的主流程图。
具体实施方式
如图1所示,本实施例提供的针对大文件的病毒检测系统,包括信息量检测模块、文件结构检测模块及病毒判定模块,三者彼此间通信配合,下面详细说明各模块功能及配合关系。
如图2所示,信息量检测模块包括文件读取单元、信息熵计算单元、信息量比较单元及初判信号生成单元。文件读取单元用于读取被检测文件;信息熵计算单元用于对读取到的被检测文件进行信息量的计算;信息量比较单元用于将所得信息量与设定的阈值K比较;初判信号生成单元根据比较结果分别生成文件正常初判信号或文件异常初判信号,即当信息量低于所述阈值K时生成文件正常初判信号,并发给病毒判定模块,当信息量高于所述阈值K时生成文件异常初判信号,并发给文件结构检测模块(作为文件检测模块的功能启动信号)。上述信息量检测模块的基本工作原理是:我们知道,一个正常的文件,其信息量和数据量应该有一定的匹配关系,如果数据量很大而信息量很小时,该文件就是值得怀疑的,至少其中包含有大量的垃圾数据;如果信息量和数据量可以达到一定的匹配关系,则可以认为该文件是安全的(就目前病毒技术而言)。
如图3所示,文件结构检测模块包括功能启动单元、文件入口单元、文件结构分析单元、最大数据块抽取单元、比例计算模块及检测信号生成模块。其中,功能启动单元用于控制整个文件检测模块的功能的启闭,通过接收上文所述的文件异常初判信号进行功能启动控制;文件入口单元用于读取被检测文件。文件结构分析单元用于分析被检测文件的构成,将组成文件的各部分划分开来;例如一个PE文件可以分成四个部分:文件头、代码段、引入表及数据段,病毒代码可能只隐藏在代码段内,而数据段内可能会有大量的垃圾数据。最大数据块抽取单元用于将文件结构中的最大数据块找出来,同时也得知其数据量。比例计算模块用于计算所述最大数据块相比整个被检测文件的比例,并将比例结果提供给检测信号生成模块。检测信号生成模块根据比例结果生成文件正常提示信号或文件异常提示信号给病毒判定模块。
病毒判定模块用于生成最终的判定结果,具体地,其接收信息量检测模块提供的文件正常初判信号或文件结构检测模块提供的文件正常提示信号,并生成文件正常判定信号;或者其接收文件结构检测模块提供的文件异常提示信号生成文件异常判定信号。
如图4所示,本实施例提供的针对大文件的病毒检测方法,包括以下步骤:(1)通过信息量检测模块的文件读取单元读取被检测文件;(2)利用信息量检测模块的信息熵计算单元计算被检测文件信息熵;(3)利用信息量检测模块的信息量比较单元判断所得信息熵是否超过一设定的阈值K,是则由病毒判定模块判定文件非病毒并结束,否则进入步骤(4);(4)文件结构检测模块通过其文件入口模块再次读取该被检测文件;(5)利用文件结构检测模块的文件结构分析单元分析被检测文件的文件结构,利用文件结构检测模块的最大数据块抽取单元找到最大数据块;(6)利用文件结构检测模块的比例计算单元判断所述最大数据块相对整个文件的比例是否超过阈值M,否则由病毒判定模块判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
本发明提供的针对大文件的病毒检测系统,首先通过计算文件的有效信息量,判断文件中是否存在大量的垃圾数据,如果确实存在,则进一步确定最大的数据块及其所在的位置,及其占整个文件的比例,如果小于设定阈值,则判定。本发明的判毒方法,简单有效,不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
Claims (4)
1.一种针对大文件的病毒检测系统,其特征在于,包括:
信息量检测模块,读取被检测文件,判断其信息量与数据量是否匹配,并分别相应生成文件正常初判信号给病毒判定模块或文件异常初判信号给文件结构检测模块;
文件结构检测模块,在接收到文件异常初判信号后启动,读取被检测文件,判断文件结构中是否存在超过一定比例的数据块,并分别相应生成文件正常提示信号或文件异常提示信号给病毒判定模块;
病毒判定模块,根据信息量检测模块提供的文件正常初判信号、文件结构检测模块提供的文件正常提示信号生成文件正常判定信号,或根据文件结构检测模块提供的文件正常提示信号生成文件正常判定信号。
2.根据权利要求1所述的针对大文件的病毒检测系统,其特征在于:所述信息量检测模块包括:读取被检测文件的文件读取单元、对读取到的被检测文件进行信息量的计算的信息熵计算单元、将所得信息量与一设定阈值K比较的信息量比较单元、及根据比较结果分别生成文件正常初判信号或文件异常初判信号初判信号生成单元。
3.根据权利要求2所述的针对大文件的病毒检测系统,其特征在于:所述文件结构检测模块包括:通过接收上文所述的文件异常初判信号并控制整个文件检测模块的功能启闭的功能启动单元、读取被检测文件的文件入口单元、分析被检测文件的构成并将文件各部分划分开来的文件结构分析单元、将文件结构中的最大数据块找出来的最大数据块抽取单元、计算所述最大数据块相比整个被检测文件的比例的比例计算模块、及根据比例结果生成文件正常提示信号或文件异常提示信号的检测信号生成模块。
4.一种针对大文件的病毒检测方法,其特征在于,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059973.3A CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059973.3A CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102708313A true CN102708313A (zh) | 2012-10-03 |
| CN102708313B CN102708313B (zh) | 2015-04-22 |
Family
ID=46901067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210059973.3A Active CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102708313B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| CN104021227A (zh) * | 2014-06-26 | 2014-09-03 | 麦永浩 | 一种面向数字取证的异常隐写检测分析方法及系统 |
