CN112149115A - 一种病毒库的更新方法、装置、电子装置和存储介质 - Google Patents
一种病毒库的更新方法、装置、电子装置和存储介质 Download PDFInfo
- Publication number
- CN112149115A CN112149115A CN202010886649.3A CN202010886649A CN112149115A CN 112149115 A CN112149115 A CN 112149115A CN 202010886649 A CN202010886649 A CN 202010886649A CN 112149115 A CN112149115 A CN 112149115A
- Authority
- CN
- China
- Prior art keywords
- suspicious
- virus
- file
- files
- virus library
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 244
- 238000000034 method Methods 0.000 title claims abstract description 64
- 239000000284 extract Substances 0.000 claims abstract description 11
- 230000006399 behavior Effects 0.000 claims description 25
- 244000035744 Hura crepitans Species 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012545 processing Methods 0.000 claims description 16
- 238000004088 simulation Methods 0.000 claims description 14
- 238000012544 monitoring process Methods 0.000 claims description 3
- 239000002699 waste material Substances 0.000 abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 6
- 238000004891 communication Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 6
- 238000000605 extraction Methods 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000018109 developmental process Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000002131 composite material Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000002458 infectious effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请涉及一种病毒库的更新方法、装置、电子装置和存储介质,其中,该病毒库的更新方法包括:病毒引擎提取可疑文件的特征码,将特征码与病毒库的恶意特征码进行比对;在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类,以及将可疑文件上传至云中心后查杀可疑文件;在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类,推送至用户。通过本申请,解决了相关技术中病毒库更新时操作复杂和浪费时间及人力的问题,实现了在更新病毒库的场景下降低时间和人力的消耗。
Description
技术领域
本申请涉及计算机技术领域,特别是涉及一种病毒库的更新方法、装置、电子装置和存储介质。
背景技术
随着现代信息化科技的逐步发展,计算机的使用频率越来越高,因而计算机上的数据也就显得愈发重要,但是由于计算机系统的特性,存在着各种各样的漏洞,很容易被黑客及不法分子利用。计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,能影响计算机使用,能自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。病毒库是一个数据库,它里面记录着计算机病毒的种种“相貌特征”以便及时发现,绞杀它们,只有这样,杀毒程序才会区分病毒程序于一般程序,所以有时也称病毒库里的数据为“病毒特征码”。同时,由于不断会有新的病毒产生,因此病毒库是需要时常更新的,这样才能尽量保护计算机不被最新流行的病毒所侵害。在已知技术中,病毒库的更新方法主要为人为手动添加计算机病毒的恶意特征码进行查杀,只能针对专业安全分析人员对恶意文件进行分析,提取特征并且加入病毒库,用户更新后方能查杀。从提取特征到人工分析,需要消耗大量的时间和精力且存在一定的延时性以及操作复杂性。
目前针对相关技术中病毒库更新时操作复杂和浪费时间及人力的问题,尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种病毒库的更新方法、装置、电子装置和存储介质,以至少解决相关技术中病毒库更新时操作复杂和浪费时间及人力的问题。
第一方面,本申请实施例提供了一种病毒库的更新方法,所述方法包括:
病毒引擎提取可疑文件的特征码,将所述特征码与病毒库的恶意特征码进行比对;
