CN103164651A - 提取病毒文件特征码的装置和方法以及病毒检测系统 - Google Patents

提取病毒文件特征码的装置和方法以及病毒检测系统 Download PDF

Info

Publication number
CN103164651A
CN103164651A CN2011104189343A CN201110418934A CN103164651A CN 103164651 A CN103164651 A CN 103164651A CN 2011104189343 A CN2011104189343 A CN 2011104189343A CN 201110418934 A CN201110418934 A CN 201110418934A CN 103164651 A CN103164651 A CN 103164651A
Authority
CN
China
Prior art keywords
virus
virus document
document
files
condition code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011104189343A
Other languages
English (en)
Other versions
CN103164651B (zh
Inventor
郭代飞
郭涛
隋爱芬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nets Technology Group Co ltd
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to CN201110418934.3A priority Critical patent/CN103164651B/zh
Priority claimed from CN201110418934.3A external-priority patent/CN103164651B/zh
Publication of CN103164651A publication Critical patent/CN103164651A/zh
Application granted granted Critical
Publication of CN103164651B publication Critical patent/CN103164651B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明公开一种提取病毒文件特征码的装置和方法,包括:将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比并得到包含文件块和对应第一计数器值的第一集合;以及选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码,或者选择这样的文件块组合作为病毒文件特征码,即在每个样本文件中都没有与文件块组合相同的特征块组合。本发明还公开一种包含上述提取病毒文件特征码的装置的病毒检测系统。

