专利名称::一种恶意文件搜索方法及装置的制作方法
技术领域:
:本发明涉及计算机
技术领域:
,尤其涉及一种恶意文件搜索方法及装置。
背景技术:
:在计算机
技术领域:
,恶意文件是海量的,即数量上可以达到千万级以上,如病毒,木马,破坏计算机系统或窃取用户隐私的脚本等。如何在海量的恶意文件中搜索出感兴趣的文件,目前有以下两种方式:例如可以通过杀毒引擎,对海量恶意文件进行扫描,并根据扫描得到的文件种类名,找出感兴趣的文件。又例如由相关工作人员,人工的对当天新发现的恶意文件分类存储,便于后续搜索。但是,第一种方式下,杀毒引擎对海量恶意文件的查杀需要大量的时间,效率低下。第二种方式下,人工分类对于海量恶意文件分类存储,不仅效率低下且成本高。同时,第一种方式和第二种方式,都存在对恶意文件进行分类的粒度太大,往往不能精确找到需要的文件,且难于对流行病毒文件进行实时的分类的缺点。
发明内容本发明实施例的目的是提供一种恶意文件搜索方法及装置,实现对恶意文件的分类及搜索。本发明实施例的目的是通过以下技术方案实现的:一方面,本发明实施例提供一种恶意文件搜索方法,包括:根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。其中,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。其中,在根据恶意文件的静态信息和动态信息,建立所述恶意文件的分类索引之前,所述方法还包括:使用分布式文件系统、或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储。进一步的,在使用分布式文件系统或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储之前,所述方法还包括:通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;使用分布式文件系统对所述恶意文件进行存储。具体的,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息,包括:根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引;根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态息。进一步的,根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,包括:对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。另一方面,本发明实施例提供一种恶意文件搜索装置,包括:建立单元,用于根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;搜索单元,用于接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示单元,用于显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。其中,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。其中,所述装置还包括:第一存储单元,用于对所述恶意文件的静态信息和动态信息进行存储,所述第一存储单元包括分布式文件系统、或分布式No-SQL数据库。进一步的,所述装置还包括:获取单元,用于通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;第二存储单元,用于对所述恶意文件进行存储,所述第一存储单元包括分布式文件系统。具体的,所述搜索单元,具体用于根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信息。进一步的,所述搜索单元,还体对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。由上述本发明实施例提供的技术方案可以看出,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。图1为本发明实施例提供的恶意文件搜索方法的流程示意图。图2为本发明实施例提供的恶意文件搜索装置的构成示意图。图3为本发明实施例提供的恶意文件搜索方法的应用场景示意图。具体实施例方式下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明的保护范围。如图1所示,本发明实施例提供一种恶意文件搜索方法,包括:11、根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引。12、接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。13、显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。由上述本发明实施例提供的技术方案可以看出,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。具体的,所述静态信息为文件本身具有的信息。所述动态信息为运行文件时的行为信息。可选的,可以利用静态分析工具提取恶意文件的文件hash(哈希),文件名,文件大小,文件包含的指令,文件包含的字符串,API(ApplicationProgrammingInterface,应用程序编程接口)信息,导入导出函数表,文件结构信息等等静态信息。可选的,可以利用动态分析工具对恶意文件的行为信息进行提取,得到恶意文件在系统中的真实行为记录,如修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件等等。可选的,在根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引之前,本发明实施例的恶意文件搜索方法还可以包括:使用分布式文件系统、或分布式No-SQL(非关系型)数据库,对所述恶意文件的静态信息和动态信息进行存储。