WO2014094441A1 - 病毒检测方法及设备 - Google Patents

Abstract

一种病毒检测方法及设备，所述方法包括：接收承载有PE文件的网络数据流；根据PE文件的结构信息计算第一识别信息；将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，确定所述PE文件是否为Archive文件；若所述PE文件为Archive文件，则根据所述承载Archive文件数据部分的数据包计算第二识别信息；将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。本发明能够有效检测Archive类型的PE文件是否为病毒文件。

Description

病毒检测方法及设备 本申请要求于 2012 年 12 月 21 日提交中国专利局、 申请号为 201210560398.5、 发明名称为 "病毒检测方法及设备" 的中国专利申请的优先 权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及通讯领域， 尤其涉及一种病毒检测方法及一种病毒检测设备。

背景技术 对可移植执行 ( Portable Execute, PE )文件进行基于流的病毒检测时， 由于只需要对承载有 PE文件头的几个数据包进行重组， 并根据从 PE文件头 中提取的特征与病毒库中预先存储的已知病毒的特征进行匹配， 而无需重组 出整个文件， 与针对完整文件进行的基于特征的病毒检测方式来比， 检测的 性能较高。

PE文件头中的结构信息详细描述了 PE文件的各种属性信息， 如文件的 分块数量、 每块的数据长度、 程序起始指令地址和程序运行所需平台等信息。 对 PE文件进行检测的病毒检测方法具体为在 PE文件头中的结构信息中提取 识别信息， 其中， 识别信息可以由从上述各种属性信息中选取的若干信息组 合而成， 并将该识别信息与预先存储的病毒特征进行比较， 以检测该 PE文件 是否携带病毒。 由于 PE文件病毒占全部病毒的 95%以上， 如果能够有效控制 PE文件病毒在网络上蔓延就能极大的改善网络的安全状况。

安装包、 自解压包文件属于含有附加数据的 PE文件， 也被称为 Archive 文件， 这种文件由两部分构成， 第一部分为完整的 PE文件， 第二部分为数据 部分。 大量 Archive文件仅在数据部分不同， PE文件部分完全相同。 如果按 照现有方法在 PE文件头部的结构信息中提取识别信息，作为检测病毒文件的 依据，则会导致此病毒文件所对应的 Archive类型的文件全部都被误检测为病 毒。

目前解决上述问题的通常做法为放弃对 Archive文件的病毒检测。但病毒 文件很容易被加工成 Archive文件，如果病毒传播者利用这一特点将含有病毒 的文件制作成 Archive文件， 则现有的对 PE文件进行的基于流的病毒检测方 法将无法确定 Archive文件是否是携带病毒的病毒文件。

发明内容 本发明提供一种能够有效检测 Archive类型的 PE文件是否为病毒文件的 检测方法及相关设备。

本发明解决上述问题的病毒检测方法及设备包括：

第一方面， 提供一种病毒检测方法， 包括：

接收承载有可移植执行 PE文件的网络数据流，并根据所述网络数据流中 的数据包重组出所述 PE文件的文件头， 其中， 所述文件头中包含所述 PE文 件的结构信息；

根据所述 PE文件的结构信息计算第一识别信息；

将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 若 匹配命中， 则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应 关系，确定所述 PE文件是否为 Archive文件，其中，所述文件类型包括 Archive 文件和 PE病毒文件；

若所述 PE文件为 Archive 文件， 则从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分 的数据包计算第二识别信息；

将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行 匹配， 若匹配命中， 则确定所述 Archive文件为 Archive病毒文件。

在第一方面的第一种可能的实现方式中， 若所述 PE文件为非 Archive文 件则确定所述 PE文件为 PE病毒文件。

结合第一方面或者第一方面的第一种可能的实现方式， 在第一方面的第 二种可能的实现方式中，所述从所述网络数据流中获取承载所述 Archive文件 数据部分的数据包，并根据所述承载所述 Archive文件数据部分的数据包计算 第二识别信息， 具体包括：

从所述病毒库中预先存储的病毒识别信息与 Archive 文件形式的对应关 系中， 查询所述第一识别信息对应的 Archive文件形式， 其中， 所述 Archive 文件形式包括数据部分包含数据结构信息的 Archive 文件和数据部分不包含 数据结构信息的 Archive文件；

从所述网络数据流中获取承载所述 Archive文件数据部分的数据包； 根据所述第一识别信息对应的 Archive文件形式和所述承载所述 Archive 文件数据部分的数据包计算第二识别信息。。

结合第一方面的第二种可能的实现方式， 在第一方面的第三种可能的实 现方式中，所述根据所述第一识别信息对应的 Archive文件形式和所述承载所 述 Archive文件数据部分的数据包计算第二识别信息， 包括：