Description

提取病毒文件特征码的装置和方法以及病毒检测系统
技术领域
本发明涉及移动通信安全领域,特别涉及移动通信病毒监测。
背景技术
移动通信系统正变得越来越开放和种类繁多,在多变的网络环境中,智能手机正面临着手机病毒的威胁。随着手机的发展,许多针对智能手机的病毒开始影响许多种手机并且在智能手机中进行传播。智能手机具有强大的计算和连网能力,可以方便地连接互联网。然而,当移动用户通过移动网络网上冲浪时,手机病毒可能通过互联网传播,并且受到影响的手机会自动连接恶意网站以获取控制命令、下载新的病毒或者上传用户个人信息。
可在移动通信网络中部署手机病毒监测系统以监测手机病毒并防止病毒传播。然而,许多手机病毒能够在智能手机之间迅速传播,所以当发现一个新的病毒时,需要尽可能快地更新手机病毒监测系统。
传统上,病毒的特征码是由专家人工形成的而手机病毒监测系统通过从更新服务器下载病毒特征码来更新手机病毒库。另一方面,手机病毒监测系统最好与多个反病毒厂商的特征库结合以监测复杂多变的手机病毒。这样,由于不同厂商的特征库的格式各不相同,所以难以短时间内整合多个反病毒厂商的特征库。
而且,由于手机病毒非常危险且可以在短时间内感染许多手机,所以在移动通信网络中的手机病毒检测系统必须具有多种病毒知识库并及时高效地更新病毒特征库。当新的病毒被安全监控网络或专业的安全厂商发现时,必须分析这些手机病毒文件特征码并且在特定的时期内发布,这就出现一个时间空档,手机病毒就可能在这个时间空档攻击。
所以,需要一种方法来快速提取病毒特征码,从而能够在出现新病毒时,及时更新手机的病毒特征库。
上面的问题,不仅是在移动通信网络中存在,在传统的PC网络中也存在类似的问题。
发明内容
本发明的目的是提供一种提取病毒文件特征码的装置和方法,进而提供一种新的病毒检测系统。以期望缩短病毒识别的过程、降低乃至消除对人工分析病毒样本并形成病毒特征库的依赖,以及缩短病毒出现至病毒特征码发布之间的间隔,从而减小病毒大规模传播和爆发的可能性。
按照本发明的一个方面,一种提取病毒文件特征码的装置,包括:文件扫描单元,构造为扫描该病毒文件并确定其类型;对比单元,构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比;特征选取单元,构造为根据该对比的结果,提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码,即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。
其中,该对比单元构造为输出包括病毒文件文件块和对应第一计数器值的第一集合,所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。
其中,该特征选取单元构造为选择该对比单元输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。
按照本发明另一方面,一种提取病毒文件特征码的装置,包括:文件扫描单元,构造为扫描该病毒文件并确定其类型;对比单元,构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比;特征选取单元,构造为根据该对比的结果,提取该病毒文件中这样一组文件块作为该病毒文件的特征码,即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。
其中,该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合,所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。
其中,该特征选取单元(130′)构造为执行至少一次下面的循环:选择该第一集合中对应第一计数器值最小的文件块加入第二集合;判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。
按照本发明又一方面,一种病毒检测系统,包括:病毒文件管理模块,构造为接收病毒文件;病毒文件预处理模块,构造为检测所接收到的该病毒文件是否为新病毒;病毒文件特征码提取模块,构造为提取该病毒文件的特征码,其中该病毒文件特征码提取模块可以是前述的两种提取病毒文件特征码的装置任一个或其组合;病毒监测模块,构造为根据所提取的病毒文件的特征码检测病毒;病毒特征库同步模块,构造为将病毒文件特征码发送到该病毒监测模块。
按照本发明又一方面,一种提取病毒文件特征码的方法,包括:扫描病毒文件确定其类型;将该病毒文件与根据该文件的类型选取的样本文件进行对比;根据对比的结果提取该病毒文件特征码。
其中,所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括:得到包含文件块和对应第一计数器值的第一集合。
其中,所述根据对比的结果提取该病毒文件特征码包括:选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码。
或者,所述根据对比的结果提取该病毒文件特征码包括:选择这样的文件块组合作为病毒文件特征码,即在每个样本文件中都没有与该病毒文件的该文件块组合相同的特征块组合,其执行至少一次下面的循环步骤:选择该第一集合中对应第一计数器值最小的文件块加入第二集合;判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。
按照本发明又一方面,一种计算机可读介质,存储用于执行前述提取病毒文件特征码的方法的计算机可读指令。
按照本发明又一方面,一种计算机程序,包括用于执行前述提取病毒文件特征码的方法的计算机可读指令。
通过以上技术方案,本发明所取得的积极技术效果在于:可以缩短病毒识别的过程、降低对人工提取病毒特征码的依赖,以及缩短病毒出现至病毒特征码发布之间的间隔,从而减小病毒大规模传播和爆发的可能性。
附图说明
图1是按照本发明一个实施例,提取病毒文件特征码的装置的示意图。
