一种病毒数据查找方法、装置及服务器的制造方法
【技术领域】
[0001] 本发明涉及病毒数据技术领域,更具体地说,涉及一种病毒数据查找方法、装置及 服务器。
【背景技术】
[0002] 在病毒数据分析与查杀领域,病毒数据的查找是一个非常重要的环节,正确的病 毒数据的查找对于病毒数据的分析和杀死具有重要的意义;病毒数据的查找是指从海量的 数据样本中发现病毒数据。
[0003] 目前通常使用数据库的方式来进行病毒数据的查找,采用数据库的方式进行病毒 数据的查找的方式主要为:创建数据表,对数据样本不同类型的信息在数据表中创建相应 的字段;同时为了加速查找,还需要为每个字段创建数据库索引,如果字段的内容较大α匕 如字符串信息),则创建索引后的数据插入速度将较慢,从而使得病毒数据的查找速度也减 慢。
[0004] 本发明的发明人在研究和实践过程中发现,现有技术至少存在以下的技术问题: 现有使用数据库进行病毒数据查找的方式,对于具有较大内容字段的数据样本,其病毒数 据的查找速度较慢,病毒数据的查找效率较低;因此急需提供一种新的病毒数据查找方法, 以提高病毒数据的查找速度。
【发明内容】
[0005] 有鉴于此,本发明实施例提供一种病毒数据查找方法、装置及服务器,以解决现有 病毒数据查找方式所存在的对于具有较大内容字段的数据样本,其病毒数据的查找速度较 慢的问题。
[0006] 为实现上述目的,本发明实施例提供如下技术方案:
[0007] -种病毒数据查找方法,包括:
[0008] 提取样本库中的数据样本的特征信息;
[0009] 建立所提取的各特征信息与对应数据样本的对应关系;
[0010] 采用分布式搜索引擎将各个特征信息,与预置的病毒数据特征信息进行比对;
[0011] 在所提取的特征信息与所述病毒数据特征信息相匹配时,通过所述对应关系确定 与所述病毒数据特征信息相匹配的特征信息所对应的数据样本,将所确定的数据样本确定 为病毒数据。
[0012] 一种病毒数据查找装置,包括:
[0013] 特征信息提取模块,用于提取样本库中的数据样本的特征信息;
[0014] 对应关系建立模块,用于建立所提取的各特征信息与对应数据样本的对应关系;
[0015] 比对模块,用于采用分布式搜索引擎将各个特征信息,与预置的病毒数据特征信 息进行比对;
[0016] 病毒数据确定模块,用于在所提取的特征信息与所述病毒数据特征信息相匹配 时,通过所述对应关系确定与所述病毒数据特征信息相匹配的特征信息所对应的数据样 本,将所确定的数据样本确定为病毒数据。
[0017] 一种服务器,包括上述所述的病毒数据查找装置。
[0018] 基于上述技术方案,本发明实施例提供的病毒数据查找方法,通过建立所提取的 各特征信息与对应数据样本的对应关系,在所提取的特征信息与所述病毒数据特征信息相 匹配时,即可通过所建立的对应关系,确定出与所述病毒数据特征信息相匹配的特征信息 所对应的所有数据样本,从而实现快速的病毒数据的查找;即使对于具有较大内容字段的 特征信息,本发明实施例也可通过一个特征信息的比对,确定出与该特征信息所对应的数 据样本是否为病毒数据,从而提高了病毒数据的查找速度。
【附图说明】
[0019] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明 的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据 这些附图获得其他的附图。
[0020] 图1为本发明实施例提供的一种病毒数据查找方法的流程图;
[0021] 图2为本发明实施例提供的病毒数据查找方法的另一流程图;
[0022] 图3为本发明实施例提供的病毒数据查找装置的结构框图;
[0023] 图4为本发明实施例提供的对应关系建立模块的结构框图;
[0024] 图5为本发明实施例提供的病毒数据确定模块的结构框图;
[0025] 图6为本发明实施例提供的特征信息提取模块的结构框图;
[0026] 图7为本发明实施例提供的病毒数据查找装置的另一结构框图;
[0027] 图8为本发明实施例提供的服务器的硬件结构图。
【具体实施方式】
[0028] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0029] 图1为本发明实施例提供的一种病毒数据查找方法的流程图,参照图1,该方法可 以包括:
[0030] 步骤S100、提取样本库中的数据样本的特征信息;
[0031] 样本库中所存储的数据样本为待处理的数据样本,其中包括了正常的数据样本和 恶意的数据样本(病毒数据),本发明的目的即是从样本库的众多数据样本中查找出病毒数 据;
[0032] 特征信息可以是数据样本之间可以用作相互区分的特征;可选的,数据样本的特 征信息可以包括:基本信息,资源信息和程序代码信息;其中,基本信息可以如数据样本对 应的软件名,版本号,数据大小,证书,签名等;资源信息可以为数据样本对应的程序所使用 到的资源文件;程序代码信息可以如数据样本对应程序的常量字符串,属性,代码树等;
[0033] 可选的,本发明实施例可对各个数据样本的可执行程序文件进行拆解,从而得到 各个数据样本所对应的基本信息和资源信息,也可对各个数据样本的程序代码信息进行反 编译,从而得到各个数据样本所对应的程序代码信息。
[0034] 步骤S200、建立所提取的各特征信息与对应数据样本的对应关系;
[0035] 本发明实施例可建立所提取的各特征信息与对应数据样本的对应关系,由于各个 数据样本所提取的特征信息可能相同也可能不同,因此具有相同的特征信息的数据样本之 间,可通过相同的特征信息进行关联;
[0036] 可选的,本发明实施例可通过建立倒排索引的方式来建立各特征信息与对应数据 样本的对应关系,倒排索引也被称为反向索引,可用于存储在全文搜索下所提取的各特征 信息在对应的数据样本中的存储位置的映射(即建立一个映射表,以表不各个特征信息所 对应的数据样本);通过倒排索引,可以根据特征信息快速获取包含这个特征信息的数据样 本。
[0037] 步骤S300、采用分布式搜索引擎将各个特征信息,与预置的病毒数据特征信息进 行比对;
[0038] 预置的病毒数据特征信息是病毒数据的关键特征,具有病毒数据特征信息的数据 可以认为是病毒数据;
[0039] 可选的,可采用Lucen