| WO2015024457A1 (en) * | 2013-08-22 | 2015-02-26 | Tencent Technology (Shenzhen) Company Limited | Method and device for obtaining virus signatures cross-reference to related applications |
| CN106295337A (zh) * | 2015-06-30 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| CN106557696A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 用于检测恶意数据加密程序的系统和方法 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| JP2009089224A (ja) * | 2007-10-02 | 2009-04-23 | Kddi Corp | 異常検知装置、プログラム、および記録媒体 |
| CN101640666A (zh) * | 2008-08-01 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
| CN101719204A (zh) * | 2009-12-15 | 2010-06-02 | 北京大学 | 基于中间指令动态插装的Heapspray检测方法 |
| CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN101815076A (zh) * | 2010-02-05 | 2010-08-25 | 浙江大学 | 一种内网蠕虫主机检测方法 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN102185847A (zh) * | 2011-04-22 | 2011-09-14 | 南京邮电大学 | 基于熵值法的恶意代码网络攻击评估方法 |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
-
2012
- 2012-03-08 CN CN201210059973.3A patent/CN102708313B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| CN1697404A (zh) * | 2005-06-10 | 2005-11-16 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| JP2009089224A (ja) * | 2007-10-02 | 2009-04-23 | Kddi Corp | 異常検知装置、プログラム、および記録媒体 |
| CN101640666A (zh) * | 2008-08-01 | 2010-02-03 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN101719204A (zh) * | 2009-12-15 | 2010-06-02 | 北京大学 | 基于中间指令动态插装的Heapspray检测方法 |
| CN101795215A (zh) * | 2010-01-28 | 2010-08-04 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN101815076A (zh) * | 2010-02-05 | 2010-08-25 | 浙江大学 | 一种内网蠕虫主机检测方法 |
| CN101789105A (zh) * | 2010-03-15 | 2010-07-28 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
| CN102185847A (zh) * | 2011-04-22 | 2011-09-14 | 南京邮电大学 | 基于熵值法的恶意代码网络攻击评估方法 |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| US9633205B2 (en) | 2013-08-22 | 2017-04-25 | Tencent Technology (Shenzhen) Co., Ltd. | Method and device for obtaining virus signatures |
| WO2015024457A1 (en) * | 2013-08-22 | 2015-02-26 | Tencent Technology (Shenzhen) Company Limited | Method and device for obtaining virus signatures cross-reference to related applications |
| CN104424435A (zh) * | 2013-08-22 | 2015-03-18 | 腾讯科技(深圳)有限公司 | 一种获取病毒特征码的方法及装置 |
| CN104424435B (zh) * | 2013-08-22 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种获取病毒特征码的方法及装置 |
| US10055584B2 (en) | 2013-08-22 | 2018-08-21 | Tencent Technology (Shenzhen) Co., Ltd. | Method and device for obtaining virus signatures |
| CN104021227A (zh) * | 2014-06-26 | 2014-09-03 | 麦永浩 | 一种面向数字取证的异常隐写检测分析方法及系统 |