图2是样本文件库的样本文件与病毒文件进行对比的示意图。
图3是按照本发明一个实施例,病毒检测系统的示意图。
图4是按照本发明一个实施例,病毒检测方法的流程图。
10病毒文件  20样本文件库  30病毒文件  40病毒源
100提取病毒文件特征码的装置
110文件扫描单元  120对比单元  130特征选取单元
130′特征选取单元
200病毒检测系统
210病毒管理模块  220病毒文件预处理模块  230病毒文件特征
码提取模块  240样本文件库  250病毒特征库同步模块  260病毒检测模块  270病毒数据库
300提取病毒文件特征码的方法
310预处理获取的病毒文件  320扫描判断该文件的类型
330将病毒文件与样本文件进行对比
340提取病毒文件特征码
342选择至少一个对应第一计数器值为零的特征块作为病毒文件特征码
344选择文件块组合作为病毒文件特征码
346选择对应第一计数器值最小的文件块
348判断样本文件中是否存在相同的特征块组合
具体实施方式
下面结合附图描述本发明的优选实施方式。在下面的描述中,阐述了许多具体细节以更好地理解本发明。然而,对于本领域技术人员来说,显然,可以不采用下面描述的细节中的一些甚至全部仍可实现本发明。在下面的描述中,没有具体说明公知的技术,以避免不必要的混淆。
病毒文件通常是二进制文件,二进制文件是按照其在内存中的存储形式来保存的。在二进制文件中,文件可以按照地址分成多个文件块。例如,本领与技术人员能够了解,根据二维的地址块,文件可以表示为一个二维矩阵,其中的每个元素是某个地址块上的文件块,即: F : B 11 . . . . . . B ij , 其中F表示文件,B表示文件块,i和j分别表示在矩阵中的位置,对应文件的地址块次序。
因此,当按照同样的方式分块时,如果两个二进制文件的每个文件块都相同,则这两个文件就是相同。而如果两个二进制文件中某个或某些文件块不同,则这个或者这些不同的文件块就可以成为这两个文件区别于对方的特征块。
同样类型的二进制文件的格式是相同的,并且具有一些相似或相同的部分。对于同一类型的文件,文件头的长度是相同的,文件正文的起始地址相同,以及正文的某些部分是其特有的,如Windows(视窗)系统的可执行程序EXE文件,手机系统Symbian(塞班)的程序SIS文件。利用统计学和文件格式的定义可得知能够表征出某种二进子文件特征的文件块划分方式。
根据以上描述,本发明的一个实施例提供一种提取病毒文件特征码的装置100,包括文件扫描单元110、对比单元120和特征选取单元130。
其中,文件扫描单元110扫描新病毒文件10,以确定其类型,从而可以从样本文件库20中选择相同类型文件的样本。如何通过扫描来确定文件类型是本领域的公知技术。
所述的样本文件库20实质上是一种各类程序的特征样本库,其包括一种或更多类型文件的集合,每种类型文件的集合包括至少一个样本文件,其中每个样本文件具有至少一个的特征块。所述集合包含的文件可以是病毒程序以及正常的程序。对于某个类型的文件,这些特征块从每个样本文件相同的位置选择。
例如,可以是M×N个特征块,其中M和N分别取正整数,并且数值大小可以根据具体文件类型和具体应用来确定。在下面的描述中,为了便于理解,以M×N个特征块为例进行说明。
由于样本文件库包含多种文件类型,所以当按照这样的方式实施本发明时,M和N的数值对于某种文件类型是确定的并且根据具体应用环境选择,而每种文件类型的M和N的数值可能不相同。因此,为了方便描述,下文中M和N是作为符号来使用,并不表示具体数值。
另外,本领域技术人员可以了解,文件的分块方式不限于M×N个特征块。并且依赖于应用环境的不同,所述样本文件库的内容也可能不同。例如,在移动通信应用中,对于Symbian系统,样本文件库可以包括SIS/SISX类型样本文件,对于Android(安卓)系统,样本文件库可以包括APK类型样本文件。
当文件扫描单元110确定所述新病毒文件10的类型后,将类型的信息传送到对比单元120。对比单元120构造为将从该新病毒文件10选择文件块与样本文件库20中同类型的每个文件中相同位置的特征块进行对比。为了便于理解,下面结合图2描述对比单元120的运行原理。
图2是该样本文件库20中某种类型样本文件的示意图,图2还示出这种类型文件的新病毒文件10。
如图2所示,样本文件F包含M×N个特征块。对于同样类型的文件,选取相同数量、相同位置的特征块。因此,新病毒文件10也同样包含M×N个文件块,并且这些文件块是从相同的位置选取,如地址位置。即,病毒文件10某个位置的文件块对应样本文件F相同位置的特征块。本申请中,为了表述的便利,同时采用术语“相同位置”、“对应位置”和“同样位置”,它们具有相同的含义。
如前面所阐述的,对于不同类型的文件,M和N的数值不同,而且特征块的选取位置也不同。
回到图2,为了便于描述,样本文件以Fk表示,其中k是样本文件的序号并且没有其他特别含义,本领域技术人员可以理解,k的最大值就是该样本文件库20所包含的这种类型的样本文件的个数,如记为K,则样本文件库中某个类型的样本文件可表示为{F1,F2,...,Fk,...FK}。
使用Bij表示从Fk中选取的一个特征块,其中i和j分别是正整数,并且i∈{1,…M}和j∈{1,…,N}。
对比单元120构造为从新病毒文件10中取得文件块Sij,其中i和j的含义与前面所述的i和j相同。然后,该对比单元120将文件块Sij与样本文件的特征块Bij对比,其中B和S的下标相同,也就是从病毒文件中选取的文件块的位置与用来进行对比的样本文件的特征块的位置相同。
该对比单元120将病毒文件10的文件块Sij与全部样本文件中相同位置的特征块Bij进行对比,如果相同,则对比单元120将与该文件块Sij对应的第一计数器值值Tij增加1。显然,在进行对比前,该第一计数器值需要置零。
如果经过对比,样本文件中同样位置的特征块Bij都不同于该新病毒文件的文件块Sij,则该第一计数器值Tij始终保持为零。如果文件块Sij与m个样本文件中相同位置的特征块Bij相同,显然m∈{1,…,K}。相应的,每个这样的文件块Sij对应的Tij就等于m。