示例性的,分布式文件系统如FASTDFS(开源的轻量级分布式文件系统),或者HDFS(hadoopDistributedFileSystem,hadoop的分布式文件系统),等等分布式文件系统。示例性的,分布式No-SQL数据库如bigtable式的数据库,如MongoDB(MongoDB是基于分布式文件存储的数据库),或者基于hadoop的HBASE,等等分布式No-SQL数据库。可见,使用分布式文件系统、或分布式No-SQL数据库,避免了对海量恶意文件的静态信息和动态信息存储在一个存储单元,成本较高的缺陷,以及避免了单一存储单元存储能力有限的缺陷。进一步的,在根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引之前,本发明实施例的恶意文件搜索方法还可以包括:通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;使用分布式文件系统对所述恶意文件进行存储。可见,采用多种获取恶意文件的方式,便于及时收集流行病毒文件并进行分类,从而提高恶意文件检索的实时性。而且,使用分布式文件系统,避免了对海量恶意文件存储在一个存储单元,成本较高的缺陷,以及避免了单一存储单元存储能力有限的缺陷。具体而言,上述步骤12,可以包括:根据所述搜索指令携带的搜索信息,在所述分类索引中进行搜索,确定匹配的所述分类索引;根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态息。可见,检索得到恶意文件的分类索引,就可以得到分类索引下所有恶意文件,提高了恶意文件检索的效率,精确性。可选的,根据所述搜索指令携带的搜索信息,在所述分类索引中进行搜索,确定匹配的所述分类索引,可以包括:对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。其中,对搜索信息进行语义分析,是指不再拘泥于用户所输入的关键词的字面本身,而是捕捉到用户所输入的关键词的真正意图,并以此来进行搜索,从而更准确地向用户返回最符合其需求的搜索结果。示例性的,如搜索信息为病毒的一些行为,如“具有修改其他进程权限的病毒文件”,则捕捉到导致“具有修改其他进程权限”行为的API或者病毒名,并用这些API或者病毒名进行搜索。示例性的,如搜索信息为“chinahacker”字符串,则可以搜索得到包含“chinahacker”字符串的全部恶意文件。如图2所示,对应于图1所示的恶意文件搜索方法,本发明实施例提供一种恶意文件搜索装置,包括:建立单元21,用于根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引。搜索单元22,用于接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信肩、O显示单元23,用于显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。由上述本发明实施例提供的技术方案可以看出,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。具体的,所述静态信息为文件本身具有的信息,所述静态信息包括文件hash,文件名,文件大小,文件包含的指令,文件包含的字符串,API信息,导入导出函数表,文件结构信息等。所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件等。可选的,本发明实施例的恶意文件搜索装置,还可以包括:第一存储单元,用于对所述恶意文件的静态信息和动态信息进行存储,所述第一存储单元包括分布式文件系统、或分布式No-SQL数据库。进一步的,本发明实施例的恶意文件搜索装置,还可以包括:获取单元,用于通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件。第二存储单元,用于对所述恶意文件进行存储,所述第一存储单元包括分布式文件系统。具体而言,搜索单元22,可以具体用于根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信息。本发明实施例的恶意文件搜索装置及其构成,可以对应参考上述实施例的恶意文件搜索方法得以理解,在此不作赘述。如图3所示的应用场景示意图,本发明实施例提供的恶意文件搜索方法,包括:31、恶意文件海量收集:利用客户端上报,主干网样本检测的方式,实时收集新增恶意文件。客户端上报方式,如用户电脑安装某种安全客户端,当客户端检测到某种可执行文件带来的对系统可能的危险,该客户端提示用户是否选择上传该可疑可执行文件,用户确定上传后,则客户端上传该可疑可执行文件到服务器。主干网样本检测方式,如在主干网络上架设服务器,检测收集网络中传播的病毒文件。32、恶意文件存储:利用分布式文件系统等海量存储方案来对步骤31恶意文件进行存储。33、恶意文件静态分析:利用静态分析工具提取恶意文件本身具有的信息。通常在计算机系统上可以运行的可执行文件的格式都是固定的,对这些文件可以按照相应的格式进行解析。解析恶意文件,得到恶意文件的静态信息包括文件hash,文件名,文件大小,文件包含的指令,文件包含的字符串,API信息,导入导出函数表,文件结构信息文件名等静态信息。实现提取恶意文件的静态信息的各种静态分析工具都可以适用,不受限制。静态信息可以包括文本格式信息和二进制格式信息,其中,文本格式信息是指以文本格式描述恶意文件的信息,二进制格式信息是指以二进制格式直接记录恶意文件的信息。示例性的,利用静态分析工具提取恶意文件包含字符串“chinahacker”。34、恶意文件动态分析:利用动态分析工具对恶意文件的行为信息进行提取,得到恶意文件在系统中的真实行为记录。动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件坐寸ο例如,运行一个病毒,这个病毒可能就会启动一个进程,然后修改注册表,修改启动项,把某个用户隐私文件上传到病毒作者指定的服务器等行为,动态分析工具可以提取病毒的这些行为。