[发明专利]对非病毒文件自动提取特征的方法和装置

说明书

技术领域

本发明涉及计算机杀毒软件领域，尤其涉及一种对非病毒文件自动提取特征的方法和装置。

背景技术

杀毒软件在计算机上进行病毒扫描需要花费大量的时间，还会占用大量的系统资源，这是因为病毒识别是一个复杂的过程。考虑到大多数计算上的文件都是一样的，并且都是非病毒文件(即白文件)居多，例如操作系统的文件、常用软件的文件，如果能够在进行病毒文件识别之前高效的识别出这些白文件，避免进行复杂的病毒识别过程，杀毒软件的性能将得到很大的提升，扫描过程花费较短的时间，占用较少的系统资源。目前对白文件的一般识别方法为：基于白文件的二进制数据，提取出白特征(即非病毒特征)；然后，在对文件进行病毒扫描时，通过匹配白特征来识别白文件。目前常用的提取白特征的方法为：对于一个白文件，计算整个文件数据的HASH值来作为特征值。此方法具有以下不足：

(1)识别白文件的效率不高。因为需要对整个文件计算HASH值，所以在白文件识别时，会占用大量的系统资源(包括磁盘IO和CPU等)，花费大量的时间。在整个病毒扫描过程中表现为，自身扫描速度变慢，影响计算机上其他程序的正常运行。

(2)一条白特征只能识别一个白文件。面对大量的白文件，这样会导致产生大量的白特征。特征数量变的庞大了，扫描速度也会变慢。

发明内容

本发明的第一目的是克服现有技术中的不足，提供一种对非病毒文件自动提取特征的方法，使用该方法提取的非病毒特征可识别大量的非病毒文件，而且使用该非病毒特征进行文件识别时的扫描速度快。

本发明的第二目的是提供一种执行上述对非病毒文件自动提取特征方法的装置。

为了实现上述第一目的，采用以下技术方案：对非病毒文件自动提取特征的方法，在非病毒文件中选取N个适合提取非病毒特征的固定位置，每个固定位置分配一个位置ID号，以其中M个固定位置的位置ID号和这M个固定位置所对应的特征值作为非病毒特征；所述特征值是指以某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值；其中N≥2，M≥2且M≤N，L＞0。

进一步的技术方案是，

所述M值为2。

再进一步的技术方案是，

所述非病毒特征还需要与病毒文件原始特征集合中的原始特征进行比对，如果比对结果为一致，则以非病毒文件中另外2个固定位置的位置ID号和这2个固定位置所对应的特征值作为非病毒特征再进行比对，直到遇到比对结果不一致的非病毒特征；所述病毒文件的原始特征中包括该病毒文件中所有N个固定位置的位置ID号和这N个固定位置所对应的特征值。

为了实现上述第二目的，采用以下技术方案：对非病毒文件自动提取特征的装置包括服务器端和客户端；

服务端包括：

病毒文件原始特征集合，其中包含大量病毒文件的原始特征，原始特征中包括该病毒文件中所有N个固定位置的位置ID号和这N个固定位置所对应的特征值；

特征碰撞检测模块，用于判断来自客户端的非病毒特征是否与病毒文件原始特征集合中的任意一个原始特征中的M个数组一致；

通信模块，用于实现服务端与客户端的信息交互。

客户端包括：

特征提取模块，在非病毒文件中选取N个适合提取非病毒特征的固定位置，每个固定位置分配一个位置ID号，以其中M个固定位置的位置ID号和这M个固定位置所对应的特征值作为非病毒特征；所述特征值是指以某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值；其中N≥2，M≥2且M≤N，L＞0；

通信模块，用于实现客户端与服务端的信息交互。

上述对非病毒文件自动提取特征的方法和装置的原理是，以非病毒文件中某些适合提取非病毒特征的固定位置作为起点，计算从该起点开始长度为L的一段二进制数据的HASH值，将固定位置ID号和该固定位置的特征值作为一组特征，选取这样的特征两组(或者更多)作为非病毒特征，这样提取的非病毒特征与现有的计算整个非病毒文件的HASH值相比，大大提高了文件扫描的速度；而且可以用一个非病毒特征匹配大量的相似或者相同的非病毒文件。

具体实施方式

本发明对非病毒文件自动提取特征的方法是针对现有的非病毒文件进行提取合适的非病毒特征，以便于使用该特征进行排除非病毒文件，该非病毒特征一般要求其准确性和高效性。所说的准确性是指这种非病毒特征应该为非病毒文件所有，不应该涵盖病毒文件。所说的高效性是指使用一个非病毒特征最好能够匹配多个相同或相似的非病毒文件。