将病毒文件的全部M×N个文件块(即Sij,i∈{1,…M},j∈{1,…,N})都分别与全部样本文件{F1,F2,...,FK}中对应相同位置的特征块(即Bij,i∈{1,…M},j∈{1,…,N})对比,并且对于每个文件块Sij,该第一计数器值都初始置零,即每个文件块Sij都单独计算第一计数器值。这样就得到文件块与对应第一计数器值的集合{Sij,Tij},其中i∈{1,…M},j∈{1,…,N},这就是该对比单元120的输出。并且,该对比单元120将这个输出传递到特征选取单元130。
该特征选取单元130从病毒文件中选择一个或一组文件块作为该病毒文件的特征码。下面描述该特征选取单元130选择文件的特征块的方式。
该对比单元120输出的集合中,可能出现两种情况。
第一种情况就是,病毒文件中存在可以用作表征该病毒文件的特征块Sij,即至少有一个文件块不同于全部样本文件{F1,F2,...,FK}中相同位置的特征块,这个病毒文件10的这个文件块Sij可以用作表征该病毒文件的特征块。如果存在多个这样的特征块,可以形成一个第一集合O{S},其中每个文件块Sij对应一个第一计数器值Tij,显然Tij=0。
这个集合就可以作为病毒文件的特征码。在实际使用中,有可能该病毒文件10全部M×N个文件块都可以作为特征块,或者有较多数量的文件可以作为特征块。此时,根据实际需要,可以选择该集合O{S}的子集作为病毒文件的特征码。
第二种情况是,病毒文件中没有与全部样本文件{F1,F2,...,FK}中同样位置的特征块相同的文件块,即每个文件块Sij对应的第一计数器值Tij≠0。
此时,选择对应的该第一计数器值Tij最小的那些文件块Sij形成一个第二集合P{S},其是O{S}的子集,并且包含n个文件块,显然n的数值小于M×N。具体地,第二集合P{S}初始是空集,然后选择文件块Sij加入该第二集合P{S}。
例如,假设有10个文件块对应的第一计数器值Tij=1,而其他文件块对应的第一计数器值分别为{3,6,7}。则,该P{S}就包含这10个Tij=1的文件块,且n=10。
将集合P{S}中的文件块Sij全部与一个样本文件Fk中相同位置的特征块Bij进行对比,如果集合P{S}中的一个文件块与该样本文件相同则第二计数器值T(k)ij增加1。该第二计数器值初始置零。
比如,将上述n=10的P{S}与样本文件F1中相同位置上的特征块Bij进行对比,并且第二计数器值初始为零。
这样,集合P{S}中的全部文件块都与一个样本文件Fk中相同位置的特征块Bij进行对比。全部对比完毕后,所得到的第二计数器值T(k)ij最大为n,最小为零。也就是,第二计数器值表示集合P{S}中有多少文件块与一个样本文件中对应位置的特征块相同。
对于前面的示例,n=10的P{S}与样本文件F1对比得到的第二计数器值T(1)ij的最大值为10,最小值为零。当第二计数器值为零时,表示集合P{S}中没有文件块与样本文件F1中相同位置的特征块相同,也就是样本文件F1不包含集合P{S}中的文件块。而当第二计数器值等于10时,表示样本文件F1中包含集合P{S}中的所有的文件块。
按照上面的过程,将集合P{S}中的文件块Sij与全部样本文件进行对比,并且对于每个样本文件,该第二计数器值都初始置零,即每个样本文件Fk都单独计算一个第一计数器值,这样就得到关于第二计数器值的集合{T(1)ij,T(2)ij,…T(K)ij},表示集合P{S}中与每个样本文件中对应位置的特征块相同的文件块分别有多少个。如果这个集合中所有第二计数器值都小于n,则使用集合P{S}来作为病毒文件特征码。
对于前述n=10的P{S}的示例,与全部样本文件对比后得到这样的集合{T(1)ij,T(2)ij,…T(K)ij},其中每个第二计数器值表示集合P{S}中分别包含在样本文件F1,F2,…,FK中的文件块的个数。
如果有第二计数器值T(k)ij等于n,则表明P{S}中全部文件块被包含在与这个第二计数器值T(k)ij对应的样本文件Fk中。
此时,增加集合P{S}中文件块的数量。所增加的文件块是第一集合O{S}中除第二集合P{S}之外的那些对应的第一计数器值最小的文件块。例如,对于上面的示例,初始的集合P{S}包含了对应的第一计数器值Tij=1的文件块,而其他文件块的第一计数器值中最小为3,则将集合P{S}扩展为包括对应第一计数器值等于3的文件块,此时的集合记为P1{S}。
需要注意的是,在上面的描述中,对应第一计数器值等于3的所有文件块都包含在扩展后的集合P1{S}中。然而,本领域技术人员能够理解,可选择对应第一计数器值等于3的文件块中的一个或一部分,将其包含在扩展后的集合P1{S}中。这也适用于对应第一计数器值等于其他值的文件块,并且不限于所举出的具体示例,而适用于一般情况。
然后重复上面的过程,直到所得到的全部第二计数器值都小于集合P{S}中文件块的数量。此时,集合P{S}没有被包含在任何一个样本文件中,使用得到的集合P{S}作为病毒文件的特征码。
可见,上面的过程实际上是选择一个文件块的组合P{S},每个样本文件中都没有与之相同的特征块组合P{B},从而可使用该文件块的组合P{S}作为病毒文件的特征码。
因此,该特征选取单元130构造为从该对比单元120输出的结果中选取一个或更多个对应第一计数器值为零的文件块作为病毒文件10的特征码。或者,该特征选取单元130构造为选择这样一组文件块作为病毒文件10的特征码,即每个样本文件中都没有与该组文件块相同的特征块组合。
本领域技术人员能够了解,由于需要处理的情况不同,该特征选取单元可构造为两个独立的单元,分别处理上述两种情况,如第一特征选取单元130构造为处理第一种情况,而第二特征选择单元130′构造为处理第二种情况。然而,本领域技术人员也可以理解,在现有的技术条件下,在一个单元中分别处理两种情况也是可以实现的,并且不需要额外的创造性劳动。
进一步,基于上面的提取病毒文件特征码的装置100,本发明的另一实施例提供一种病毒检测系统200,如图3所示。
该病毒检测系统200包括病毒管理模块210、病毒文件预处理模块220、病毒文件特征码提取模块230、样本文件库240、病毒特征库同步模块250以及病毒监测模块260,还包括病毒数据库270。
该病毒管理模块210从病毒源40获得病毒文件30,病毒文件30与前述的病毒文件10相同。该病毒源40可以包括专家的分析、来自专业反病毒厂商的病毒分析以及专门安全组织的安全监控系统,还可以包括其他的病毒来源。
该病毒管理模块210可将病毒文件30存储在病毒数据库270中。在本文的描述中,该病毒数据库270是该病毒检测系统200的一部分,然而本领域技术人员能够理解,该病毒数据库也可以实现为与该病毒检测系统彼此独立。
该病毒数据库270包括已知病毒文件整个文件或文件的一部分的哈希函数计算结果,如SHA、MD5等,也可以是相应病毒文件区别于正常文件和其他病毒文件的二进制特征码以及对应的对每个病毒文件的描述。这个描述可以根据需要采用统一的格式和/或规范性的内容。本领域技术人员可根据应用环境来确定描述的格式和/或内容,这可以采用本领域公知的技术手段完成,不需要付出额外的创造性劳动。
该病毒管理模块210还将病毒文件发送到该病毒文件预处理模块220。该病毒文件预处理模块220构造为从将病毒文件与病毒数据库已有的病毒数据进行对比,判断该病毒文件是否是新的病毒。
具体地,该病毒文件预处理模块220使用同样的哈希函数对获取的病毒文件30的全部或部分进行计算,如SHA、MD5等。如果病毒文件30的哈希函数计算结果在病毒数据库270中已经存在,则病毒文件30不是新的病毒。对文件进行哈希函数计算是本领域公知的技术。
或者,该病毒文件预处理模块220构造为使用该病毒数据库270对病毒文件30进行常规的已知病毒扫描,从而判断病毒文件30是否是新的病毒。常规的已知病毒扫描是本领域公知技术,在此不再赘述。
当然,上面两种方式也可以组合使用。本领域技术人员也能够认识到如何组合使用,并不需要额外的创造性劳动。
如果病毒文件预处理模块220判断该病毒文件30是新病毒,则将该病毒文件30发送到该病毒文件特征码提取模块230。该模块与前述的提取病毒文件特征码的装置100相同,因此不再赘述。注意,类似地,尽管本实施例中将样本文件库240描述为系统200的一部分,但是本领域技术人员可以了解,样本文件库也可以实现为与该病毒检测系统彼此独立。本实施例中的样本文件库240与前一实施例的样本文件库20相同。
该病毒文件特征码提取模块230将获取的病毒文件特征码通过病毒特征库同步模块250发送到病毒监测模块260。
该病毒特征库同步模块250可以是任何适于进行信息传输的软件、硬件或其组合,取决于该病毒监测系统的应用环境。例如,当该病毒监测模块260通过网络远程连接,则该病毒特征库同步模块250可以是网络通信模块,包括相应的硬件和软件模块。而当该病毒监测模块260设在本机,则该病毒特征库同步模块250可以是能够与本机上其他程序进行数据通信的软件和/或硬件模块。
根据该病毒检测系统200部署的应用环境不同,该病毒监测模块260可以任何适当的病毒监测软件、硬件或其组合。相应地,该病毒监测模块260可包括病毒文件特征码更新单元(图中未示),用以接受病毒特征库同步模块250传来的数据。同样,该病毒文件特征码更新单元(图中未示)根据需要可以是任何适用于信息传输的软件、硬件或其组合。
如图4所示,按照本发明另一实施方式,一种提取病毒文件特征码的方法300,包括如下步骤。
步骤310,预处理获取的病毒文件(如病毒文件10或30),判断是否是新的病毒。如前所述,可以采用哈希函数计算和/或常规病毒扫描的方式进行预处理。
步骤320,如果是新的病毒,扫描判断该文件的类型。如前所述,通过对文件的扫描确定文件类型是本领域的公知技术。
步骤330,将该病毒文件与根据该文件的类型选取的样本文件进行对比。
其中,可根据该文件的类型选取相同类型的至少一个样本文件。实际使用中,通常选取一个包含多个样本文件的集合,其中所包含的样本文件可以是病毒程序和正常的程序。
进行对比的过程与前面参照该提取病毒文件特征码的装置100的对比单元120的描述类似,即将样本文件与病毒文件都分成多个块,例如M×N个块,然后分别将病毒文件某个位置上的文件块与样本文件对应位置上的特征块对比,然后得到包含文件块和对应第一计数器值的第一集合。
步骤340,提取病毒文件特征码,与前面参照该提取病毒文件特征码的装置100的特征选取单元130的描述类似,该步骤可包括两个方面:
1)根据所得到的第一集合,如果该集合中存在对应第一计数器值为零的文件块,则选择至少一个这样的特征块作为病毒文件特征码(步骤342)。
2)如果该第一集合中所有的第一计数器值都大于零,选择这样的文件块组合作为病毒文件特征码,即在每个样本文件中都没有与文件块组合相同的特征块组合(步骤344)。具体地,执行至少一次下面的循环步骤:
步骤346,从第一集合O{S}选择对应第一计数器值最小的文件块加入第二集合P{S},显然第二集合初始为空集;
步骤348,判断每个样本文件中是否有与该第二集合P{S}相同的特征块组合。
具体实现方式上,当执行步骤346时,可生成一个与第一集合O{S}完全相同的临时集合Temp{S},当从该临时集合Temp{S}选择第二集合P{S}时,就从该临时集合Temp{S}中删去相应的文件块,以便于下次选取对应第一计数器值最小的文件块加入第二集合P{S}。经过上面的步骤344,就可以得到所需的文件块组合(即,最终得到的第二集合)。
本发明还提供了一种机器(如计算机)可读的存储介质,存储用于使一机器执行如前面所述的提取病毒文件特征码的方法的指令。
本发明还提供一种计算机程序,其包含可以执行所述提取病毒文件特征码的方法的计算机可读指令。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
尽管上面参照本发明的优选实施例对本发明进行了详细说明,但是本领域技术人员能够理解,还存在对本发明的修改、置换和变化。在不超出权利要求限定的范围情况下,本发明也包括这样的修改、置换和变化。

Claims (13)

1.一种提取病毒文件(10,30)特征码的装置(100),其包括:
文件扫描单元(110),构造为扫描该病毒文件并确定其类型;
对比单元(120),构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比;
特征选取单元(130),构造为根据该对比的结果,提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码,即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。
2.根据权利要求1所述的提取病毒文件(10,30)特征码的装置(100),其特征在于,该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合,所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。
3.根据权利要求2所述的提取病毒文件(10,30)特征码的装置(100),其特征在于,该特征选取单元(130)构造为选择该对比单元(120)输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。
4.一种提取病毒文件(10,30)特征码的装置(100),包括:
文件扫描单元(110),构造为扫描该病毒文件并确定其类型;
对比单元(120),构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比;
特征选取单元(130′),构造为根据该对比的结果,提取该病毒文件中这样一组文件块作为该病毒文件的特征码,即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。
5.根据权利要求4所述的提取病毒文件(10,30)特征码的装置(100),其特征在于,该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合,所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。
6.根据权利要求5所述的提取病毒文件(10,30)特征码的装置(100),其特征在于,该特征选取单元(130′)构造为执行至少一次下面的循环:
选择该第一集合中对应第一计数器值最小的文件块加入第二集合;
判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。
7.一种病毒检测系统(200),包括:
病毒文件管理模块(210),构造为接收病毒文件(10,30);
病毒文件预处理模块(220),构造为检测所接收到的该病毒文件是否为新病毒;
病毒文件特征码提取模块(230),构造为提取该病毒文件的特征码,其中该病毒文件特征码提取模块(230)是权利要求1-3或4-6任一项所述的提取病毒文件特征码的装置(100);
病毒监测模块(260),构造为根据所提取的病毒文件的特征码检测病毒;
病毒特征库同步模块(250),构造为将病毒文件特征码发送到该病毒监测模块(260)。
8.一种提取病毒文件特征码的方法(300),包括:
扫描病毒文件(10,30)确定其类型;
将该病毒文件与根据该文件的类型选取的样本文件进行对比;
根据对比的结果提取该病毒文件特征码。
9.根据权利要求8所述的提取病毒文件特征码的方法(300),其特征在于,所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括:得到包含文件块和对应第一计数器值的第一集合。
10.根据权利要求9所述的提取病毒文件特征码的方法(300),其特征在于,所述根据对比的结果提取该病毒文件特征码包括:选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码。
11.根据权利要求9所述的提取病毒文件特征码的方法(300),其特征在于,所述根据对比的结果提取该病毒文件特征码包括:选择这样的文件块组合作为病毒文件特征码,即在每个样本文件中都没有与该病毒文件的该文件块组合相同的特征块组合,其执行至少一次下面的循环步骤:
选择该第一集合中对应第一计数器值最小的文件块加入第二集合;
判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。
12.一种计算机可读介质,存储用于执行权利要求8-11任一项所述方法的计算机可读指令。
13.一种计算机程序,包括用于执行权利要求8-11任一项所述方法的计算机可读指令。
CN201110418934.3A 2011-12-15 提取病毒文件特征码的装置和方法以及病毒检测系统 Active CN103164651B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201110418934.3A CN103164651B (zh) 2011-12-15 提取病毒文件特征码的装置和方法以及病毒检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110418934.3A CN103164651B (zh) 2011-12-15 提取病毒文件特征码的装置和方法以及病毒检测系统

