CN102708313B - 针对大文件的病毒检测系统及方法 - Google Patents
针对大文件的病毒检测系统及方法 Download PDFInfo
- Publication number
- CN102708313B CN102708313B CN201210059973.3A CN201210059973A CN102708313B CN 102708313 B CN102708313 B CN 102708313B CN 201210059973 A CN201210059973 A CN 201210059973A CN 102708313 B CN102708313 B CN 102708313B
- Authority
- CN
- China
- Prior art keywords
- file
- signal
- detected
- virus
- detection module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种针对大文件的病毒检测系统方法,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。本发明简单实用,对现有大文件隐藏病毒的方式,有着很高的判毒效率及可靠性,且不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
Description
技术领域
本发明涉及计算机安全防护技术领域,具体涉及针对较大文件的病毒检测系统及方法。
背景技术
我们知道,计算机病毒是人为的特制程序代码,其具有自我复制能力,很强的感染性,一定的H潜伏H性,特定的触发性和很大的破坏性。现有最主要的病毒检测方法为特征码匹配的方法,通过对文件提取部分特征码,与病毒相应的特征进行比对,如果匹配则判定该文件为病毒文件,否则判定该文件至少不是该类病毒。
现有技术由于考虑到病毒本身的有效代码比较少,所以对于较大文件或超大文件(例如300M作为分界),通常不进行病毒检测,直接认为是安全文件。然而,病毒与反病毒是作为一种技术对抗长期存在的,随着以上判毒规律被越来越多病毒制造者所熟知,随之而来的就是新型的、经过包装的病毒。病毒制造者会故意地将含有病毒代码的文件做大,其通常的做法是在病毒代码后加上大量的冗余数据,以逃过检测。
发明内容
本发明的目的是针对可能包含有病毒的大文件,提供一种相应的病毒检测系统及方法。实现上述目的的技术方案如下:
一种针对大文件的病毒检测系统,其特征在于,包括:
信息量检测模块,读取被检测文件,判断其信息量与数据量是否匹配,匹配时生成文件正常初判信号给病毒判定模块,不匹配时生成文件异常初判信号给文件结构检测模块;
文件结构检测模块,在接收到文件异常初判信号后启动,读取被检测文件,判断文件结构中是否存在超过一定比例的数据块,否则生成文件正常提示信号给病毒判定模块,是则生成文件异常提示信号给病毒判定模块;
病毒判定模块,根据信息量检测模块提供的文件正常初判信号、文件结构检测模块提供的文件正常提示信号生成文件正常判定信号,或根据文件结构检测模块提供的文件正常提示信号生成文件正常判定信号。
一种针对大文件的病毒检测方法,其特征在于,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
本发明的有益效果在于:先判断大文件的信息量是否正常,如果正常则判定该文件非病毒文件,如果信息量不正常则进一步分析文件的结构,如果文件结构中确实存在超过整个文件一定比例的数据块,则判定该文件包含有病毒,否则判定该文件非病毒文件。本发明简单实用,对现有大文件隐藏病毒的方式,有着很高的判毒效率及可靠性,且不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
附图说明
图1为本发明实施例提供的系统的主体构成框图。
图2为本发明实施例提供的系统中信息量检测模块的的构成框图。
图3为本发明实施例提供的系统中文件结构检测模块的的构成框图。
图4为本发明实施例提供的方法的主流程图。
具体实施方式
如图1所示,本实施例提供的针对大文件的病毒检测系统,包括信息量检测模块、文件结构检测模块及病毒判定模块,三者彼此间通信配合,下面详细说明各模块功能及配合关系。
如图2所示,信息量检测模块包括文件读取单元、信息熵计算单元、信息量比较单元及初判信号生成单元。文件读取单元用于读取被检测文件;信息熵计算单元用于对读取到的被检测文件进行信息量的计算;信息量比较单元用于将所得信息量与设定的阈值K比较;初判信号生成单元根据比较结果分别生成文件正常初判信号或文件异常初判信号,即当信息量超过所述阈值K时生成文件正常初判信号,并发给病毒判定模块,当信息量低于所述阈值K时生成文件异常初判信号,并发给文件结构检测模块(作为文件检测模块的功能启动信号)。上述信息量检测模块的基本工作原理是:我们知道,一个正常的文件,其信息量和数据量应该有一定的匹配关系,如果数据量很大而信息量很小时,该文件就是值得怀疑的,至少其中包含有大量的垃圾数据;如果信息量和数据量可以达到一定的匹配关系,则可以认为该文件是安全的(就目前病毒技术而言)。
如图3所示,文件结构检测模块包括功能启动单元、文件入口单元、文件结构分析单元、最大数据块抽取单元、比例计算模块及检测信号生成模块。其中,功能启动单元用于控制整个文件检测模块的功能的启闭,通过接收上文所述的文件异常初判信号进行功能启动控制;文件入口单元用于读取被检测文件。文件结构分析单元用于分析被检测文件的构成,将组成文件的各部分划分开来;例如一个PE文件可以分成四个部分:文件头、代码段、引入表及数据段,病毒代码可能只隐藏在代码段内,而数据段内可能会有大量的垃圾数据。最大数据块抽取单元用于将文件结构中的最大数据块找出来,同时也得知其数据量。比例计算模块用于计算所述最大数据块相比整个被检测文件的比例,并将比例结果提供给检测信号生成模块。检测信号生成模块根据比例结果生成文件正常提示信号或文件异常提示信号给病毒判定模块。
病毒判定模块用于生成最终的判定结果,具体地,其接收信息量检测模块提供的文件正常初判信号或文件结构检测模块提供的文件正常提示信号,并生成文件正常判定信号;或者其接收文件结构检测模块提供的文件异常提示信号生成文件异常判定信号。
