[发明专利]提取病毒文件特征码的装置和方法以及病毒检测系统

说明书

技术领域

本发明涉及移动通信安全领域，特别涉及移动通信病毒监测。

背景技术

移动通信系统正变得越来越开放和种类繁多，在多变的网络环境中，智能手机正面临着手机病毒的威胁。随着手机的发展，许多针对智能手机的病毒开始影响许多种手机并且在智能手机中进行传播。智能手机具有强大的计算和连网能力，可以方便地连接互联网。然而，当移动用户通过移动网络网上冲浪时，手机病毒可能通过互联网传播，并且受到影响的手机会自动连接恶意网站以获取控制命令、下载新的病毒或者上传用户个人信息。

可在移动通信网络中部署手机病毒监测系统以监测手机病毒并防止病毒传播。然而，许多手机病毒能够在智能手机之间迅速传播，所以当发现一个新的病毒时，需要尽可能快地更新手机病毒监测系统。

传统上，病毒的特征码是由专家人工形成的而手机病毒监测系统通过从更新服务器下载病毒特征码来更新手机病毒库。另一方面，手机病毒监测系统最好与多个反病毒厂商的特征库结合以监测复杂多变的手机病毒。这样，由于不同厂商的特征库的格式各不相同，所以难以短时间内整合多个反病毒厂商的特征库。

而且，由于手机病毒非常危险且可以在短时间内感染许多手机，所以在移动通信网络中的手机病毒检测系统必须具有多种病毒知识库并及时高效地更新病毒特征库。当新的病毒被安全监控网络或专业的安全厂商发现时，必须分析这些手机病毒文件特征码并且在特定的时期内发布，这就出现一个时间空档，手机病毒就可能在这个时间空档攻击。

所以，需要一种方法来快速提取病毒特征码，从而能够在出现新病毒时，及时更新手机的病毒特征库。

上面的问题，不仅是在移动通信网络中存在，在传统的PC网络中也存在类似的问题。

发明内容

本发明的目的是提供一种提取病毒文件特征码的装置和方法，进而提供一种新的病毒检测系统。以期望缩短病毒识别的过程、降低乃至消除对人工分析病毒样本并形成病毒特征库的依赖，以及缩短病毒出现至病毒特征码发布之间的间隔，从而减小病毒大规模传播和爆发的可能性。

按照本发明的一个方面，一种提取病毒文件特征码的装置，包括：文件扫描单元，构造为扫描该病毒文件并确定其类型；对比单元，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；特征选取单元，构造为根据该对比的结果，提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码，即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。

其中，该对比单元构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

其中，该特征选取单元构造为选择该对比单元输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。

按照本发明另一方面，一种提取病毒文件特征码的装置，包括：文件扫描单元，构造为扫描该病毒文件并确定其类型；对比单元，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；特征选取单元，构造为根据该对比的结果，提取该病毒文件中这样一组文件块作为该病毒文件的特征码，即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。

其中，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

其中，该特征选取单元(130′)构造为执行至少一次下面的循环：选择该第一集合中对应第一计数器值最小的文件块加入第二集合；判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。

按照本发明又一方面，一种病毒检测系统，包括：病毒文件管理模块，构造为接收病毒文件；病毒文件预处理模块，构造为检测所接收到的该病毒文件是否为新病毒；病毒文件特征码提取模块，构造为提取该病毒文件的特征码，其中该病毒文件特征码提取模块可以是前述的两种提取病毒文件特征码的装置任一个或其组合；病毒监测模块，构造为根据所提取的病毒文件的特征码检测病毒；病毒特征库同步模块，构造为将病毒文件特征码发送到该病毒监测模块。

按照本发明又一方面，一种提取病毒文件特征码的方法，包括：扫描病毒文件确定其类型；将该病毒文件与根据该文件的类型选取的样本文件进行对比；根据对比的结果提取该病毒文件特征码。

其中，所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括：得到包含文件块和对应第一计数器值的第一集合。