[发明专利]提取病毒文件特征码的装置和方法以及病毒检测系统

权利要求书

1.一种提取病毒文件(10，30)特征码的装置(100)，其包括：

文件扫描单元(110)，构造为扫描该病毒文件并确定其类型；

对比单元(120)，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；

特征选取单元(130)，构造为根据该对比的结果，提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码，即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。

2.根据权利要求1所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

3.根据权利要求2所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该特征选取单元(130)构造为选择该对比单元(120)输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。

4.一种提取病毒文件(10，30)特征码的装置(100)，包括：

文件扫描单元(110)，构造为扫描该病毒文件并确定其类型；

对比单元(120)，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；

特征选取单元(130′)，构造为根据该对比的结果，提取该病毒文件中这样一组文件块作为该病毒文件的特征码，即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。

5.根据权利要求4所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

6.根据权利要求5所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该特征选取单元(130′)构造为执行至少一次下面的循环：

选择该第一集合中对应第一计数器值最小的文件块加入第二集合；

判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。

7.一种病毒检测系统(200)，包括：

病毒文件管理模块(210)，构造为接收病毒文件(10，30)；

病毒文件预处理模块(220)，构造为检测所接收到的该病毒文件是否为新病毒；

病毒文件特征码提取模块(230)，构造为提取该病毒文件的特征码，其中该病毒文件特征码提取模块(230)是权利要求1-3或4-6任一项所述的提取病毒文件特征码的装置(100)；

病毒监测模块(260)，构造为根据所提取的病毒文件的特征码检测病毒；

病毒特征库同步模块(250)，构造为将病毒文件特征码发送到该病毒监测模块(260)。

8.一种提取病毒文件特征码的方法(300)，包括：

扫描病毒文件(10，30)确定其类型；

将该病毒文件与根据该文件的类型选取的样本文件进行对比；

根据对比的结果提取该病毒文件特征码。

9.根据权利要求8所述的提取病毒文件特征码的方法(300)，其特征在于，所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括：得到包含文件块和对应第一计数器值的第一集合。

10.根据权利要求9所述的提取病毒文件特征码的方法(300)，其特征在于，所述根据对比的结果提取该病毒文件特征码包括：选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码。

11.根据权利要求9所述的提取病毒文件特征码的方法(300)，其特征在于，所述根据对比的结果提取该病毒文件特征码包括：选择这样的文件块组合作为病毒文件特征码，即在每个样本文件中都没有与该病毒文件的该文件块组合相同的特征块组合，其执行至少一次下面的循环步骤：

选择该第一集合中对应第一计数器值最小的文件块加入第二集合；

判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。

12.一种计算机可读介质，存储用于执行权利要求8-11任一项所述方法的计算机可读指令。

13.一种计算机程序，包括用于执行权利要求8-11任一项所述方法的计算机可读指令。