如图4所示,本实施例提供的针对大文件的病毒检测方法,包括以下步骤:(1)通过信息量检测模块的文件读取单元读取被检测文件;(2)利用信息量检测模块的信息熵计算单元计算被检测文件信息熵;(3)利用信息量检测模块的信息量比较单元判断所得信息熵是否超过一设定的阈值K,是则由病毒判定模块判定文件非病毒并结束,否则进入步骤(4);(4)文件结构检测模块通过其文件入口模块再次读取该被检测文件;(5)利用文件结构检测模块的文件结构分析单元分析被检测文件的文件结构,利用文件结构检测模块的最大数据块抽取单元找到最大数据块;(6)利用文件结构检测模块的比例计算单元判断所述最大数据块相对整个文件的比例是否超过阈值M,否则由病毒判定模块判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
本发明提供的针对大文件的病毒检测系统,首先通过计算文件的有效信息量,判断文件中是否存在大量的垃圾数据,如果确实存在,则进一步确定最大的数据块及其所在的位置,及其占整个文件的比例,如果小于设定阈值,则判定。本发明的判毒方法,简单有效,不需要运行可执行文件的情况下,就可以判断出文件是否为病毒文件。
Claims (4)
1.一种针对大文件的病毒检测系统,其特征在于,包括:
信息量检测模块,读取被检测文件,判断其信息量与数据量是否匹配,匹配时生成文件正常初判信号给病毒判定模块,不匹配时生成文件异常初判信号给文件结构检测模块;
文件结构检测模块,在接收到文件异常初判信号后启动,读取被检测文件,判断文件结构中是否存在超过一定比例的数据块,否则生成文件正常提示信号给病毒判定模块,是则生成文件异常提示信号给病毒判定模块;
病毒判定模块,根据信息量检测模块提供的文件正常初判信号、文件结构检测模块提供的文件正常提示信号生成文件正常判定信号,或根据文件结构检测模块提供的文件正常提示信号生成文件正常判定信号。
2.根据权利要求1所述的针对大文件的病毒检测系统,其特征在于:所述信息量检测模块包括:读取被检测文件的文件读取单元、对读取到的被检测文件进行信息量的计算的信息熵计算单元、将所得信息量与一设定阈值K比较的信息量比较单元、及根据比较结果分别生成文件正常初判信号或文件异常初判信号初判信号生成单元。
3.根据权利要求2所述的针对大文件的病毒检测系统,其特征在于:所述文件结构检测模块包括:通过接收上文所述的文件异常初判信号并控制整个文件检测模块的功能启闭的功能启动单元、读取被检测文件的文件入口单元、分析被检测文件的构成并将文件各部分划分开来的文件结构分析单元、将文件结构中的最大数据块找出来的最大数据块抽取单元、计算所述最大数据块相比整个被检测文件的比例的比例计算模块、及根据比例结果生成文件正常提示信号或文件异常提示信号的检测信号生成模块。
4.一种针对大文件的病毒检测方法,其特征在于,包括以下步骤:(1)读取被检测文件;(2)计算被检测文件信息熵;(3)判断所得信息熵是否超过一设定的阈值K,是则判定文件非病毒并结束,否则进入步骤(4);(4)再次读取该被检测文件;(5)分析被检测文件的文件结构,找到最大数据块;(6)判断所述最大数据块相对整个文件的比例是否超过阈值M,否则判定文件非病毒并结束,是则判定该被检测文件为病毒文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059973.3A CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059973.3A CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102708313A CN102708313A (zh) | 2012-10-03 |
| CN102708313B true CN102708313B (zh) | 2015-04-22 |
Family
ID=46901067
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210059973.3A Active CN102708313B (zh) | 2012-03-08 | 2012-03-08 | 针对大文件的病毒检测系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102708313B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902896A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 自膨胀病毒拦截方法及系统 |
| CN104424435B (zh) * | 2013-08-22 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种获取病毒特征码的方法及装置 |
| CN104021227B (zh) * | 2014-06-26 | 2015-06-17 | 麦永浩 | 一种面向数字取证的异常隐写检测分析方法及系统 |
| CN106295337B (zh) * | 2015-06-30 | 2018-05-22 | 安一恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| RU2617631C2 (ru) * | 2015-09-30 | 2017-04-25 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN102185847A (zh) * | 2011-04-22 | 2011-09-14 | 南京邮电大学 | 基于熵值法的恶意代码网络攻击评估方法 |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| CN1330131C (zh) * | 2005-06-10 | 2007-08-01 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| JP4825767B2 (ja) * | 2007-10-02 | 2011-11-30 | Kddi株式会社 | 異常検知装置、プログラム、および記録媒体 |
| CN101640666B (zh) * | 2008-08-01 | 2012-06-06 | 北京启明星辰信息技术股份有限公司 | 一种面向目标网络的流量控制装置及方法 |
| CN101719204B (zh) * | 2009-12-15 | 2011-07-27 | 北京大学 | 基于中间指令动态插装的Heapspray型网页木马的检测方法 |