| CN104021227B (zh) * | 2014-06-26 | 2015-06-17 | 麦永浩 | 一种面向数字取证的异常隐写检测分析方法及系统 |
| US20170004306A1 (en) * | 2015-06-30 | 2017-01-05 | Iyuntian Co., Ltd. | Method, apparatus and terminal for detecting a malware file |
| CN106295337B (zh) * | 2015-06-30 | 2018-05-22 | 安一恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| CN106295337A (zh) * | 2015-06-30 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| US10176323B2 (en) | 2015-06-30 | 2019-01-08 | Iyuntian Co., Ltd. | Method, apparatus and terminal for detecting a malware file |
| CN106557696A (zh) * | 2015-09-30 | 2017-04-05 | 卡巴斯基实验室股份制公司 | 用于检测恶意数据加密程序的系统和方法 |
| US10375086B2 (en) | 2015-09-30 | 2019-08-06 | AO Kaspersky Lab | System and method for detection of malicious data encryption programs |
| CN106557696B (zh) * | 2015-09-30 | 2020-10-27 | 卡巴斯基实验室股份制公司 | 用于检测恶意数据加密程序的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102708313B (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102708313A (zh) | 针对大文件的病毒检测系统及方法 | |
| US20150007319A1 (en) | Flexible fingerprint for detection of malware | |
| KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
| CN109088869B (zh) | Apt攻击检测方法及装置 | |
| CN102938041B (zh) | 一种页面篡改的综合检测方法及系统 | |
| WO2008048665A3 (en) | Method, system, and computer program product for malware detection analysis, and response | |
| WO2012054131A3 (en) | Social engineering protection appliance | |
| KR101194746B1 (ko) | 침입코드 인식을 위한 코드 모니터링 방법 및 장치 | |
| CN101833631B (zh) | 一种结合指针分析的软件安全漏洞动态检测方法 | |
| CN103488941A (zh) | 硬件木马检测方法及系统 | |
| RU2014110601A (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
| EP2661049A3 (en) | System and method for malware detection | |
| EP3752943A1 (en) | System and method for side-channel based detection of cyber-attack | |
| CN105306439A (zh) | 一种基于决策树自修复的特征规则检测方法 | |
| CN105046152A (zh) | 基于函数调用图指纹的恶意软件检测方法 | |
| RU2587429C2 (ru) | Система и способ оценки надежности правила категоризации | |
| CN110753038A (zh) | 一种异常检测自适应权限控制系统及方法 | |
| Zhang et al. | A malware detection model based on a negative selection algorithm with penalty factor | |
| CN102930207A (zh) | 一种api日志监控方法及装置 | |
| CN101719906B (zh) | 一种基于蠕虫传播行为的蠕虫检测方法 | |
| CN103455753A (zh) | 一种样本文件分析方法及装置 | |
| CN105024989B (zh) | 一种基于异常端口的恶意url启发式检测方法及系统 | |
| CN103235914A (zh) | 一种云端恶意检测引擎识别方法 | |
| CN104424435B (zh) | 一种获取病毒特征码的方法及装置 | |
| EP2819054B1 (en) | Flexible fingerprint for detection of malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Patentee after: Zhuhai Juntian Electronic Technology Co.,Ltd. Address before: 519000 Jinshan software building, 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191202 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |