[发明专利]一种文件分类方法和装置

说明书

技术领域

本发明涉及文件处理技术，特别涉及一种文件分类方法和装置。

背景技术

病毒文件通常都具有家族特性，即某个病毒文件经过一定的演化后，会繁衍出其变种的病毒文件，演化的目的可能是为了增加某种特性，也可能是针对某种杀毒软件进行的免杀处理等。

上述“某个病毒文件”及其繁衍出来的病毒文件即组成一个病毒家族，或者说为同一类病毒。

杀毒软件往往会以提取出来的某一病毒家族中的各病毒文件均具有的特征信息作为病毒文件的判断依据，从而使得病毒库中的一条记录信息能够命中该病毒家族中的所有病毒文件。

因此，正确地对病毒文件进行分类，可有效地提高杀毒软件的查杀效率，并可减少病毒库的大小。

现有技术中，通常采用人工分析的方式来对病毒文件进行分类，同时需要结合病毒文件的动态行为等特征信息，比如调用系统应用程序接口(API，Application Programming Interface)的顺序、是否修改注册表以及是否在敏感位置创建文件等。

但是，上述方式在实际应用中会存在一定的问题，如：

1)由于需要人工进行分析，因此需要大量的人力资源，而且对病毒分析人员的经验要求也很高；

2)由于需要获取病毒文件的动态行为等特征信息，因此需要动态地执行病毒文件，记录其行为特征，从而增加了很多时间消耗。

综上可知，现有的对病毒文件进行分类的方式的智能性不高，实现起来不够简单方便，而且耗时较长。

发明内容

有鉴于此，本发明提供了一种文件分类方法和装置，具有较高的智能性，实现起来简单方便，且能够缩短所耗时间。

为达到上述目的，本发明的技术方案是这样实现的：

一种文件分类方法，针对任一待分类的PE文件X，分别进行以下处理：

确定是否存在作为类中心的PE文件，如果否，则将PE文件X作为其所属类别的类中心，并结束处理；

如果是，则依次确定PE文件X与每个作为类中心的PE文件之间的相似度是否达到预定要求，一旦达到预定要求，则确定PE文件X与达到预定要求时对应的作为类中心的PE文件属于同一类别，并结束处理。

一种文件分类装置，包括：

第一处理模块，用于针对任一待分类的PE文件X，分别进行如下处理：确定是否存在作为类中心的PE文件，如果否，则将PE文件X作为其所属类别的类中心，并结束处理，如果是，则通知第二处理模块执行功能；

所述第二处理模块，用于依次确定PE文件X与每个作为类中心的PE文件之间的相似度是否达到预定要求，一旦达到预定要求，则确定PE文件X与达到预定要求时对应的作为类中心的PE文件属于同一类别，并结束处理。

可见，采用本发明所述方案，可通过比较相似度来实现对于不同PE文件的分类，无需人工进行分析，因此智能性较高，实现起来简单方便；而且，由于无需动态地执行PE文件，并记录其行为特征等，因此能够缩短所耗时间。

附图说明

图1为本发明文件分类方法实施例的流程图。

图2为现有PE文件中所包含的信息示意图。

图3为本发明从PE文件X中提取出的各信息的示意图。

图4为本发明文件分类装置实施例的组成结构示意图。

具体实施方式

针对现有技术中存在的问题，本发明中提出一种改进后的文件分类方案。

通常来说，病毒文件均为可移植的执行体(PE，Portable Execute)文件。本发明所述方案不仅可适用于病毒文件的分类，而且可适用于任意PE文件的分类。

为使本发明的技术方案更加清楚、明白，以下参照附图并举实施例，对本发明所述方案作进一步地详细说明。

图1为本发明文件分类方法实施例的流程图。如图1所示，包括：

步骤11：针对任一待分类的PE文件X，确定是否存在作为类中心的PE文件，如果否，则执行步骤12；如果是，则执行步骤13。

步骤12：将PE文件X作为其所属类别的类中心，并结束流程。

步骤13：依次确定PE文件X与每个作为类中心的PE文件之间的相似度是否达到预定要求，一旦达到预定要求，则执行步骤14；

较佳地，如果PE文件X与每个作为类中心的PE文件之间的相似度均未达到预定要求，则执行步骤12。

步骤14：确定PE文件X与达到预定要求时对应的作为类中心的PE文件属于同一类别，并结束流程。