在所述特征码与所述病毒库的恶意特征码一致的情况下,所述病毒引擎对所述特征码进行标识和对所述可疑文件进行文件类型分类,以及将所述可疑文件上传至云中心后查杀所述可疑文件;
在所述特征码与所述病毒库的恶意特征码不一致的情况下,所述病毒引擎对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户。
在其中一个实施例中,在病毒引擎提取可疑文件的特征码之前,所述方法还包括:
所述病毒引擎在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为所述可疑文件,其中,所述可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。
在其中一个实施例中,所述提取可疑文件的特征码包括:
所述病毒引擎将所述可疑文件二进制化;
所述病毒引擎读取二进制化的所述可疑文件;
所述病毒引擎截取所述可疑文件运行中的核心代码,其中,所述核心代码包括文件启动和读取写入计算机内存部分的代码;
将所述核心代码整合为所述特征码。
在其中一个实施例中,在所述病毒引擎对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户后,所述方法包括:
所述病毒引擎根据用户的操作判断所述可疑文件是否需要更新至所述病毒库;
在所述可疑文件需要更新至所述病毒库的情况下,所述病毒引擎将所述可疑文件上传至所述云中心,并查杀所述可疑文件。
在其中一个实施例中,所述病毒引擎根据用户的操作判断所述可疑文件是否需要更新至所述病毒库包括:
在用户确定所述可疑文件危害计算机正常运行的情况下,所述病毒引擎确定所述可疑文件需要更新至所述病毒库;
在用户不能确定所述可疑文件是否危害计算机正常运行的情况下,所述病毒引擎将所述可疑文件放入沙箱模拟,如果所述沙箱模拟结果表明所述可疑文件符合病毒特征,则确定所述可疑文件需要更新至所述病毒库。
在其中一个实施例中,将所述可疑文件上传至云中心后,所述方法还包括:
所述云中心分析判断所述可疑文件是否为病毒文件;
如果判断所述可疑文件是病毒文件,则所述云中心将所述可疑文件的特征码加入所述病毒库,并将所述特征码同步至云平台供用户更新所述病毒库。
第二方面,本申请实施例提供了一种病毒库的更新装置,应用于病毒引擎,其特征在于,所述装置包括:
比对模块,用于提取可疑文件的特征码,将所述特征码与病毒库的恶意特征码进行比对;
第一处理模块,用于在所述特征码与所述病毒库的恶意特征码一致的情况下,对所述特征码进行标识和对所述可疑文件进行文件类型分类,以及将所述可疑文件上传至云中心后查杀所述可疑文件;
第二处理模块,用于在所述特征码与所述病毒库的恶意特征码不一致的情况下,对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户。
在其中一些实施例中,所述装置还包括:
确定模块,用于在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为所述可疑文件,其中,所述可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面的病毒库的更新方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被所述处理器执行时实现如上述第一方面的病毒库的更新方法。
相比于相关技术,本申请实施例提供的病毒库的更新方法,通过对可疑文件的处理,解决了相关技术中病毒库更新时操作复杂和浪费时间及人力的问题,实现了对计算机病毒的防护。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的病毒库的更新方法的流程图;
图2是根据本申请优选实施例一的病毒库的更新方法的流程图;
图3是根据本申请优选实施例二的病毒库的更新方法的流程图;
图4是根据本申请优选实施例三的病毒库的更新方法的流程图;
图5是根据本申请实施例的病毒库的更新装置的结构图;
图6为根据本申请实施例的病毒库的更新设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
本实施例提供了一种病毒库的更新方法。图1是根据本申请实施例的病毒库的更新方法的流程图,如图1所示,该流程包括如下步骤:
步骤S101,病毒引擎提取可疑文件的特征码。
在本实施例中,病毒引擎将提取到的特征码与病毒库收录的恶意特征码进行比对,比对方式为以提取到的特征码遍历病毒库收录的恶意特征码,直至寻找到与提取到的特征码一致的恶意特征码。
步骤S102,将特征码与病毒库的恶意特征码进行比对。
步骤S103,在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类。
在本实施例中,病毒引擎对特征码进行了标识和对可疑文件进行文件类型分类,其中,对特征码进行了标识包括对可疑文件中特征码的位置、特征码的具体信息和可疑文件作出的可疑行为作出标识;对可疑文件进行文件类型分类包括根据可疑文件的不同类型、格式对可疑文件分类。通过上述处理操作,使得操作人员能够更加清晰地了解可疑文件的可疑点,方便后续处理能够更加高效的判断可疑文件是否为病毒文件。
步骤S104,将可疑文件上传至云中心后查杀可疑文件。
步骤S105,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类。
在本实施例中,特征码与病毒库的恶意特征码不一致说明目前节点客户端的病毒库中没有与特征码对应的恶意特征码,因此需要对可疑文件进行处理操作后推送给用户判断该可疑文件是否具有危害性,其中,在推送给用户之前首先需要对可疑文件的特征码进行标识和对可疑文件进行文件类型分类。通过上述操作将可疑文件的可疑点,可疑操作和文件类型等具体信息呈现给用户,使用户更加容易判断该可疑文件是否具有危害性,降低了用户的判断难度。
步骤S106,将可疑文件推送至用户。
在其中一些实施例中,特征码(attribute code)是指用来判断某段数据属于哪个计算机字段的代码。特征码是防毒软件从病毒样本中提取的不超过64字节且能代表病毒特征的十六进制代码,主要有单一特征码、多重特征码和复合特征码这三种类型。特征码提取的思路是:首先获取一个病毒程序的长度,根据样本长度可将文件分为若干份(分段的方法在很大程度上避免了采用单一特征码误报病毒现象的发生,也可以避免特征码过于集中造成的误报),每份选取16B或32B的特征串,若该信息是通用信息或者全零字节则舍弃,认为或随机调整偏移最后重新选取。最后,将选取出来的几段特征码及它们的偏移量存入病毒库,标示出病毒的名称即可。根据这个思路可编写出特征码提取程序实现自动提取,并保存病毒记录。在扫描病毒时,防毒软件将目标文件通过模式匹配算法与病毒库中的特征码进行比对,以确定是否感染计算机病毒。
在其中一些实施例中,在病毒引擎提取可疑文件的特征码之前,方法还包括:病毒引擎在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为可疑文件,其中,可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。在本实施例中,上述病毒引擎以后台进程的形式运行于计算机后台,实时监测计算机内存中文件和其他进程的运行情况。当监测到有文件或进程作出可疑行为时立即作出相应响应,保护计算机运行安全。
在其中一些实施例中,将可疑文件上传至云中心后,方法还包括:云中心分析判断可疑文件是否为病毒文件;如果判断可疑文件是病毒文件,则云中心将可疑文件的特征码加入病毒库,并将特征码同步至云平台供用户更新病毒库。在本实施例中,云中心在接收到各节点客户端上传的可疑文件后,通过专业技术手段和专业技术人员分析可疑文件,确定可疑文件为病毒文件后提取上述可疑文件的特征码并将其加入病毒库。之后将特征码加入云平台病毒库,所有连接至云中心的全球节点都可以下载更新新的病毒库,保证节点与云中心的病毒库保持一致,能够更加高效地更新病毒库,保护计算机不受新病毒的感染。
通过上述步骤,利用病毒引擎对可疑文件的标识和分类操作,实现了对所有可疑文件的分流处理,通过提取特征码后比对,能够与当前病毒库的恶意特征码匹配的可疑文件将有病毒引擎自动上传云中心并查杀,不能与当前病毒库的恶意特征码匹配的可疑文件将经过标识和分类处理后推送至用户进行判断,减少了用户判断可疑文件的数量,同时需要由用户判断的可疑文件都经过病毒引擎的标识分类处理,使得用户能够清楚看到可疑文件的可疑点和可疑行为,帮助用户快速正确地作出判断。
下面通过优选实施例对本申请实施例进行描述和说明。
图2是根据本申请优选实施例一的病毒库的更新方法的流程图。如图2所示,该病毒库的更新方法包括如下步骤:
步骤S201,病毒引擎将可疑文件二进制化。
在本实施例中,将可疑文件二进制化是指将可疑文件中的程序代码和数据转换为二进制格式的文件,转换的方式包括如ultra等各种具有文件格式转换功能的程序。将可疑文件二进制化有利于后续步骤对可疑文件的特征码的提取。
步骤S202,病毒引擎读取二进制化的可疑文件。
步骤S203,病毒引擎截取可疑文件运行中的核心代码,其中,核心代码包括文件启动和读取写入计算机内存部分的代码并将核心代码整合为特征码。
在本实施例中,病毒引擎在读取二进制化的可疑文件后截取核心代码。核心代码包括文件启动和读取写入计算机内存部分的代码,并且核心代码可以是可疑文件中的一部分代码也可以是多个部分的代码,包括但不限于涉及文件所记录的数据、文件的启动信息和读取写入计算机内存部分的代码。确定核心代码能够帮助病毒引擎更快速的提取可疑文件的特征码,而不用分析整个可疑文件的代码内容,能够节约提取特征码的时间。
步骤S204,将特征码与病毒库的恶意特征码进行比对。
步骤S205,在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类。
步骤S206,将可疑文件上传至云中心后查杀可疑文件。
步骤S207,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类,推送至用户。
步骤S208,将可疑文件推送至用户。
通过上述步骤对可疑文件的核心代码和特征码进行提取,能够快速确定可疑文件的可疑行为对应的特征码,能够与当前病毒库的恶意特征码匹配的可疑文件将有病毒引擎自动上传云中心并查杀,不能与当前病毒库的恶意特征码匹配的可疑文件将经过标识和分类处理后推送至用户进行判断,减少了用户判断可疑文件的数量,同时需要由用户判断的可疑文件都经过病毒引擎的标识分类处理,使得用户能够清楚看到可疑文件的可疑点和可疑行为,帮助用户快速正确地作出判断。
图3是根据本申请优选实施例二的病毒库的更新方法的流程图,如图3所示,该病毒库的更新方法包括如下步骤:
步骤S301,病毒引擎提取可疑文件的特征码。
步骤S302,将特征码与病毒库的恶意特征码进行比对。
步骤S303,在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类。
步骤S304,将可疑文件上传至云中心后查杀可疑文件。
步骤S305,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类。
步骤S306,将可疑文件推送至用户。
步骤S307,病毒引擎根据用户的操作判断可疑文件是否需要更新至病毒库。
步骤S308,在可疑文件需要更新至病毒库的情况下,病毒引擎将可疑文件上传至云中心,并查杀可疑文件。
