一种病毒检测方法及病毒检测引擎的制作方法
【专利摘要】本发明实施例公开一种病毒检测方法及病毒检测引擎,应用于病毒检测领域,能够解决现有的病毒检测耗时大效率低的问题。该方法包括:接收应用文件,其中应用文件中包括证书文件;从应用文件的证书文件中抽取证书签名,证书签名和证书文件一一对应,将证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒。本发明的实施例应用于病毒检测。
【专利说明】一种病毒检测方法及病毒检测弓I擎
【技术领域】
[0001]本发明涉及病毒检测领域,尤其涉及一种病毒检测方法及病毒检测引擎。
【背景技术】
[0002]特征码,是一种特征信息,通常是从一种病毒代码中提取的连续的不含空格的字符串,并作为此类病毒的特征记录保存在病毒库中。在病毒发展的早期,特征码技术在对抗病毒方面发挥了巨大的作用,它今天依然是整个反病毒体制的最基本支撑技术。但现在变形技术已经被病毒广泛采用,对病毒库中没有特征码的病毒几乎不能检测。
[0003]现有病毒检测弓I擎通常根据某些病毒的特征信息进行的匹配检测,匹配检测需要对应用可执行文件进行解析,而应用可执行文件的大小一般很大,因此在对可执行文件进行解析与特征抽取时所需的计算量很大,因此耗时比较大,效率较低。
【发明内容】
[0004]本发明实施例提供一种病毒检测方法及病毒检测引擎,以解决现有的病毒检测耗时大效率低的问题。
[0005]本发明的第一方面提供一种病毒检测方法,包括:接收应用文件,其中所述应用文件中包括证书文件;从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
[0006]根据第一方面,在第一种可能的实现方式中,所述根据匹配结果判断所述应用文件是否为病毒,包括:若所述匹配结果为匹配,则所述应用文件是为病毒;若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
[0007]根据第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据所述特征信息判断所述应用文件是否为病毒,包括:
[0008]提取所述证书文件的特征信息;将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
[0009]本发明的第二方面提供一种病毒检测引擎,包括:
[0010]接收模块,用于接收应用文件,其中所述应用文件中包括证书文件;
[0011]匹配模块,用于从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
[0012]根据第一方面,在第一种可能的实现方式中,所述匹配模块包括:
[0013]第一判断子模块,用于若所述匹配结果为匹配,则判断所述应用文件是为病毒;
[0014]第二判断子模块,用于若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
[0015]根据第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第二判断子模块,包括:
[0016]提取子模块,用于提取所述证书文件的特征信息;
[0017]格式处理子模块,用于将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;
[0018]第三判断子模块,用于将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
[0019]本发明实施例提供的病毒检测方法及病毒检测引擎,通过对从证书文件抽取的证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒,极大的减少了耗时,提高了病毒检测效率。
【专利附图】
【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
[0021]图1为本发明实施例提供的一种病毒引擎检测方法的流程示意图;
[0022]图2为本发明实施例提供的一种病毒检测引擎的结构示意图。
【具体实施方式】
[0023]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
[0024]图1为本发明实施例提供的一种病毒检测方法的流程示意图,该方法通常由病毒检测引擎执行,参考图1,该方法主要包括以下步骤:
[0025]10、接收应用文件,其中应用文件中包括证书文件。
[0026]其中,应用文件通常为可执行文件、音乐或视频等文件,例如APP。证书文件携带应用开发者的相关信息,包括证书颁发者、证书持有者、证书有效期等信息。证书文件包含在接收到的应用文件中。
[0027]20、从应用证书的证书文件中抽取证书签名,证书签名和证书文件一一对应,将证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒。
[0028]证书签名可以作为一个证书文件的唯一标识,证书签名包含在一个证书文件所携带的内容信息中。
[0029]内容信息是指证书文件的内容信息,将证书文件按照字节流的方式读取,并按照其相应的证书格式提取其中特定的某一部分字节作为该证书的标识(证书内容信息提取一般根据证书格式实现)。
[0030]证书文件存在于应用文件包中,具有特定的文件后缀名(如.cert,.crt, RSA,.P12等),证书文件的抽取一般通过读取该特定的文件后缀名。
[0031]抽取证书签名可以采用选取标准的摘要算法(如MD5),形成证书信息摘要,作为此证书的唯一标识。另一种方法是对应用文件内容信息的提取,该种方法是根据证书文件的格式,选取证书文件中的某一部分作为该证书文件的唯一标识。
[0032]传统的病毒检测引擎需要对应用文件进行解析,而应用文件的大小一般要比证书文件大得多,因此在对应用文件进行解析与特征抽取时所需的计算量要远大于对于证书文件的解析。而且,应用文件的大小也对应于应用功能,一般来说应用功能越强大,那么其可执行文件也就越大。而应用的证书文件具有固定格式,文件大小不会随着应用功能的大小而有很大差别。本实施例,通过对从证书文件抽取的证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒,极大的减少了耗时,提高了病毒检测效率。
[0033]具体地,步骤20中,根据匹配结果判断应用文件是否为病毒,包括:
[0034]若匹配结果为匹配,则应用文件是为病毒;
[0035]若匹配结果为不匹配,则提取证书文件的特征信息,根据特征信息判断应用文件是否为病毒。
[0036]可选地,根据特征信息判断应用文件是否为病毒,包括:
[0037]201、提取证书文件的特征信息。
[0038]202、将特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求。
[0039]203、将经过格式化处理的特征信息与病毒库进行匹配;若匹配结果为匹配,则判断应用文件是为病毒。
[0040]其中,抽取的内容可以根据需要,对应用文件解析后的信息提取特征区域的字符串作为特征信息,证书所有者、发布者、有效日期、序列号也可以作为特征信息,但是病毒检测匹配中的特征信息必须具有唯一性,需选用证书MD5等信息。
[0041]对提取后的应用文件的特征信息进行格式化处理。
[0042]格式化处理是依照特定的环境要求,例如,依赖于特征库的存储范式,构造指定程序对提取到的信息进行处理。将所有提取的证书文件格式统一化处理,形成证书文件与特征信息的映射关系,例如建立存储范式如表1:
[0043]表1格式化存储范式示意
[0044]
【权利要求】
1.一种病毒检测方法,其特征在于,包括: 接收应用文件,其中所述应用文件中包括证书文件; 从所述应用文件的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
2.根据权利要求1所述的方法,其特征在于,所述根据匹配结果判断所述应用文件是否为病毒,包括: 若所述匹配结果为匹配,则所述应用文件是为病毒; 若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
3.根据权利要求2所述的方法,其特征在于,所述根据所述特征信息判断所述应用文件是否为病毒,包括: 提取所述证书文件的特征信息; 将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求; 将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
4.一种病毒检测引擎,其特征在于,包括: 接收模块,用于接收应用文件,其中所述应用文件中包括证书文件; 匹配模块,用于从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
5.根据权利要求4所述的病毒检测引擎,其特征在于,所述匹配模块包括: 第一判断子模块,用于若所述匹配结果为匹配,则判断所述应用文件是为病毒; 第二判断子模块,用于若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
6.根据权利要求5所述的病毒检测引擎,其特征在于,所述第二判断子模块,包括: 提取子模块,用于提取所述证书文件的特征信息; 格式处理子模块,用于将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求; 第三判断子模块,用于将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
【文档编号】G06F21/56GK104200163SQ201410428004
【公开日】2014年12月10日 申请日期:2014年8月27日 优先权日:2014年8月27日
【发明者】李 根, 孙云霄, 王佰玲, 刘扬, 王孝朋, 何辉 申请人:哈尔滨工业大学(威海)