:对步骤2中所述恶意代码统一命名与原厂自主命名之间建立映射关系,接收所述恶意代码的预先设定参数,将所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,将返回厂家的原厂命名作为结果输出。其中,步骤I所述恶意代码的特征值包括:对少于20MB的文件,返回的特征值是文件全文的MD5-32字符串;对20MB以上的文件,返回的特征值是:跳过PE头部的首部5MB,文件中间点前后5MB的数据,文件结尾为5MB,三部分数据进行拼接后计算的MD5-32字符串。步骤2中所述约定规则包括恶意代码平台、恶意代码的名称、恶意代码的类型和步骤I中所述恶意代码特征值。恶意代码平台为Win32,Win64,Mac32和Mac64四种,类型为字符串;所述恶意代码的名称为恶意代码在杀毒软件中原始的命名,类型为字符串;所述恶意代码的类型为宏病毒(Macro)、CAD病毒(CADVir)、婦虫病毒(Worm)、感染型病毒(Infect1n)、木马病毒(Trojan)、后门程序病毒(Backdoor)和其它病毒(Misc),类型为字符串;所述恶意代码的特征值为由所述文件指纹采集计算出的恶意代码特征值。其中步骤3中所述映射关系包括恶意代码特征值、厂家名称、原厂命名和统一命名之间的映射关系,所述映射关系为No SQL的键值型或分布式数据库,所述数据库为HBASE数据库。
[0037]实施例2
[0038]如图2所示,本发明还提供了一种基于文件指纹对恶意代码统一命名的系统,所述系统包括对杀毒软件进行文件指纹采集的文件指纹采集器1,在所述杀毒软件查杀到恶意代码时,向所述杀毒软件提供返回恶意代码的特征值;包括接收所述恶意代码的特征值的恶意代码统一命名器2,所述恶意代码统一命名器2按照约定规则对所述恶意代码进行命名;还包括恶意代码统一命名映射器3,所述恶意代码统一命名映射器3统一命名与原厂自主命名之间的映射关系,接收所述恶意代码的预先设定参数,将所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,将返回厂家的原厂命名作为结果输出,所述恶意代码统一命名映射器3包括映射关系存储接口和映射关系检索接口,所述映射关系存储接口用于接收恶意代码的原厂名称、厂家名称,特征值和统一名称参数,并将所述参数作为数据行存储在实现映射器的数据库上;所述映射关系检索接口用于接收特征值、统一命名和厂家名称参数,并返回厂家的原厂命名作为结果输出。所述数据库为No SQL的键值型、分布式数据库或HBASE数据库。
[0039]本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员可以想到的任何变形、改进、替换均落入本发明的保护范围。
【主权项】
1.一种基于文件指纹对恶意代码统一命名的方法,其特征在于,所述方法包括: 步骤1:对杀毒软件进行文件指纹采集,在所述杀毒软件查杀到恶意代码时调用,向所述杀毒软件提供返回恶意代码的特征值; 步骤2:接收步骤I提供的带有特征值的恶意代码,对所述恶意代码进行命名,产生一个对所述恶意代码按照约定规则命名的恶意代码统一命名; 步骤3:对步骤2中所述恶意代码统一命名与原厂自主命名之间建立映射关系,接收所述恶意代码的预先设定参数,将所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,将返回厂家的原厂命名作为结果输出。
2.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法,其特征在于,步骤I所述恶意代码的特征值包括:对少于20MB的文件,返回的特征值是文件全文的MD5-32字符串;对20MB以上的文件,返回的特征值是:跳过PE头部的首部5MB,文件中间点前后5MB的数据,文件结尾为5MB,三部分数据进行拼接后计算的MD5-32字符串。
3.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法,其特征在于,步骤2中所述约定规则包括恶意代码平台、恶意代码的名称、恶意代码的类型和步骤I中所述恶意代码特征值。
4.根据权利要求3所述基于文件指纹对恶意代码统一命名的方法,其特征在于, 所述恶意代码平台为Win32,Win64,Mac32和Mac64,类型为字符串; 所述恶意代码的名称为恶意代码在杀毒软件中原始的命名,类型为字符串; 所述恶意代码的类型为宏病毒、CAD病毒、蠕虫病毒、感染型病毒、木马病毒、后门程序病毒和其它病毒,类型为字符串; 所述恶意代码的特征值为由所述文件指纹采集计算出的恶意代码特征值。
5.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法,其特征在于,步骤3中所述映射关系包括恶意代码特征值、厂家名称、原厂命名和统一命名之间的映射关系。
6.根据权利要求5所述基于文件指纹对恶意代码统一命名的方法,其特征在于,所述映射关系为No SQL的键值型或分布式数据库。
7.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法,其特征在于,所述数据库为HBASE数据库。
8.根据权利要求1所述基于文件指纹对恶意代码统一命名的系统,其特征在于,所述系统包括对杀毒软件进行文件指纹采集的文件指纹采集器(I),在所述杀毒软件查杀到恶意代码时,向所述杀毒软件提供返回恶意代码的特征值; 包括接收所述恶意代码的特征值的恶意代码统一命名器(2),所述恶意代码统一命名器(2)按照约定规则对所述恶意代码进行命名; 还包括恶意代码统一命名映射器(3),所述恶意代码统一命名映射器(3)统一命名与原厂自主命名之间的映射关系,接收所述恶意代码的预先设定参数,所述映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,返回厂家的原厂命名作为结果输出。
9.根据权利要求8所述基于文件指纹对恶意代码统一命名的系统,其特征在于,所述恶意代码统一命名映射器(3)包括映射关系存储接口和映射关系检索接口,所述映射关系存储接口用于接收恶意代码的原厂名称、厂家名称,特征值和统一名称参数,并将所述参数作为数据行存储在实现映射器的数据库上;所述映射关系检索接口用于接收特征值、统一命名和厂家名称参数,并返回厂家的原厂命名作为结果输出。
10.根据权利要求8所述基于文件指纹对恶意代码统一命名的系统,其特征在于,所述数据库为NoSQL键值型数据库、分布式数据库或HBASE数据库。
【专利摘要】本发明涉及信息安全技术领域,具体涉及一种基于文件指纹对恶意代码统一命名的方法和系统,对杀毒软件进行文件指纹采集,在杀毒软件查杀到恶意代码时,向杀毒软件提供返回恶意代码的特征值;对恶意代码进行命名,接收带有特征值的恶意代码,产生一个对恶意代码按照约定规则命名的恶意代码统一命名:恶意代码统一命名与原厂自主命名之间建立映射关系,接收恶意代码的预先设定参数,将映射关系作为数据行存储在实现映射器的数据库上,向界面提供查看统一命名与原厂命名之间对应关系,将返回厂家的原厂命名作为结果输出。本发明能在各厂商之间通用且不影响厂商内部命名规则,解决恶意代码名称统一性,为管理员工作提供指导,提高通报和处置效率。
【IPC分类】G06F21-56
【公开号】CN104778406
【申请号】CN201510163132
【发明人】张涵, 戴晓苗, 管磊, 胡光俊, 黄长慧, 薛正, 王专, 李海威, 范博, 郝艳, 王奕钧, 陈晨, 李锁雷, 李恒训, 苏烈华, 张子瀚, 万江华, 蒋勇, 杨卫军, 孙论强
【申请人】公安部第一研究所, 北京中盾安全技术开发公司
【公开日】2015年7月15日
【申请日】2015年4月8日