| CN101795215B (zh) * | 2010-01-28 | 2012-02-01 | 哈尔滨工程大学 | 网络流量异常检测方法及检测装置 |
| CN101815076B (zh) * | 2010-02-05 | 2012-09-19 | 浙江大学 | 一种内网蠕虫主机检测方法 |
| CN101789105B (zh) * | 2010-03-15 | 2013-01-30 | 北京安天电子设备有限公司 | 一种在数据包的级别动态检测邮件附件病毒的方法 |
-
2012
- 2012-03-08 CN CN201210059973.3A patent/CN102708313B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1997017A (zh) * | 2006-12-20 | 2007-07-11 | 浙江大学 | 一种网络蠕虫检测方法及其系统 |
| CN101895521A (zh) * | 2009-05-22 | 2010-11-24 | 中国科学院研究生院 | 一种网络蠕虫检测与特征自动提取方法及其系统 |
| CN102185847A (zh) * | 2011-04-22 | 2011-09-14 | 南京邮电大学 | 基于熵值法的恶意代码网络攻击评估方法 |
| CN102346829A (zh) * | 2011-09-22 | 2012-02-08 | 重庆大学 | 基于集成分类的病毒检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102708313A (zh) | 2012-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102708313B (zh) | 针对大文件的病毒检测系统及方法 | |
| CN102768717B (zh) | 恶意文件检测的方法及装置 | |
| CN102346829B (zh) | 基于集成分类的病毒检测方法 | |
| CN107358699B (zh) | 一种安全验证方法及系统 | |
| EP2940957B1 (en) | Method, apparatus and system for detecting malicious process behavior | |
| CN109446635B (zh) | 一种基于机器学习的电力工控攻击分类方法和系统 | |
| CN103067364B (zh) | 病毒检测方法及设备 | |
| CN102841999B (zh) | 一种文件宏病毒的检测方法和装置 | |
| CN102737186B (zh) | 恶意文件识别方法、装置及存储介质 | |
| CN102938041B (zh) | 一种页面篡改的综合检测方法及系统 | |
| WO2012054131A3 (en) | Social engineering protection appliance | |
| Kim | Ntmaldetect: A machine learning approach to malware detection using native api system calls | |
| CN104700033A (zh) | 病毒检测的方法及装置 | |
| WO2009090584A3 (en) | Method and system for activity recognition and its application in fall detection | |
| US10678914B2 (en) | Virus program detection method, terminal, and computer readable storage medium | |
| CN109525567A (zh) | 一种针对网站实施参数注入攻击的检测方法与系统 | |
| CN105306439A (zh) | 一种基于决策树自修复的特征规则检测方法 | |
| CN105760762B (zh) | 一种嵌入式处理器的未知恶意代码检测方法 | |
| CN110753038A (zh) | 一种异常检测自适应权限控制系统及方法 | |
| CN105138903A (zh) | 一种基于ret指令与jmp指令的rop攻击检测方法 | |
| Zhang et al. | A malware detection model based on a negative selection algorithm with penalty factor | |
| CN112559996B (zh) | 一种动态认证的风险检测方法及其系统 | |
| CN102298681A (zh) | 一种基于数据流切片的软件识别方法 | |
| Li et al. | A hierarchical framework for content-based image spam filtering | |
| CN104424435B (zh) | 一种获取病毒特征码的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP02 | Change in the address of a patent holder |
Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Patentee after: Zhuhai Juntian Electronic Technology Co.,Ltd. Address before: 519000 Jinshan software building, 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| CP02 | Change in the address of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191202 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Seal Interest Technology Co., Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |