病毒特征的提取方法及装置的制造方法
【技术领域】
[0001]本发明涉及安全技术领域,具体涉及一种病毒特征的提取方法及装置。
【背景技术】
[0002]作为一种特殊的数据信息,病毒特征是区分病毒文件、病毒感染文件和正常文件的关键,通常被记录在病毒库中。几乎所有杀毒软件都需要根据病毒库中所记录的病毒特征来判断文件是否为病毒文件,以及文件是否已经感染病毒。
[0003]现有技术中,病毒类别的划分通常是按照通用的分类规则进行的。比如名称为“Trojan.Downloader_1420”的病毒中的前缀“Trojan”代表该病毒属于木马病毒,而“Downloader-1420”即该病毒与其他木马病毒的区分标识。基于相对固定的分类规则,现有技术就可以对不同类别的病毒分别进行病毒特征的提取。
[0004]然而,相对固定的分类规则却很容易导致病毒库中信息的冗余。举例来说,两个相近病毒实际上具有共同的病毒特征,但在分类规则中出于某种原因而被归为不同的类别,因而在病毒库中各自以不同的病毒特征被分别记录。病毒库中信息的冗余会在病毒检测过程中导致大量地重复性判断,不利于病毒检测效率的提升。
【发明内容】
[0005]针对现有技术中的缺陷,本发明提供一种病毒特征的提取方法及装置,可以解决现有技术中相对固定的分类规则很容易导致病毒库中信息的冗余的问题。
[0006]第一方面,本发明提供了一种病毒特征的提取装置,包括:
[0007]获取单元,用于获取若干个病毒样本;
[0008]分类单元,用于将所述获取单元得到的若干个病毒样本分为至少一个类别,以使属于同一个类别的任意两个病毒样本的特征值之间的相似度大于等于一预设阈值;
[0009]提取单元,用于对于所述分类单元得到的每一类别,提取属于该类别的所有病毒样本的共同特征。
[0010]可选地,所述病毒样本的特征值为该病毒样本在文件格式下的模糊哈希特征值。
[0011]可选地,所述分类单元具体包括:
[0012]获取模块,用于获取所述获取单元得到的若干个病毒样本的特征值,以组成特征值集合;
[0013]估计模块,用于估计每一可用的计算设备的计算速度;
[0014]重复模块,用于在所述特征值集合中任意两个特征值之间的相似度小于预设阈值之前,重复地执行下述步骤:
[0015]根据所述估计模块得到的每一可用的计算设备的计算速度将所述特征值集合中的所有特征值分配给至少一个计算设备,以使所述至少一个计算设备在处理时间满足预设条件的前提下对分配到的特征值进行筛选,使得任意两个特征值之间的相似度小于所述预设阈值。
[0016]可选地,所述估计模块具体包括:
[0017]发送子模块,用于将所述获取单元得到的预设数量的特征值发送给任一可用的计算设备,以使该计算设备对所述预设数量的特征值进行筛选,使得任意两个特征值之间的相似度小于所述预设阈值;
[0018]获取子模块,用于获取该计算设备的处理时间,以得到所述每一可用的计算设备的计算速度的估计值。
[0019]可选地,所述重复模块具体包括:
[0020]确定子模块,用于根据所述估计模块得到的每一可用的计算设备的计算速度和所述预设条件确定分配给每一计算设备的特征值的数量;
[0021]发送子模块,用于按照所述确定子模块得到的特征值的数量将所述特征值集合中的所有特征值分发给至少一个计算设备,以使所述至少一个计算设备对分配到的特征值进行筛选,使得任意两个特征值之间的相似度小于所述预设阈值;
[0022]接收子模块,用于接收来自所述至少一个计算设备的筛选后的特征值,以更新所述特征值集合。
[0023]可选地,所述对分配到的特征值进行筛选,使得任意两个特征值之间的相似度小于所述预设阈值,具体包括:
[0024]将一个特征值保留,并对其余的所有特征值依次执行以下步骤:
[0025]判断特征值是否与已保留的任一特征值之间的相似度大于等于所述预设阈值;
[0026]若是,则将该特征值去除;
[0027]若否,则将该特征值保留。
[0028]可选地,所述分类单元还包括:
[0029]发送模块,用于将所有待聚类的样本分为若干份,并与所述重复模块得到的特征值集合一起分别发送给若干个计算设备,以使所述计算设备依次计算每一样本的特征值与所述特征值集合中所有特征值的相似度,并将每一样本标记为与该样本的特征值之间的相似度最大的特征值所对应的类别;
[0030]接收模块,用于接收来自所述若干个计算设备的每一样本的类别标记,以对所有待聚类的样本进行分类。
[0031]可选地,所述预设条件包括:
[0032]任一计算设备的所述处理时间小于第一预设值;
[0033]和/ 或,
[0034]所有计算设备的所述处理时间趋于一致;
[0035]和/ 或,
[0036]在所述特征值集合中的特征值数量大于第二预设值时,任一所述计算设备的所述处理时间趋近于第三预设值。
[0037]第二方面,本发明还提供了一种病毒特征的提取方法,包括:
[0038]获取若干个病毒样本;
[0039]将所述若干个病毒样本分为至少一个类别,以使属于同一个类别的任意两个病毒样本的特征值之间的相似度大于等于一预设阈值;
[0040]对于每一类别,提取属于该类别的所有病毒样本的共同特征。
[0041]可选地,所述病毒样本的特征值为该病毒样本在文件格式下的模糊哈希特征值。
[0042]由上述技术方案可知,本发明结合聚类方法,在提取病毒特征之前先对所有病毒样本进行相似性的分类,从而可以避免相近类别的病毒被分别提取不同的病毒特征,因而本发明不仅可以解决现有技术中相对固定的分类规则很容易导致病毒库中信息的冗余的问题,大大降低病毒库中的信息冗余,还可以有助于改进病毒的分类机制,提升病毒检测的准确程度和检测效率。
【附图说明】
[0043]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单的介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0044]图1是本发明一个实施例中一种病毒特征的提取方法的步骤流程示意图;
[0045]图2是本发明一个实施例中一种对若干个病毒样本进行分类的步骤流程示意图;
[0046]图3是本发明一个实施例中一种进行聚类计算的步骤流程示意图;
[0047]图4是本发明一个实施例中一种估计运算速度的步骤流程示意图;
[0048]图5是本发明一个实施例中一种病毒特征的提取装置的结构框图。
【具体实施方式】
[0049]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0050]在本发明的描述中需要说明的是,术语“上”、“下”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
[0051]图1是本发明一个实施例中一种病毒特征的提取方法的步骤流程示意图。参见图1,该方法包括:
[0052]步骤101:获取若干个病毒样本;
[0053]步骤102:将上述若干个病毒样本分为至少一个类别,以使属于同一个类别的任意两个病毒样本的特征值之间的相似度大于等于一预设阈值;
[0054]步骤103:对于每一类别,提取属于该类别的所有病毒样本的共同特征。
[0055]应理解的是,上述步骤101中获取的病毒样本可以具体是被认定为是病毒文件或者被认定为是被病毒感染的文件,而且数量可以非常庞大。还应理解的是,本发明实施例中,类别的划分基于每个待聚类的样本的特征值及其之间的相似度。具体地,在本发明的不同实施例中,上述特征值可以具体为样本的一种任意形式下的哈希值(把任意长度的输入通过一定的哈希算法变换成的固定长度的输出),比如分别对应一种现有哈希算法的MD4值、MD5值、SHAl值、N-Hash值、RIPE-MD值或者HAVAL值等等;相应的,特征值之间的相似度的计算可以通过比较两个样本的哈希值之间的差异程度来实现,其是本领域技术人员所熟知的,在此不再赘述。
[0056]由此可见,本发明实施例结合聚类方法,在提取病毒特征之前先对所有病毒样本进行相似性的分类,从而可以避免相近类别的病毒被