通过上述步骤,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类,推送至用户。用户接收到病毒引擎推送的可疑文件来判断该可疑文件是否会对计算机的运行造成危害。上述推送给用户的可疑文件已经经过病毒引擎的标识和分类处理,同时将特征码与病毒库的恶意特征码不一致的可疑文件交由用户人工判断,能够降低非病毒文件被误查杀的可能性,保障用户文件数据的安全。
图4是根据本申请优选实施例三的病毒库的更新方法的流程图,如图4所示,该病毒库的更新方法包括如下步骤:
步骤S401,病毒引擎提取可疑文件的特征码。
步骤S402,将特征码与病毒库的恶意特征码进行比对。
步骤S403,在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类。
步骤S404,将可疑文件上传至云中心后查杀可疑文件。
步骤S405,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类。
步骤S406,将可疑文件推送至用户。
步骤S407,判断用户是否能确定可疑文件需要更新至病毒库。
步骤S408,在用户不能确定可疑文件是否危害计算机正常运行的情况下,病毒引擎将可疑文件放入沙箱模拟,如果沙箱模拟结果表明可疑文件符合病毒特征,则确定可疑文件需要更新至病毒库。
步骤S409,在用户确定可疑文件危害计算机正常运行的情况下,病毒引擎确定可疑文件需要更新至病毒库。
步骤S410,在可疑文件需要更新至病毒库的情况下,病毒引擎将可疑文件上传至云中心,并查杀可疑文件。
在其中一个实施例中,沙箱(Sandboxie)模拟是指一个虚拟系统程序,允许在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。沙箱创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。沙箱模拟的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。
通过上述步骤,由用户来判断可疑文件是否会对计算机运行造成危害,在用户不能判断或难以判断时病毒引擎会将可疑文件放入沙箱模拟,如果沙箱模拟结果表明可疑文件符合病毒特征且可能会对计算机运行造成危害,则确定可疑文件需要更新至病毒库。通过特征码比对、用户人工判断和沙箱模拟的三种分析方法,能够进一步降低可疑文件威胁计算机运行安全的可能性,进一步降低在防卫计算机病毒威胁的过程中误删非病毒文件的可能性,保障了计算机运行安全。
本实施例还提供了一种病毒库的更新装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例还提供了一种病毒库的更新装置,包括存储器和处理器,其特征在于,存储器中存储有计算机程序,处理器被设置为运行计算机程序以上述步骤说明中任一项病毒库的更新方法。图5是根据本申请实施例的病毒库的更新装置的结构图,如图5所示,该装置包括:
比对模块51,用于提取可疑文件的特征码,将特征码与病毒库的恶意特征码进行比对;
第一处理模块52,耦合至比对模块51,用于在特征码与病毒库的恶意特征码一致的情况下,对特征码进行标识和对可疑文件进行文件类型分类,以及将可疑文件上传至云中心后查杀可疑文件;
第二处理模块53,耦合至比对模块51,用于在特征码与病毒库的恶意特征码不一致的情况下,对可疑文件的特征码进行标识和对可疑文件进行文件类型分类,推送至用户。
在其中一个实施例中,装置还包括:确定模块,用于在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为可疑文件,其中,可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。
在其中一个实施例中,比对模块还包括:二进制化单元,用于将可疑文件二进制化;读取单元,用于读取二进制化的可疑文件;截取单元,用于截取可疑文件运行中的核心代码。
在其中一个实施例中,第二处理模块还包括:沙箱模拟子模块,用于将可疑文件放入沙箱模拟,如果沙箱模拟结果表明可疑文件符合病毒特征,则确定可疑文件需要更新至病毒库。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,病毒引擎提取可疑文件的特征码,将特征码与病毒库的恶意特征码进行比对。
S2,在特征码与病毒库的恶意特征码一致的情况下,病毒引擎对特征码进行标识和对可疑文件进行文件类型分类,以及将可疑文件上传至云中心后查杀可疑文件。
S3,在特征码与病毒库的恶意特征码不一致的情况下,病毒引擎对可疑文件的特征码进行标识和对可疑文件进行文件类型分类,推送至用户。
需要说明的是,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
本实施例还提供了一种病毒库的更新存储介质,存储介质中存储有计算机程序,其中,计算机程序被设置为运行时执行以上步骤中任一项病毒库的更新方法。
另外,结合图1描述的本申请实施例病毒库的更新方法可以由病毒库的更新设备来实现。图6为根据本申请实施例的病毒库的更新设备的硬件结构示意图。
病毒库的更新设备可以包括处理器61以及存储有计算机程序指令的存储器62。
具体地,上述处理器61可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器62可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器62可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器62可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器62可在数据处理装置的内部或外部。在特定实施例中,存储器62是非易失性(Non-Volatile)存储器。在特定实施例中,存储器62包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器62可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器61所执行的可能的计算机程序指令。
处理器61通过读取并执行存储器62中存储的计算机程序指令,以实现上述实施例中的任意一种病毒库的更新方法。
在其中一些实施例中,病毒库的更新设备还可包括通信接口63和总线60。其中,如图6所示,处理器61、存储器62、通信接口63通过总线60连接并完成相互间的通信。
通信接口63用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信接口63还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线60包括硬件、软件或两者,将病毒库的更新设备的部件彼此耦接在一起。总线60包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线60可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线60可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该病毒库的更新设备可以基于获取到的数据信息,执行本申请实施例中的病毒库的更新方法,从而实现结合图1描述的一种病毒库的更新方法。
另外,结合上述实施例中的病毒库的更新方法,本申请实施例可提供一种存储介质来实现。该存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种病毒库的更新方法。
综上所述,通过本申请提供的上述实施例或者优选实施方式,有如下有益效果:
1.本申请支持所有用户进行恶意文件的上传,并且可以对恶意文件进行标识分类。
2.本申请的云上病毒引擎能够自动识别恶意特征位置进行分析确定是否加入病毒库进行查杀,避免了专业技术人员和运行维护人员的人工分析,减少人力资源消耗。
3.本申请的用户能够通过与云中心的网络连接快速获取全球病毒威胁信息,具有时效性强,延迟小的特点。
4.本申请能够快速进行恶意文件分析和特征码提取,相较于人工提取特征码准确度更高且消耗的时间更少。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种病毒库的更新方法,其特征在于,所述方法包括:
病毒引擎提取可疑文件的特征码,将所述特征码与病毒库的恶意特征码进行比对;
在所述特征码与所述病毒库的恶意特征码一致的情况下,所述病毒引擎对所述特征码进行标识和对所述可疑文件进行文件类型分类,以及将所述可疑文件上传至云中心后查杀所述可疑文件;
在所述特征码与所述病毒库的恶意特征码不一致的情况下,所述病毒引擎对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户。
2.根据权利要求1所述的一种病毒库的更新方法,其特征在于,在病毒引擎提取可疑文件的特征码之前,所述方法还包括:
所述病毒引擎在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为所述可疑文件,其中,所述可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。
3.根据权利要求1所述的一种病毒库的更新方法,其特征在于,所述提取可疑文件的特征码包括:
所述病毒引擎将所述可疑文件二进制化;
所述病毒引擎读取二进制化的所述可疑文件;
所述病毒引擎截取所述可疑文件运行中的核心代码,其中,所述核心代码包括文件启动和读取写入计算机内存部分的代码;
将所述核心代码整合为所述特征码。
4.根据权利要求1所述的一种病毒库的更新方法,其特征在于,在所述病毒引擎对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户后,所述方法包括:
所述病毒引擎根据用户的操作判断所述可疑文件是否需要更新至所述病毒库;
在所述可疑文件需要更新至所述病毒库的情况下,所述病毒引擎将所述可疑文件上传至所述云中心,并查杀所述可疑文件。
5.根据权利要求4所述的一种病毒库的更新方法,其特征在于,所述病毒引擎根据用户的操作判断所述可疑文件是否需要更新至所述病毒库包括:
在用户确定所述可疑文件危害计算机正常运行的情况下,所述病毒引擎确定所述可疑文件需要更新至所述病毒库;
在用户不能确定所述可疑文件是否危害计算机正常运行的情况下,所述病毒引擎将所述可疑文件放入沙箱模拟,如果所述沙箱模拟的结果表明所述可疑文件符合病毒特征,则确定所述可疑文件需要更新至所述病毒库。
6.根据权利要求1所述的一种病毒库的更新方法,其特征在于,将所述可疑文件上传至云中心后,所述方法还包括:
所述云中心分析判断所述可疑文件是否为病毒文件;
如果判断所述可疑文件是病毒文件,则所述云中心将所述可疑文件的特征码加入所述病毒库,并将所述特征码同步至云平台供用户更新所述病毒库。
7.一种病毒库的更新装置,应用于病毒引擎,其特征在于,所述装置包括:
比对模块,用于提取可疑文件的特征码,将所述特征码与病毒库的恶意特征码进行比对;
第一处理模块,用于在所述特征码与所述病毒库的恶意特征码一致的情况下,对所述特征码进行标识和对所述可疑文件进行文件类型分类,以及将所述可疑文件上传至云中心后查杀所述可疑文件;
第二处理模块,用于在所述特征码与所述病毒库的恶意特征码不一致的情况下,对所述可疑文件的所述特征码进行标识和对所述可疑文件进行文件类型分类,推送至用户。
8.根据权利要求7所述的一种病毒库的更新装置,其特征在于,所述装置还包括:
确定模块,用于在后台监测所有文件是否有可疑行为,并确定有可疑行为的文件为所述可疑文件,其中,所述可疑行为包括以下至少之一:更改计算机系统设置、读取其他文件信息、自我复制。
9.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6中任一项所述的一种病毒库的更新方法。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6中任一项所述的一种病毒库的更新方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886649.3A CN112149115A (zh) | 2020-08-28 | 2020-08-28 | 一种病毒库的更新方法、装置、电子装置和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010886649.3A CN112149115A (zh) | 2020-08-28 | 2020-08-28 | 一种病毒库的更新方法、装置、电子装置和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112149115A true CN112149115A (zh) | 2020-12-29 |
Family
ID=73890008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010886649.3A Pending CN112149115A (zh) | 2020-08-28 | 2020-08-28 | 一种病毒库的更新方法、装置、电子装置和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112149115A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711432A (zh) * | 2020-12-31 | 2021-04-27 | 北京安博通科技股份有限公司 | 用于网络安全设备的特征库升级方法及装置 |
| CN115905271A (zh) * | 2023-01-06 | 2023-04-04 | 北京云海协同科技有限公司 | 一种病毒库更新方法、装置及多引擎检测系统 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801033A (zh) * | 2005-11-17 | 2006-07-12 | 珠海金山软件股份有限公司 | 一种基于数据流的计算机病毒查杀方法 |
| CN101079689A (zh) * | 2006-05-26 | 2007-11-28 | 上海晨兴电子科技有限公司 | 对手机接收数据进行病毒扫描和处理的方法及装置 |
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
| CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
| CN102915421A (zh) * | 2011-08-04 | 2013-02-06 | 腾讯科技(深圳)有限公司 | 文件的扫描方法及系统 |
| CN105224870A (zh) * | 2015-09-15 | 2016-01-06 | 百度在线网络技术(北京)有限公司 | 可疑病毒应用上传的方法和装置 |
| CN105262739A (zh) * | 2015-09-25 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 安全防御方法、终端、服务器及系统 |
| CN106203102A (zh) * | 2015-05-06 | 2016-12-07 | 北京金山安全管理系统技术有限公司 | 一种全网终端的病毒查杀方法及装置 |
| CN107577940A (zh) * | 2017-08-07 | 2018-01-12 | 北京金山安全管理系统技术有限公司 | 病毒扫描方法和装置 |
| CN107832613A (zh) * | 2017-11-25 | 2018-03-23 | 四川兴昌盛科技有限公司 | 一种计算机病毒处理方法 |
| CN109960928A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
| CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及系统 |
| US20200097656A1 (en) * | 2018-09-26 | 2020-03-26 | Mcafee, Llc | Identification of malware |
-
2020
- 2020-08-28 CN CN202010886649.3A patent/CN112149115A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801033A (zh) * | 2005-11-17 | 2006-07-12 | 珠海金山软件股份有限公司 | 一种基于数据流的计算机病毒查杀方法 |
| CN101079689A (zh) * | 2006-05-26 | 2007-11-28 | 上海晨兴电子科技有限公司 | 对手机接收数据进行病毒扫描和处理的方法及装置 |
| US20080066179A1 (en) * | 2006-09-11 | 2008-03-13 | Fujian Eastern Micropoint Info-Tech Co., Ltd. | Antivirus protection system and method for computers |