Publications (2)

Publication Number Publication Date
CN103164651A true CN103164651A (zh) 2013-06-19
CN103164651B CN103164651B (zh) 2016-12-14

Family

ID=

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103902904A (zh) * 2013-12-11 2014-07-02 哈尔滨安天科技股份有限公司 一种基于统计的反病毒引擎特征码评价方法及系统
CN105303108A (zh) * 2014-11-19 2016-02-03 许继集团有限公司 一种提高继电保护装置可靠性的方法
CN106485146A (zh) * 2015-09-02 2017-03-08 腾讯科技(深圳)有限公司 一种信息处理方法及服务器
WO2017190620A1 (zh) * 2016-05-04 2017-11-09 腾讯科技(深圳)有限公司 一种病毒检测方法、终端及服务器
CN108733664A (zh) * 2017-04-13 2018-11-02 腾讯科技(深圳)有限公司 一种文件归类方法及装置
CN113326589A (zh) * 2021-06-28 2021-08-31 北京南洋思源智能科技有限公司 一种敏感特征筛选方法及装置、存储介质
CN113360904A (zh) * 2021-05-17 2021-09-07 杭州美创科技有限公司 一种未知病毒检测方法及系统
WO2022012070A1 (zh) * 2020-07-14 2022-01-20 深信服科技股份有限公司 病毒特征的提取方法、系统、存储介质和终端

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030046558A1 (en) * 2001-09-06 2003-03-06 Teblyashkin Ivan Alexandrovich Automatic builder of detection and cleaning routines for computer viruses
CN101685483A (zh) * 2008-09-22 2010-03-31 成都市华为赛门铁克科技有限公司 一种病毒特征码提取的方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030046558A1 (en) * 2001-09-06 2003-03-06 Teblyashkin Ivan Alexandrovich Automatic builder of detection and cleaning routines for computer viruses
CN101685483A (zh) * 2008-09-22 2010-03-31 成都市华为赛门铁克科技有限公司 一种病毒特征码提取的方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈建等: "基于恶意软件分类的特征码提取方法", 《计算机应用》, vol. 311, 30 June 2011 (2011-06-30) *