若所述第一识别信息对应的 Archive 文件形式为数据部分不包含数据结 构信息的 Archive文件，则根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，若所述第一识别信息对应的 Archive文件形式为数据部分包含数据 结构信息的 Archive文件， 则根据所述承载所述 Archive文件数据部分的数据 包， 重组得到所述 Archive文件数据部分中包含的数据结构信息， 利用哈希算 法计算重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

结合第一方面、 第一方面的第一种可能的实现方式或者第一方面的第三 种可能的实现方式， 在第一方面的第四种可能的实现方式中， 所述根据所述 PE文件的结构信息计算第一识别信息具体包括：

从所述 PE文件的结构信息中选取至少二个属性信息，并将所述至少二个 属性信息衔接成一个数据块；

利用哈希算法计算出所述数据块的哈希值， 作为所述第一识别信息。 第二方面， 提供一种病毒检测设备， 包括：

信息获取模块， 用于接收承载有可移植执行 PE文件的网络数据流， 并根 据所述网络数据流中的数据包重组出所述 PE文件的文件头， 其中， 所述文件 头中包含所述 PE文件的结构信息；

第一计算模块，用于根据所述信息获取模块获取的所述 PE文件的结构信 息计算第一识别信息；

第一判断模块， 用于将所述第一计算模块计算得到的所述第一识别信息 与病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则根据所述病 毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述 PE文件是 否为 Archive文件 , 其中， 所述文件类型包括 Archive文件和 PE病毒文件； 第二计算模块， 用于在所述第一判断模块确定出所述 PE文件为 Archive 文件时， 从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分的数据包计算第二识别信息；

第二判断模块， 用于将所述第二计算模块计算得出的所述第二识别信息 与所述病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则确定所 述 Archive文件为 Archive病毒文件。

在第二方面的第一种可能的实现方式中， 所述第一判断模块还用于， 若 所述 PE文件为非 Archive文件时 , 确定所述 PE文件为 PE病毒文件。

结合第二方面或者第二方面的第一种可能的实现方式， 在第二方面的第 二种可能的实现方式中， 所述第二计算模块包括：

文件形式判断单元， 用于从所述病毒库中预先存储的病毒识别信息与 Archive文件形式的对应关系中， 查询所述第一识别信息所对应的 Archive文 件形式， 其中， 所述文件形式包括数据部分包含数据结构信息的 Archive文件 和数据部分不包含数据结构信息的 Archive文件；

数据包获取单元，用于从所述网络数据流中获取承载所述 Archive文件数 据部分的数据包；

计算单元， 用于根据所述文件形式判断单元判断得出的所述第一识别信 息所对应的 Archive 文件形式和所述数据包获取单元获取的所述承载所述 Archive文件数据部分的数据包计算第二识别信息。

结合第二方面的第二种可能的实现方式， 在第二方面的第三种可能的实 现方式中， 所述计算单元具体用于：

在第一识别信息所对应的 Archive 文件形式为数据部分不包含数据结构 信息的 Archive文件时， 根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，在第一识别信息所对应的 Archive文件形式为数据部分包含数据结 构信息的 Archive文件时， 根据所述承载所述 Archive文件部分的数据包， 重 组得到所述 Archive文件数据部分中包含的数据结构信息，利用哈希算法计算 重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

结合第二方面、 第二方面的第一种可能或者第二方面的第三种可能的实 现方式的实现方式， 在第二方面的第四种可能的实现方式中， 所述第一计算 模块包括：

衔接单元，用于从所述信息获取模块获取的所述 PE文件的结构信息中选 取至少二个属性信息， 并将所述至少二个属性信息衔接成一个数据块；

计算单元， 用于利用哈希算法计算所述衔接单元衔接成的所述数据块的 哈希值， 作为第一识别信息。

第三方面， 提供一种病毒检测设备， 包括接收器、 存储器和处理器， 其 中：

所述接收器， 用于接收承载有可移植执行 PE文件的网络数据流； 所述存储器， 用于存储代码；

所述处理器， 用于读取所述存储器中存储的代码， 执行：

根据所述接收器接收的所述网络数据流中的数据包重组出所述 PE 文件 的文件头， 其中， 所述文件头的数据包中包含所述 PE文件的结构信息；

根据所述 PE文件的结构信息计算第一识别信息；

将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 在 匹配命中时， 根据所述病毒库中预先存储的病毒识别信息与文件类型的对应 关系，确定所述 PE文件是否为 Archive文件，其中，所述文件类型包括 Archive 文件和 PE病毒文件；

若所述 PE 文件为 Archive 文件， 从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分 的数据包计算第二识别信息；

将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹 配， 在匹配命中时， 确定所述 Archive文件为 Archive病毒文件。

在第三方面的第一种可能的实现方式中， 所述处理器执行从所述网络数 据流中获取承载所述 Archive 文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分的数据包计算第二识别信息的具体方式为：

从所述病毒库中预先存储的病毒识别信息与 Archive 文件形式的对应关 系中， 查询所述第一识别信息对应的 Archive文件形式， 其中， 所述 Archive 文件形式包括数据部分包含数据结构信息的 Archive 文件和数据部分不包含 数据结构信息的 Archive文件；

从所述网络数据流中获取承载所述 Archive文件数据部分的数据包； 根据所述第一识别信息对应的 Archive文件形式和所述承载所述 Archive 文件数据部分的数据包计算第二识别信息。

结合第三方面的第一种可能的实现方式， 在第三方面的第二种可能的实 现方式中，所述处理器执行所述根据所述第一识别信息对应的 Archive文件形 式和所述承载所述 Archive 文件数据部分的数据包计算第二识别信息的具体 方式为：

若所述第一识别信息对应的 Archive 文件形式为数据部分不包含数据结 构信息的 Archive文件，则根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，若所述第一识别信息对应的 Archive文件形式为数据部分包含数据 结构信息的 Archive文件， 则根据所述承载所述 Archive文件数据部分的数据 包， 重组得到所述 Archive文件数据部分中包含的数据结构信息， 利用哈希算 法计算重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

结合第三方面、 第三方面的第一种可能的实现方式或者第三方面的第二 种可能的实现方式， 在第三方面的第三种可能的实现方式中， 所述处理器执 行所述根据所述 PE文件的结构信息计算第一识别信息的具体方式为：

从所述 PE文件的结构信息中选取至少二个属性信息，并将所述至少二个 属性信息衔接成一个数据块；

利用哈希算法计算出所述数据块的哈希值， 作为所述第一识别信息。 对于 Archive文件， 本发明实施例在判断其是否为病毒文件时除了从 PE 文件头数据包中提取用于识别病毒特征的识别信息外，还从 Archive文件的数 据部分提取识别信息，并根据这两个识别信息来判断 Archive文件是否为病毒 文件，从而克服了现有技术无法确定 Archive文件是否是携带病毒的病毒文件 的问题， 能够有效检测 Archive类型的 PE文件是否为病毒文件。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例提供的一种病毒检测方法的流程图；

图 2是图 1实施例中数据块的示意图；

图 3是本发明实施例提供的另一种病毒检测方法的流程图；

图 4是本发明实施例提供的一种病毒检测设备的结构图；

图 5是本发明实施例提供的另一种病毒检测设备的结构图；

图 6是本发明实施例提供的又一种病毒检测设备的结构图；

图 7是本发明实施例提供的另一种病毒检测设备的结构示意图。 具体实施方式 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有作 出创造性劳动前提下所获得的所有其他实施例 , 都属于本发明保护的范围。

请参考图 1 , 图 1是本发明实施例提供的一种病毒检测方法的流程图， 该 流程的执行主体可以是网关设备， 也可以是防火墙设备、 路由器设备等可以 从网络交换节点处得到数据流的设备， 在这里不进行限定。 所述方法包括：

101、 接收承载有 PE文件的网络数据流， 并根据网络数据流中的数据包 重组出 PE文件的文件头， 其中， 文件头中包含 PE文件的结构信息。

其中，执行主体可以从网络数据流中的包含 PE文件头的数据包中重组出 PE文件的文件头。

102、 根据 PE文件的结构信息计算第一识别信息。

其中， 根据 PE文件的结构信息计算第一识别信息的实现方式可以为： 从 PE文件的结构信息所描述的各种属性信息中选取至少二个属性信息， 并将所述至少二个属性信息衔接成一个数据块； 利用哈希算法计算出上述数据块的哈希值， 作为第一识别信息。

其中， 哈希算法 （又被称为摘要算法、 杂凑算法）用于将数据运算为另 一固定长度值， 用于确保信息传输的一致和完整， 本实施例可以用哈希算法 来识别病毒。 消息摘要 5 ( Message Digest 5 , MD5 )算法是广泛使用的哈希 算法之一， 不同数据计算得出的 MD5值相同的概率非常低， 无限接近于零， 本实施例优选用 MD5算法来计算第一识别信息、第二识别信息和病毒库中已 知病毒的特征信息 （病毒识别信息）。

可选地， 本实施例选取 PE文件的结构信息中的以下属性信息：

1、 PE文件中的块数（ Number Of Section )

2、 PE文件的生成时间 （ Time Date Stamp )

3、 PE文件的程序入口点地址 (Address Of Entry Point)

4、 PE文件的数据校验值（Check sum )

5、 PE文件代码段大小 （Size Of Code )

6、 PE文件的内存映射大小 （ Size Of Image )

7、 PE文件中的已初始化数据大小 （ Size Of Initialized Data )

8、 PE文件每个块的块属性（Characteristics )

按上述顺序将上述结构信息衔接成为如图 2 所示的数据块， 并计算该数 据块的 MD5值。

103、 将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 若 匹配命中， 则根据病毒库中预先存储的病毒识别信息与文件类型的对应关系， 确定所述 PE文件是否为 Archive文件 , 其中， 文件类型包括 Archive文件和 PE病毒文件。

病毒库是一个数据文件， 病毒库中存储了目前已知病毒的特征和 Archive 文件特征， 这里统称为病毒识别信息。 这里， 已知病毒的特征是在病毒文件 中提取部分信息并计算得出的，其计算方法与步骤 102相同。同一类的 archive 文件其头部的特征是相同的，每一头部特征对应是否是 archive 文件以及是那 种 archive 文件， 这些信息也都保存在了病毒库中。 当作为第一识别信息的 MD5值与病毒库进行匹配时， 根据匹配结果可以判断进行匹配的 MD5值所 对应的 PE文件为病毒文件、 archive文件或者非病毒文件。

104、 若 PE文件为 Archive文件， 则从网络数据流中获取承载 Archive文 件数据部分的数据包，并根据承载所述 Archive文件数据部分的数据包计算第 二识别信息。

可选地，上述根据承载 Archive文件数据部分的数据包计算第二识别信息 的实现方式可以为：

从病毒库中预先存储的病毒识别信息与 Archive文件形式的对应关系中， 查询第一识别信息对应的 Archive文件形式， 其中， 所述 Archive文件形式包 括数据部分包含数据结构信息的 Archive 文件和数据部分不包含数据结构信 息的 Archive文件；

从所述网络数据流中获取承载所述 Archive文件数据部分的数据包； 根据所述第一识别信息对应的 Archive文件形式和承载所述 Archive文件 数据部分的数据包计算第二识别信息。

其中，数据部分包含数据结构信息的 Archive文件中的数据结构信息包括 数据部分的循环冗余码校验值 ( Cyclic Redundancy Check, CRC ) 以及数据部 分的大小等信息。 CRC 校验值是利用一个算法将一段数据计算得出一个数 值， 对于 Archive 文件来说就是由数据部分的数据计算得出的数值。

可选地，上述根据所述第一识别信息对应的 Archive文件形式和承载所述 Archive文件和数据部分的数据包计算第二识别信息的实现方式可以为：

若第一识别信息对应的 Archive 文件形式为数据部分不包含数据结构信 息的 Archive文件，则才艮据 载 Archive文件数据部分的数据包重组出 Archive 文件的数据部分， 利用哈希算法计算 Archive文件的数据部分的哈希值， 作为 第二识别信息；

或者，若第一识别信息对应的 Archive文件形式为数据部分包含数据结构 信息的 Archive文件， 则根据承载 Archive文件数据部分的数据包， 重组得到 Archive文件数据部分中包含的数据结构信息， 利用哈希算法计算重组得到的 数据结构信息的哈希值， 作为第二识别信息。

本实施例优先利用 MD5算法计算第二识别信息。

105、 将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配， 若 匹配命中， 则确定 Archive文件为 Archive病毒文件。

本实施在判断病毒文件时除了从 PE 文件头数据包中提取用于识别病毒 特征的识别信息外， 还从 Archive文件的数据部分提取识别信息， 并根据这两 个识别信息来判断 Archive文件是否为病毒文件，从而克服了现有技术无法确 定 Archive 文件是否是携带病毒的病毒文件的问题。 本发明能够有效检测 Archive类型的 PE文件是否为病毒文件， 提高基于流的病毒检测方法的可靠 性， 进一步改善网络的安全状况。

请参考图 3 , 图 3是本发明实施例提供的一种病毒检测方法的流程图， 包 括：

201、 接收承载有 PE文件的网络数据流。

202、 根据网络数据流中的数据包重组出 PE文件的文件头， 其中， 文件 头中包含 PE文件的结构信息。

203、 根据 PE文件的结构信息计算第一识别信息。

其中，根据 PE文件的结构信息计算第一识别信息的具体方式参考图 1实 施例这里不再赘述。

204、 将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配。

205、 判断第一识别信息与病毒识别信息是否匹配命中。

若第一识别信息与病毒识别信息匹配命中则转步骤 207,否则转步骤 206。

206、 确定 PE文件为非病毒文件。 若第一识别信息与病毒库中的任何一 条病毒识别信息都不能匹配上， 则说明 PE文件不属于已知病毒， 确定 PE文 件为非病毒文件。