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
| CN102893289A (zh) * | 2010-03-15 | 2013-01-23 | F-赛酷公司 | 恶意软件保护 |
| CN102915421A (zh) * | 2011-08-04 | 2013-02-06 | 腾讯科技(深圳)有限公司 | 文件的扫描方法及系统 |
| CN106203102A (zh) * | 2015-05-06 | 2016-12-07 | 北京金山安全管理系统技术有限公司 | 一种全网终端的病毒查杀方法及装置 |
| CN105224870A (zh) * | 2015-09-15 | 2016-01-06 | 百度在线网络技术(北京)有限公司 | 可疑病毒应用上传的方法和装置 |
| CN105262739A (zh) * | 2015-09-25 | 2016-01-20 | 上海斐讯数据通信技术有限公司 | 安全防御方法、终端、服务器及系统 |
| CN107577940A (zh) * | 2017-08-07 | 2018-01-12 | 北京金山安全管理系统技术有限公司 | 病毒扫描方法和装置 |
| CN107832613A (zh) * | 2017-11-25 | 2018-03-23 | 四川兴昌盛科技有限公司 | 一种计算机病毒处理方法 |
| CN109960928A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
| US20200097656A1 (en) * | 2018-09-26 | 2020-03-26 | Mcafee, Llc | Identification of malware |
| CN110688658A (zh) * | 2019-10-09 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 未知病毒感染追溯方法、装置及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112711432A (zh) * | 2020-12-31 | 2021-04-27 | 北京安博通科技股份有限公司 | 用于网络安全设备的特征库升级方法及装置 |
| CN115905271A (zh) * | 2023-01-06 | 2023-04-04 | 北京云海协同科技有限公司 | 一种病毒库更新方法、装置及多引擎检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10417420B2 (en) | Malware detection and classification based on memory semantic analysis | |
| US10491627B1 (en) | Advanced malware detection using similarity analysis | |
| RU2613535C1 (ru) | Способ обнаружения вредоносных программ и элементов | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN112134897B (zh) | 网络攻击数据的处理方法和装置 | |
| US11544575B2 (en) | Machine-learning based approach for malware sample clustering | |
| US9992216B2 (en) | Identifying malicious executables by analyzing proxy logs | |
| CN110768949B (zh) | 探测漏洞的方法及装置、存储介质、电子装置 | |
| CN111385270A (zh) | 基于waf的网络攻击检测方法及装置 | |
| US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| KR101816045B1 (ko) | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 | |
| CN114386032A (zh) | 电力物联网设备的固件检测系统及方法 | |
| CN112149115A (zh) | 一种病毒库的更新方法、装置、电子装置和存储介质 | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| US9781155B1 (en) | Detecting unwanted intrusions into an information network | |
| JP7166969B2 (ja) | ルータ攻撃検出装置、ルータ攻撃検出プログラム及びルータ攻撃検出方法 | |
| RU2747464C2 (ru) | Способ обнаружения вредоносных файлов на основании фрагментов файлов | |
| CN117150488A (zh) | 一种基于时序分析与内存取证的离地攻击检测方法及系统 | |
| KR102415494B1 (ko) | 에뮬레이션 기반의 임베디드 기기 취약점 점검 및 검증 방법 | |
| CN116170186A (zh) | 基于网络流量分析的攻击代码在线检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201229 |