用于文件病毒檢測的特征獲取方法及文件病毒檢測的方法
【技術領域】
[0001 ] 本發明涉及網絡安全技術領域,尤其涉及一種用于文件病毒檢測的特征獲取方法及文件病毒檢測的方法、裝置。
【背景技術】
[0002]隨著計算機技術的快速發展和普及,大量的惡意文件(病毒)也隨之滋生,從而嚴重影響了計算機技術的安全應用,造成嚴重的計算機安全隱患。目前,對惡意文件的檢測且減少對非惡意文件的誤報,大多采用MD5白名單技術,該技術是通過對每個非惡意文件生成一個MD5值作為標識,通過該標識阻止引擎對白名單中的文件作出惡意文件病毒檢測結果,從而達到減少誤報的目的。發明人發現,由于MD5白名單是通過將文件與標識進行一對一的比較,并不能通過同一特征來標識一批相似文件,隨著文件特征的多元化,MD5白名單臃腫龐大,另外,由于MD5白名單不可能包括所有文件的標識,從而不能避免未知文件被誤報。
【發明內容】
[0003]本發明的實施例提供一種用于文件病毒檢測的特征獲取方法及文件病毒檢測的方法、裝置,實現在保護已知文件的同時,避免未知文件被誤報。
[0004]為達到上述目的,本發明的實施例采用如下技術方案:
[0005]一種用于文件病毒檢測的特征獲取方法,該方法包括:
[0006]在樣本文件的設定位置提取多個第一子特征,所述多個第一子特征形成第一特征向量。
[0007]根據多個第二子特征的位置信息對所述多個第一子特征進行重新組合,得到第二特征向量。
[0008]如果在第一特征庫中未查詢到所述第二特征向量中所包含的子特征,將所述第二特征向量作為所述樣本文件的標識特征加入第二特征庫。
[0009]一種文件病毒檢測的方法,該方法包括:
[0010]獲取待測文件的特征信息。
[0011]確定所述待測文件的特征信息是否在第二特征庫中,所述第二特征庫通過上述用于文件病毒檢測的特征獲取方法獲取到。
[0012]如果所述待測文件的特征信息不在所述第二特征庫中,對所述特征信息進行啟發式鑒定。
[0013]如果所述待測文件的特征信息在所述第二特征庫中,確定所述待測文件為非惡意文件。
[0014]一種用于文件病毒檢測的特征獲取裝置,該裝置包括:
[0015]第一獲取模塊,用于在樣本文件的設定位置提取多個第一子特征,所述多個第一子特征形成第一特征向量。
[0016]第二獲取模塊,用于根據多個第二子特征的位置信息對所述多個第一子特征進行重新組合,得到第二特征向量。
[0017]第一更新模塊,用于如果在第一特征庫中未查詢到所述第二特征向量中所包含的子特征,將所述第二特征向量作為所述樣本文件的標識特征加入第二特征庫。
[0018]一種文件病毒檢測的裝置,該裝置包括:
[0019]第四獲取模塊,用于獲取待測文件的特征信息;
[0020]第一確定模塊,用于確定所述待測文件的特征信息是否在第二特征庫中,所述第二特征庫通過上述技術方案所述的用于文件病毒檢測的特征獲取裝置獲取到;
[0021]啟發式鑒定模塊,用于如果所述第一確定模塊確定所述待測文件的特征信息不在所述第二特征庫中,對所述特征信息進行啟發式鑒定;
[0022]第二確定模塊,用于如果所述第一確定模塊確定所述待測文件的特征信息在所述第二特征庫中,確定所述待測文件為非惡意文件。
[0023]本發明實施例提供的用于文件病毒檢測的特征獲取方法及文件病毒檢測的方法、裝置,通過用于文件病毒檢測的特征獲取方法及裝置文件病毒檢測獲取文件特征,若該文件特征不在第一特征庫中,將該文件特征作為文件的標識特征加入第二特征庫,實現對第二特征庫的不斷更新;文件病毒檢測的方法及裝置文件病毒檢測基于所述用于文件病毒檢測的特征獲取方法文件病毒檢測及裝置以及其更新的第二特征庫,獲取待測文件的特征信息,并對待測文件進行檢測,從而避免未知文件被誤報,降低文件誤報率。
【附圖說明】
[0024]圖1為本發明實施例的用于文件病毒檢測的特征獲取方法流程圖。
[0025]圖2為本發明實施例的離線標識特征獲取方法流程圖。
[0026]圖3為本發明實施例的在線標識特征獲取方法流程圖。
[0027]圖4為本發明實施例的文件病毒檢測的方法流程圖。
[0028]圖5為本發明一實施例的用于文件病毒檢測的特征獲取裝置的結構示意圖。
[0029]圖6為本發明另一實施例的用于文件病毒檢測的特征獲取裝置的結構示意圖。
[0030]圖7為本發明一實施例的文件病毒檢測的裝置結構示意圖。
[0031]圖8為本發明實施例的用于文件病毒檢測的第二特征庫生成過程示意圖。
[0032]圖9為本發明實施例的離線標識特征示例性更新過程示意圖。
[0033]圖10為本發明實施例的在線標識特征示例性更新過程示意圖。
[0034]圖11為本發明實施例的文件病毒檢測的示例性鑒定過程示意圖。
[0035]圖12為本發明實施例的文件病毒檢測的示例性學習過程示意圖。
【具體實施方式】
[0036]下面結合附圖對本發明實施例用于文件病毒檢測的特征獲取方法及文件病毒檢測的方法、裝置進行詳細描述。
[0037]圖1示出了本發明實施例的用于文件病毒檢測的特征獲取方法流程圖。參照圖1,用于文件病毒檢測的特征獲取方法包括如下步驟:
[0038]步驟101,在樣本文件的設定位置提取多個第一子特征,該多個第一子特征形成第一特征向量,執行步驟102。
[0039]步驟102,根據多個第二子特征的位置信息對步驟101中形成的多個第一子特征進行重新組合,得到第二特征向量,執行步驟103。
[0040]例如,可以通過特征優先表記錄N個設定位置;在一個實施例中,在一樣本文件的N個設定位置上提取N個第一子特征(例如,N個預定位置分別為a1、a2、a3、……、aN,從這N個位置處提取N個第一子特征Ap A2, A3,……、An),形成第一特征向量,根據優先指針指向特征優先表的位置,從N個第一子特征中選取M個第二子特征(其中,N〉=M)進行重新組合,例如,當前優先指針指向特征優先表中的as、a9、……、as+M,從該M個位置處獲取第二子特征Ag、Ag、......、A_,得到第二特征向量。
[0041]步驟103,確定是否能在第一特征庫中查找到第二特征向量中所包含的多個子特征,如果否,則執行步驟104,如果是,則執行步驟105。
[0042]步驟104,將第二特征向量作為樣本文件的標識特征加入第二特征庫。
[0043]步驟105,重新調整多個第二子特征的位置信息,得到多個第二子特征對應的新的位置信息(例如,移動特征優先表的順序,得到第二特征向量的對應的特征優先表的位置為as+M,現在可以將特征優先表移動至位置a9+M處),執行步驟106。
[0044]步驟106,根據新的位置信息對多個第一子特征進行重新組合,得到第三特征向量,執行步驟107。
[0045]例如,在第一特征庫中查找到前述M個第二子特征組合得到的第二特征向量,則移動優先指針指向特征