用于文件病毒检测的特征获取方法及文件病毒检测的方法
【技术领域】
[0001 ] 本发明涉及网络安全技术领域,尤其涉及一种用于文件病毒检测的特征获取方法及文件病毒检测的方法、装置。
【背景技术】
[0002]随着计算机技术的快速发展和普及,大量的恶意文件(病毒)也随之滋生,从而严重影响了计算机技术的安全应用,造成严重的计算机安全隐患。目前,对恶意文件的检测且减少对非恶意文件的误报,大多采用MD5白名单技术,该技术是通过对每个非恶意文件生成一个MD5值作为标识,通过该标识阻止引擎对白名单中的文件作出恶意文件病毒检测结果,从而达到减少误报的目的。发明人发现,由于MD5白名单是通过将文件与标识进行一对一的比较,并不能通过同一特征来标识一批相似文件,随着文件特征的多元化,MD5白名单臃肿庞大,另外,由于MD5白名单不可能包括所有文件的标识,从而不能避免未知文件被误报。
【发明内容】
[0003]本发明的实施例提供一种用于文件病毒检测的特征获取方法及文件病毒检测的方法、装置,实现在保护已知文件的同时,避免未知文件被误报。
[0004]为达到上述目的,本发明的实施例采用如下技术方案:
[0005]一种用于文件病毒检测的特征获取方法,该方法包括:
[0006]在样本文件的设定位置提取多个第一子特征,所述多个第一子特征形成第一特征向量。
[0007]根据多个第二子特征的位置信息对所述多个第一子特征进行重新组合,得到第二特征向量。
[0008]如果在第一特征库中未查询到所述第二特征向量中所包含的子特征,将所述第二特征向量作为所述样本文件的标识特征加入第二特征库。
[0009]一种文件病毒检测的方法,该方法包括:
[0010]获取待测文件的特征信息。
[0011]确定所述待测文件的特征信息是否在第二特征库中,所述第二特征库通过上述用于文件病毒检测的特征获取方法获取到。
[0012]如果所述待测文件的特征信息不在所述第二特征库中,对所述特征信息进行启发式鉴定。
[0013]如果所述待测文件的特征信息在所述第二特征库中,确定所述待测文件为非恶意文件。
[0014]一种用于文件病毒检测的特征获取装置,该装置包括:
[0015]第一获取模块,用于在样本文件的设定位置提取多个第一子特征,所述多个第一子特征形成第一特征向量。
[0016]第二获取模块,用于根据多个第二子特征的位置信息对所述多个第一子特征进行重新组合,得到第二特征向量。
[0017]第一更新模块,用于如果在第一特征库中未查询到所述第二特征向量中所包含的子特征,将所述第二特征向量作为所述样本文件的标识特征加入第二特征库。
[0018]一种文件病毒检测的装置,该装置包括:
[0019]第四获取模块,用于获取待测文件的特征信息;
[0020]第一确定模块,用于确定所述待测文件的特征信息是否在第二特征库中,所述第二特征库通过上述技术方案所述的用于文件病毒检测的特征获取装置获取到;
[0021]启发式鉴定模块,用于如果所述第一确定模块确定所述待测文件的特征信息不在所述第二特征库中,对所述特征信息进行启发式鉴定;
[0022]第二确定模块,用于如果所述第一确定模块确定所述待测文件的特征信息在所述第二特征库中,确定所述待测文件为非恶意文件。
[0023]本发明实施例提供的用于文件病毒检测的特征获取方法及文件病毒检测的方法、装置,通过用于文件病毒检测的特征获取方法及装置文件病毒检测获取文件特征,若该文件特征不在第一特征库中,将该文件特征作为文件的标识特征加入第二特征库,实现对第二特征库的不断更新;文件病毒检测的方法及装置文件病毒检测基于所述用于文件病毒检测的特征获取方法文件病毒检测及装置以及其更新的第二特征库,获取待测文件的特征信息,并对待测文件进行检测,从而避免未知文件被误报,降低文件误报率。
【附图说明】
[0024]图1为本发明实施例的用于文件病毒检测的特征获取方法流程图。
[0025]图2为本发明实施例的离线标识特征获取方法流程图。
[0026]图3为本发明实施例的在线标识特征获取方法流程图。
[0027]图4为本发明实施例的文件病毒检测的方法流程图。
[0028]图5为本发明一实施例的用于文件病毒检测的特征获取装置的结构示意图。
[0029]图6为本发明另一实施例的用于文件病毒检测的特征获取装置的结构示意图。
[0030]图7为本发明一实施例的文件病毒检测的装置结构示意图。
[0031]图8为本发明实施例的用于文件病毒检测的第二特征库生成过程示意图。
[0032]图9为本发明实施例的离线标识特征示例性更新过程示意图。
[0033]图10为本发明实施例的在线标识特征示例性更新过程示意图。
[0034]图11为本发明实施例的文件病毒检测的示例性鉴定过程示意图。
[0035]图12为本发明实施例的文件病毒检测的示例性学习过程示意图。
【具体实施方式】
[0036]下面结合附图对本发明实施例用于文件病毒检测的特征获取方法及文件病毒检测的方法、装置进行详细描述。
[0037]图1示出了本发明实施例的用于文件病毒检测的特征获取方法流程图。参照图1,用于文件病毒检测的特征获取方法包括如下步骤:
[0038]步骤101,在样本文件的设定位置提取多个第一子特征,该多个第一子特征形成第一特征向量,执行步骤102。
[0039]步骤102,根据多个第二子特征的位置信息对步骤101中形成的多个第一子特征进行重新组合,得到第二特征向量,执行步骤103。
[0040]例如,可以通过特征优先表记录N个设定位置;在一个实施例中,在一样本文件的N个设定位置上提取N个第一子特征(例如,N个预定位置分别为a1、a2、a3、……、aN,从这N个位置处提取N个第一子特征Ap A2, A3,……、An),形成第一特征向量,根据优先指针指向特征优先表的位置,从N个第一子特征中选取M个第二子特征(其中,N〉=M)进行重新组合,例如,当前优先指针指向特征优先表中的as、a9、……、as+M,从该M个位置处获取第二子特征Ag、Ag、......、A_,得到第二特征向量。
[0041]步骤103,确定是否能在第一特征库中查找到第二特征向量中所包含的多个子特征,如果否,则执行步骤104,如果是,则执行步骤105。
[0042]步骤104,将第二特征向量作为样本文件的标识特征加入第二特征库。
[0043]步骤105,重新调整多个第二子特征的位置信息,得到多个第二子特征对应的新的位置信息(例如,移动特征优先表的顺序,得到第二特征向量的对应的特征优先表的位置为as+M,现在可以将特征优先表移动至位置a9+M处),执行步骤106。
[0044]步骤106,根据新的位置信息对多个第一子特征进行重新组合,得到第三特征向量,执行步骤107。
[0045]例如,在第一特征库中查找到前述M个第二子特征组合得到的第二特征向量,则移动优先指针指向特征