实现提取恶意文件的动态信息的各种动态分析工具都可以适用,不受限制。动态分析工具如虚拟机,在虚拟机上运行恶意文件,提取恶意文件的动态信息。示例性的,利用动态分析工具分析恶意文件的行为,该恶意文件具备“修改某个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Tencent”的行为。35、恶意文件分析信息存储:利用分布式文件系统或分布式No-SQL数据库等海量存储方案来对恶意文件分析信息进行存储。36、索引建设:利用针对恶意文件分析信息特征的搜索引擎,对步骤35中存储的恶意文件信息建立索引,同时该搜索引擎具有针对恶意文件查询的语义分析能力。示例性的,将包含字符串“chinahacker”的恶意文件划分到同一个索引下。示例性的,将具备“修改某个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Tencent”行为的恶意文件划分到同一个索引下。37、查询前端进行查询:可在终端中数据输入查询关键词,如字符串,API,行为等等,对步骤36中索引进行查询,步骤33中搜索引擎能对输入的查询关键词进行语义分析,并返回步骤35中存储的恶意文件分析信息集合和32中存储的恶意文件集合。示例性的,在终端中数据输入“chinahacker”,则返回所有包含这个字符串的恶意文件。或者,输入“修改某个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Tencent”,则返回所有可能有这种行为的恶意文件。38、显示查询结果。将步骤37得到的查询结果显示出来,提示给用户。以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本
技术领域:
的技术人员在本发明披露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。权利要求1.一种恶意文件搜索方法,其特征在于,包括:根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。2.根据权利要求1所述的方法,其特征在于,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。3.根据权利要求1所述的方法,其特征在于,在根据恶意文件的静态信息和动态信息,建立所述恶意文件的分类索引之前,所述方法还包括:使用分布式文件系统、或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储。4.根据权利要求3所述的方法,其特征在于,在使用分布式文件系统或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储之前,所述方法还包括:通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;使用分布式文件系统对所述恶意文件进行存储。5.根据权利要求1所述的方法,其特征在于,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息,包括:根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引;根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信肩、O6.根据权利要求5所述的方法,其特征在于,根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,包括:对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。7.—种恶意文件搜索装置,其特征在于,包括:建立单元,用于根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;搜索单元,用于接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示单元,用于显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。8.根据权利要求7所述的装置,其特征在于,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。9.根据权利要求7所述的装置,其特征在于,所述装置还包括:第一存储单元,用于对所述恶意文件的静态信息和动态信息进行存储,所述第一存储单元包括分布式文件系统、或分布式No-SQL数据库。10.根据权利要求9所述的装置,其特征在于,所述装置还包括:获取单元,用于通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;第二存储单元,用于对所述恶意文件进行存储,所述第一存储单元包括分布式文件系统。11.根据权利要求7所述的装置,其特征在于,所述搜索单元,具体用于根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信息。12.根据权利要求11所述的装置,其特征在于,所述搜索单元,还体对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。全文摘要本发明实施例公开了一种恶意文件搜索方法及装置,其中,恶意文件搜索方法包括根据恶意文件的静态信息和动态信息建立恶意文件对应的分类索引,动态信息包括运行文件时的行为信息;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。本发明实施例的恶意文件搜索方法及装置,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。文档编号G06F17/30GK103177022SQ20111043885公开日2013年6月26日申请日期2011年12月23日优先权日2011年12月23日发明者李建业,王展申请人:腾讯科技(深圳)有限公司