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103902904B (zh) * 2013-12-11 2017-01-04 哈尔滨安天科技股份有限公司 一种基于统计的反病毒引擎特征码评价方法及系统
CN103902904A (zh) * 2013-12-11 2014-07-02 哈尔滨安天科技股份有限公司 一种基于统计的反病毒引擎特征码评价方法及系统
CN105303108B (zh) * 2014-11-19 2017-11-24 许继集团有限公司 一种提高继电保护装置可靠性的方法
CN105303108A (zh) * 2014-11-19 2016-02-03 许继集团有限公司 一种提高继电保护装置可靠性的方法
CN106485146A (zh) * 2015-09-02 2017-03-08 腾讯科技(深圳)有限公司 一种信息处理方法及服务器
WO2017036154A1 (zh) * 2015-09-02 2017-03-09 腾讯科技(深圳)有限公司 一种信息处理方法及服务器、计算机存储介质
CN106485146B (zh) * 2015-09-02 2019-08-13 腾讯科技(深圳)有限公司 一种信息处理方法及服务器
US11163877B2 (en) 2015-09-02 2021-11-02 Tencent Technology (Shenzhen) Company Limited Method, server, and computer storage medium for identifying virus-containing files
WO2017190620A1 (zh) * 2016-05-04 2017-11-09 腾讯科技(深圳)有限公司 一种病毒检测方法、终端及服务器
US10803171B2 (en) 2016-05-04 2020-10-13 Tencent Technology (Shenzhen) Company Limited Virus detection method, terminal and server
CN108733664A (zh) * 2017-04-13 2018-11-02 腾讯科技(深圳)有限公司 一种文件归类方法及装置
CN108733664B (zh) * 2017-04-13 2022-05-03 腾讯科技(深圳)有限公司 一种文件归类方法及装置
WO2022012070A1 (zh) * 2020-07-14 2022-01-20 深信服科技股份有限公司 病毒特征的提取方法、系统、存储介质和终端
CN113360904A (zh) * 2021-05-17 2021-09-07 杭州美创科技有限公司 一种未知病毒检测方法及系统
CN113326589A (zh) * 2021-06-28 2021-08-31 北京南洋思源智能科技有限公司 一种敏感特征筛选方法及装置、存储介质

Similar Documents

Publication Publication Date Title
KR101337874B1 (ko) 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템
US9946880B2 (en) Software vulnerability analysis method and device
US20170149830A1 (en) Apparatus and method for automatically generating detection rule
CN104506522A (zh) 漏洞扫描方法及装置
CN103955645A (zh) 恶意进程行为的检测方法、装置及系统
US11455389B2 (en) Evaluation method, information processing apparatus, and storage medium
CN112528284A (zh) 恶意程序的检测方法及装置、存储介质、电子设备
CN112039900B (zh) 网络安全风险检测方法、系统、计算机设备和存储介质
US9495542B2 (en) Software inspection system
CN111222137A (zh) 一种程序分类模型训练方法、程序分类方法及装置
CN103235912A (zh) 可信进程识别装置和可信进程识别方法
CN108234441B (zh) 确定伪造访问请求的方法、装置、电子设备和存储介质
CN107437088B (zh) 文件识别方法和装置
CN104239795A (zh) 文件的扫描方法及装置
CN102682237A (zh) 针对网络下载文件的判毒方法及系统
CN108319853B (zh) 病毒特征码处理方法及装置
US20090193411A1 (en) Method and system for assessing deployment and un-deployment of software installations
EP3767507A1 (en) Data processing method against ransomware, program for executing same, and computer-readable recording medium with program recorded thereon
CN103164651A (zh) 提取病毒文件特征码的装置和方法以及病毒检测系统
KR101885615B1 (ko) 공격 문자열 생성 방법 및 장치
CN113590181A (zh) 配置文件的校验方法、装置、设备及存储介质
CN111538481B (zh) 应用程序定制化方法及系统
CN103164651B (zh) 提取病毒文件特征码的装置和方法以及病毒检测系统
CN107846391B (zh) 应用的登录认证方法及装置、系统
CN114547590A (zh) 代码检测方法、装置及非瞬时性计算机可读存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20211229

Address after: 308 Huaibei Road, Huaibei Town, Huairou District, Beijing

Patentee after: Beijing Taixi Enterprise Management Co.,Ltd.

Address before: Munich, Germany

Patentee before: SIEMENS AG

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220818

Address after: 518057 No. 1, FA FA Road, Nanshan District science and Technology Park, Guangdong, Shenzhen

Patentee after: Wu Jun

Address before: 101408 No.308, Huaibei Road, Huaibei Town, Huairou District, Beijing

Patentee before: Beijing Taixi Enterprise Management Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230807

Address after: Room C046, 8th Floor, No. 848 Maogang Road, Huangpu District, Guangzhou City, Guangdong Province, 510623

Patentee after: Nets Technology Group Co.,Ltd.

Address before: 518057 No. 1, FA FA Road, Nanshan District science and Technology Park, Guangdong, Shenzhen

Patentee before: Wu Jun