207、 判断第一识别信息所对应的 PE文件是否为 Archive文件。

若第一识别信息与病毒库中的某一条病毒识别信息匹配上，则 PE文件为 病毒文件或者 Archive文件，根据病毒库中预先存储的病毒识别信息与文件类 型的对应关系可以进一步判断出 PE文件为病毒文件或者 Archive文件。若 PE 文件为 Archive文件则转步骤 209 , 否则转步骤 208。

208、确定 PE文件为 PE病毒文件。若第一识别信息与病毒库中的某一条 病毒识别信息匹配上且该 PE文件并非 Archive文件， 则确定 PE文件为病毒 文件。

209、 从网络数据流中获取承载 Archive文件数据部分的数据包， 并根据 承载数据部分的数据包计算第二识别信息。

第二识别信息的计算过程参考图 1实施例这里不再赘述。

210、 将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配。 211、 判断第二识别信息与病毒识别信息是否匹配命中。 如果命中， 进入 步骤 213; 如果没有命中， 进入步骤 212。

212、 确定 Archive文件为非病毒文件。 若第二识别信息与病毒库存中的 任一病毒识别信息不匹配， 则 Archive文件不属于已知病毒， 判断该 Archive 文件为非病毒文件。

213、 确定 Archive文件为 Archive病毒文件。 若第二识别信息与某一条 病毒识别信息匹配， 则说明 Archive文件为已知病毒中的一种， 判断 Archive 文件为 Archive病毒文件。

本实施在判断病毒文件时除了从 PE 文件头数据包中提取用于识别病毒 特征的识别信息外， 还从 Archive文件的数据部分提取识别信息， 并根据这两 个识别信息来判断 Archive文件是否为病毒文件。本发明能够有效检测 Archive 类型的 PE文件是否为病毒文件， 提高基于流的病毒检测方法的可靠性， 进一 步改善网络的安全状况。

请参考图 4, 图 4是本发明实施例提供的一种病毒检测设备的结构图， 包 括：

信息获取模块 301 , 用于接收承载可移植执行 PE文件的网络数据流， 并 根据所述网络数据流中的数据包重组出 PE文件的文件头， 其中， 文件头中包 含 PE文件的结构信息。

第一计算模块 302 , 用于根据信息获取模块 301获取的 PE文件的结构信 息计算第一识别信息。

第一判断模块 303 ,用于将第一计算模块 302计算得到的第一识别信息与 病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则根据病毒库中 预先存储的病毒识别信息与文件类型的对应关系确定 PE文件是否为 Archive 文件， 其中， 文件类型包括 Archive文件和 PE病毒文件。

其中，第一判断模块 303还用于，在判断出 PE文件为非 Archive文件时， 确定 PE文件为 PE病毒文件。

第二计算模块 304, 用于在第一判断模块 303确定出 PE文件为 Archive 文件时， 从网络数据流中获取承载 Archive文件数据部分的数据包， 并根据承 载 Archive文件数据部分的数据包计算第二识别信息。

第二判断模块 305 ,用于将第二计算模块 304计算得出的第二识别信息与 病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则确定 Archive文 件为 Archive病毒文件。

可选地， 第二计算模块 304还可以包括文件形式判断单元 3041、 数据包 获取单元 3042和计算单元 3043 , 如图 5所示， 其中：

文件形式判断单元 3041 , 用于从病毒库中预先存储的病毒识别信息与 Archive文件形式的对应关系中， 查询第一识别信息所对应的 Archive文件形 式， 其中， 文件形式包括数据部分包含数据结构信息的 Archive文件和数据部 分不包含数据结构信息的 Archive文件。

数据包获取单元 3042, 用于从网络数据流中获取承载 Archive文件数据 部分的数据包。

计算单元 3043 ,用于根据文件形式判断单元 3041判断得出的第一识别信 息所对应的 Archive文件形式和数据包获取单元 3042获取的承载 Archive文 件数据部分的数据包计算第二识别信息。

其中， 计算单元 3043具体用于：

在第一识别信息所对应的 Archive 文件形式为数据部分不包含数据结构 信息的 Archive 文件时， 根据承载 Archive 文件数据部分的数据包， 重组出 Archive文件的数据部分， 利用哈希算法计算 Archive文件的数据部分的哈希 值， 作为第二识别信息；

或者，在第一识别信息所对应的 Archive文件形式为数据部分包含数据结 构信息的 Archive 文件时， 根据承载 Archive 文件部分的数据包， 重组得到 Archive文件数据部分中包含的数据结构信息， 利用哈希算法计算重组得到的 数据结构信息的哈希值， 作为第二识别信息。

本实施例中， 哈希算法优选为 MD5算法。

其中， 第一计算模块 302还可以包括衔接单元 3021和计算单元 3022, 如 图 6所示， 其中：

衔接单元 3021 , 用于从信息获取模块 301获取的 PE文件的结构信息选 取至少二个属性信息， 并将该属性信息衔接成一个数据块。

计算单元 3022,用于利用哈希算法计算衔接单元 3021衔接成的数据块的 哈希值， 作为第一识别信息。

本实施例在判断病毒文件时除了从 PE 文件头数据包中提取用于识别病 毒特征的识别信息外， 还从 Archive文件的数据部分提取识别信息， 并根据这 两个识别信息来判断 Archive文件是否为病毒文件。从而克服了现有技术无法 确定 Archive文件是否是携带病毒的病毒文件的问题。本实施例能够有效检测 Archive 文件是否为病毒文件， 降低了病毒传播者通过将病毒文件制作成 Archive文件来逃避检测所带来的安全风险， 提高基于流的病毒检测方法的可 靠性， 进一步改善网络的安全状况。

请参考图 7 , 图 7是本发明实施例提供的一种病毒检测设备的结构图， 包 括接收器 401、 存储器 402和处理器 403 , 其中：

接收器 401 , 用于接收承载有 PE文件的网络数据流。

存储器 402, 用于存储代码。

处理器 403 , 用于从存储器 402中读取存储的代码， 执行：

根据接收器 401接收的网络数据流中的数据包重组出 PE文件的文件头， 其中， 文件头的数据包中包含 PE文件的结构信息；

根据 PE文件的结构信息计算第一识别信息；

将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 在匹配 命中时， 根据病毒库中预先存储的病毒识别信息与文件类型的对应关系， 确 定 PE文件是否为 Archive文件， 其中， 文件类型包括 Archive文件和 PE病毒 文件；

若所述 PE文件为 Archive文件， 从网络数据流中获取承载 Archive文件 数据部分的数据包，并根据承载 Archive文件数据部分的数据包计算第二识别 信息；

将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配， 在匹配 命中时， 确定 Archive文件为 Archive病毒文件。

可选地，处理器 403执行从网络数据流中获取承载 Archive文件数据部分 的数据包，并根据承载 Archive文件数据部分的数据包计算第二识别信息具体 方式可以为：

从病毒库中预先存储的病毒识别信息与 Archive文件形式的对应关系中， 查询第一识别信息对应的 Archive文件形式， 其中， Archive文件形式包括数 据部分包含数据结构信息的 Archive 文件和数据部分不包含数据结构信息的 Archive文件； 从网络数据流中获取承载 Archive文件数据部分的数据包；

根据第一识别信息对应的 Archive文件形式和承载 Archive文件数据部分 的数据包计算第二识别信息。

其中，处理器 403执行根据第一识别信息对应的 Archive文件形式和承载 Archive文件数据部分的数据包计算第二识别信息的具体方式可以为：

若第一识别信息对应的 Archive 文件形式为数据部分不包含数据结构信 息的 Archive文件 ,则才艮据 7?载 Archive文件数据部分的数据包 ,重组出 Archive 文件的数据部分， 利用哈希算法计算 Archive文件的数据部分的哈希值， 作为 第二识别信息；

或者，若第一识别信息对应的 Archive文件形式为数据部分包含数据结构 信息的 Archive文件， 则根据承载 Archive文件数据部分的数据包， 重组得到 Archive文件数据部分中包含的数据结构信息， 利用哈希算法计算重组得到的 数据结构信息的哈希值， 作为第二识别信息。

本实施例中哈希算法优选为 MD5算法。

处理器 403执行根据 PE文件的结构信息计算第一识别信息的具体方式 为：

从 PE文件的结构信息中选取至少二个属性信息，并将至少二个属性信息 衔接成一个数据块；

利用哈希算法计算出所述数据块的哈希值， 作为所述第一识别信息。 所述病毒检测设备的详细工作流程请参照前面方法实施例中的描述， 在 这里不再重复。

本实施例中的病毒检测设备在判断病毒文件时除了从 PE 文件头数据包 中提取用于识别病毒特征的识别信息外，还从 Archive文件的数据部分提取识 别信息， 并根据这两个识别信息来判断 Archive文件是否为病毒文件。 本实施 例能够有效检测 Archive类型的 PE文件是否为病毒文件， 提高基于流的病毒 检测方法的可靠性， 进一步改善网络的安全状况。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于 一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施 例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory, ROM )或随机存取存储器（ Random Access Memory, 简称 RAM ) 等。

