[发明专利]对非病毒文件自动提取特征的方法和装置

权利要求书

1.对非病毒文件自动提取特征的方法，其特征在于，在非病毒文件中选取N个适合提取非病毒特征的固定位置，每个固定位置分配一个位置ID号，以其中M个固定位置的位置ID号和这M个固定位置所对应的特征值作为非病毒特征；所述特征值是指以某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值；其中N≥2，M≥2且M≤N，L＞0。

2.根据权利要求1所述的对非病毒文件自动提取特征的方法，其特征在于，所述M值为2。

3.根据权利要求2所述的对非病毒文件自动提取特征的方法，其特征在于，所述非病毒特征还需要与病毒文件原始特征集合中的原始特征进行比对，如果比对结果为一致，则以非病毒文件中另外2个固定位置的位置ID号和这2个固定位置所对应的特征值作为非病毒特征再进行比对，直到遇到比对结果不一致的非病毒特征；所述病毒文件的原始特征中包括该病毒文件中所有N个固定位置的位置ID号和这N个固定位置所对应的特征值。

4.根据权利要求3所述的对非病毒文件自动提取特征的方法，其特征在于，如果某个固定位置之后的文件长度小于L，则将不足部分补入任意一个预设的默认值。

5.根据权利要求2所述的对非病毒文件自动提取特征的方法，其特征在于，具体步骤为：

a.计算非病毒文件在ID号为1的固定位置上的特征值，将ID号1和ID号为1的固定位置所对应的特征值作为非病毒特征的第一特征值；假设P为第二特征值所在固定位置的ID号，设置P＝2，并执行步骤b；

b.如果P大于N，则跳转到步骤e，否则继续执行本步骤；计算非病毒文件在ID号为P的固定位置上的特征值，将ID号P和ID号为P的固定位置所对应的特征值作为非病毒特征的第二特征值；执行步骤c；

c.以当前第一特征值和第二特征值构成非病毒特征；然后发送非病毒特征到服务端，请求执行特征碰撞检测；服务端接收到请求后，只要有一个病毒文件的原始特征中的两个数组与所述非病毒特征一致，则判断该非病毒特征是不可取的，将P的值加1，并跳回执行步骤b；如果没有病毒文件的原始特征与所述非病毒特征一致，则该非病毒特征是可行的，执行步骤d；

d.提取特征成功，输出非病毒特征提取结果，流程结束；

e.提取特征失败，流程结束。

6.根据权利要求5所述的对非病毒文件自动提取特征的方法，其特征在于，具体步骤为：

如果提取特征失败，则将该非病毒文件的整个文件的HASH值作为非病毒特征。

7.根据权利要求1-6中任意一项所述的对非病毒文件自动提取特征的方法，其特征在于，所述L＜4K。

8.对非病毒文件自动提取特征的装置，其特征在于，包括服务器端和客户端；

服务端包括：

病毒文件原始特征集合，其中包含大量病毒文件的原始特征，原始特征中包括该病毒文件中所有N个固定位置的位置ID号和这N个固定位置所对应的特征值；

特征碰撞检测模块，用于判断来自客户端的非病毒特征是否与病毒文件原始特征集合中的任意一个原始特征中的M个数组一致；

通信模块，用于实现服务端与客户端的信息交互；

客户端包括：

特征提取模块，在非病毒文件中选取N个适合提取非病毒特征的固定位置，每个固定位置分配一个位置ID号，以其中M个固定位置的位置ID号和这M个固定位置所对应的特征值作为非病毒特征；所述特征值是指以某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值；其中N≥2，M≥2且M≤N，L＞0；

通信模块，用于实现客户端与服务端的信息交互。

9.根据权利要求8所述的对非病毒文件自动提取特征的装置，其特征在于，所述M值为2。

10.根据权利要求8所述的对非病毒文件自动提取特征的装置，其特征在于，所述L＜4K。