以上所揭露的仅为本发明较佳实施例而已， 当然不能以此来限定本发明 之权利范围， 因此依本发明权利要求所作的等同变化， 仍属本发明所涵盖的 范围。

Claims

权 利 要 求

1、 一种病毒检测方法， 其特征在于， 包括：

接收承载有可移植执行 PE文件的网络数据流，并根据所述网络数据流中 的数据包重组出所述 PE文件的文件头， 其中， 所述文件头中包含所述 PE文 件的结构信息；

根据所述 PE文件的结构信息计算第一识别信息；

将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 若 匹配命中， 则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应 关系，确定所述 PE文件是否为 Archive文件，其中，所述文件类型包括 Archive 文件和 PE病毒文件；

若所述 PE文件为 Archive 文件， 则从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分 的数据包计算第二识别信息；

将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹 配， 若匹配命中， 则确定所述 Archive文件为 Archive病毒文件。

2、根据权利要求 1所述的方法，其特征在于，若所述 PE文件为非 Archive 文件， 则确定所述 PE文件为 PE病毒文件。

3、 根据权利要求 1或 2所述的方法， 其特征在于， 所述从所述网络数据 流中获取承载所述 Archive 文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分的数据包计算第二识别信息， 具体包括：

从所述病毒库中预先存储的病毒识别信息与 Archive 文件形式的对应关 系中， 查询所述第一识别信息对应的 Archive文件形式， 其中， 所述 Archive 文件形式包括数据部分包含数据结构信息的 Archive 文件和数据部分不包含 数据结构信息的 Archive文件；

从所述网络数据流中获取承载所述 Archive文件数据部分的数据包； 根据所述第一识别信息对应的 Archive文件形式和所述承载所述 Archive 文件数据部分的数据包计算第二识别信息。

4、 根据权利要求 3所述的方法， 其特征在于， 所述根据所述第一识别信 息对应的 Archive文件形式和所述 7 载所述 Archive文件数据部分的数据包计 算第二识别信息， 包括：

若所述第一识别信息对应的 Archive 文件形式为数据部分不包含数据结 构信息的 Archive文件，则根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，若所述第一识别信息对应的 Archive文件形式为数据部分包含数据 结构信息的 Archive文件， 则根据所述承载所述 Archive文件数据部分的数据 包， 重组得到所述 Archive文件数据部分中包含的数据结构信息， 利用哈希算 法计算重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

5、 根据权利要求 1、 2或 4所述的方法， 其特征在于， 所述根据所述 PE 文件的结构信息计算第一识别信息具体包括：

从所述 PE文件的结构信息中选取至少二个属性信息，并将所述至少二个 属性信息衔接成一个数据块；

利用哈希算法计算出所述数据块的哈希值， 作为所述第一识别信息。

6、 一种病毒检测设备， 其特征在于， 包括：

信息获取模块， 用于接收承载有可移植执行 PE文件的网络数据流， 并根 据所述网络数据流中的数据包重组出所述 PE文件的文件头， 其中， 所述文件 头中包含所述 PE文件的结构信息；

第一计算模块，用于根据所述信息获取模块获取的所述 PE文件的结构信 息计算第一识别信息；

第一判断模块， 用于将所述第一计算模块计算得到的所述第一识别信息 与病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则根据所述病 毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述 PE文件是 否为 Archive文件 , 其中， 所述文件类型包括 Archive文件和 PE病毒文件； 第二计算模块， 用于在所述第一判断模块确定出所述 PE文件为 Archive 文件时， 从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分的数据包计算第二识别信息；

第二判断模块， 用于将所述第二计算模块计算得出的所述第二识别信息 与所述病毒库中预先存储的病毒识别信息进行匹配， 若匹配命中， 则确定所 述 Archive文件为 Archive病毒文件。

7、根据权利要求 6所述的设备，其特征在于， 所述第一判断模块还用于， 若所述 PE文件为非 Archive文件， 确定所述 PE文件为 PE病毒文件。

8、 根据权利要求 6或 7所述的设备， 其特征在于， 所述第二计算模块包 括：

文件形式判断单元， 用于从所述病毒库中预先存储的病毒识别信息与 Archive文件形式的对应关系中， 查询所述第一识别信息所对应的 Archive文 件形式， 其中， 所述文件形式包括数据部分包含数据结构信息的 Archive文件 和数据部分不包含数据结构信息的 Archive文件；

数据包获取单元，用于从所述网络数据流中获取承载所述 Archive文件数 据部分的数据包；

计算单元， 用于根据所述文件形式判断单元判断得出的所述第一识别信 息所对应的 Archive 文件形式和所述数据包获取单元获取的所述承载所述 Archive文件数据部分的数据包计算第二识别信息。

9、 根据权利要求 8所述的设备， 其特征在于， 所述计算单元具体用于： 在第一识别信息所对应的 Archive 文件形式为数据部分不包含数据结构 信息的 Archive文件时， 根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，在第一识别信息所对应的 Archive文件形式为数据部分包含数据结 构信息的 Archive文件时， 根据所述承载所述 Archive文件部分的数据包， 重 组得到所述 Archive文件数据部分中包含的数据结构信息，利用哈希算法计算 重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

10、 根据权利要求 6、 7或 9所述的设备， 其特征在于， 所述第一计算模 块包括：

衔接单元，用于从所述信息获取模块获取的所述 PE文件的结构信息中选 取至少二个属性信息， 并将所述至少二个属性信息衔接成一个数据块；

计算单元， 用于利用哈希算法计算所述衔接单元衔接成的所述数据块的 哈希值， 作为第一识别信息。

11、 一种病毒检测设备， 其特征在于， 包括接收器、 存储器和处理器， 其中： 所述接收器， 用于接收承载有可移植执行 PE文件的网络数据流； 所述存储器， 用于存储代码；

所述处理器， 用于读取所述存储器中存储的代码， 执行：

根据所述接收器接收的所述网络数据流中的数据包重组出所述 PE 文件 的文件头， 其中， 所述文件头的数据包中包含所述 PE文件的结构信息；

根据所述 PE文件的结构信息计算第一识别信息；

将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配， 在 匹配命中时， 根据所述病毒库中预先存储的病毒识别信息与文件类型的对应 关系，确定所述 PE文件是否为 Archive文件，其中，所述文件类型包括 Archive 文件和 PE病毒文件；

若所述 PE 文件为 Archive 文件， 从所述网络数据流中获取承载所述 Archive文件数据部分的数据包， 并根据所述承载所述 Archive文件数据部分 的数据包计算第二识别信息；

将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹 配， 在匹配命中时， 确定所述 Archive文件为 Archive病毒文件。

12、 根据权利要求 11所述的设备， 其特征在于， 所述处理器执行从所述 网络数据流中获取承载所述 Archive文件数据部分的数据包，并根据所述承载 所述 Archive文件数据部分的数据包计算第二识别信息的具体方式为：

从所述病毒库中预先存储的病毒识别信息与 Archive 文件形式的对应关 系中， 查询所述第一识别信息对应的 Archive文件形式， 其中， 所述 Archive 文件形式包括数据部分包含数据结构信息的 Archive 文件和数据部分不包含 数据结构信息的 Archive文件；

从所述网络数据流中获取承载所述 Archive文件数据部分的数据包； 根据所述第一识别信息对应的 Archive文件形式和所述承载所述 Archive 文件数据部分的数据包计算第二识别信息。

13、 根据权利要求 12所述的设备， 其特征在于， 所述处理器执行所述根 据所述第一识别信息对应的 Archive文件形式和所述承载所述 Archive文件数 据部分的数据包计算第二识别信息的具体方式为：

若所述第一识别信息对应的 Archive 文件形式为数据部分不包含数据结 构信息的 Archive文件，则根据所述承载所述 Archive文件数据部分的数据包， 重组出所述 Archive文件的数据部分， 利用哈希算法计算所述 Archive文件的 数据部分的哈希值， 作为所述第二识别信息；

或者，若所述第一识别信息对应的 Archive文件形式为数据部分包含数据 结构信息的 Archive文件， 则根据所述承载所述 Archive文件数据部分的数据 包， 重组得到所述 Archive文件数据部分中包含的数据结构信息， 利用哈希算 法计算重组得到的所述数据结构信息的哈希值， 作为所述第二识别信息。

14、 根据权利要求 11至 13任一项所述的设备， 其特征在于， 所述处理 器执行所述根据所述 PE文件的结构信息计算第一识别信息的具体方式为： 从所述 PE文件的结构信息中选取至少二个属性信息，并将所述至少二个 属性信息衔接成一个数据块；

利用哈希算法计算出所述数据块的哈希值， 作为所述第一识别信息。