[发明专利]自膨胀病毒拦截方法及系统

说明书

技术领域

本发明属于病毒防御技术领域，具体涉及一种自膨胀病毒拦截方法及系统。

背景技术

目前的病毒文件检测方式，如下流程：

1、客户端根据本地病毒数据库对文件进行病毒扫描；

2、针对病毒文件进行查杀，针对安全文件予以运行；

3、针对无法识别的灰文件，将其上传至云端服务器中进行查询验证；

4、云端服务器将查询结果反馈给客户端；

5、客户端根据查询结果做出对应的处理。

由于每天都有大量的新文件产生，现有的病毒扫描方法进行识别，肯定会出现不少灰文件，如果都上传到云端服务器进行验证，尤其是一些大文件，网络传输都是个大文件，而且将给服务器造成巨大的压力。与此同时，即是某大文件是病毒文件，那么由于网络传输时间关系，也很难大规模的传播。因此，现有的检测方式中将一些无法识别的大文件就直接默认为安全文件。

经过申请人研究发现，最近出现了一种的大文件病毒，申请人将其定义为自膨胀病毒。它是由一种高压缩比的压缩文件解压而来，比如一个1M的文件解压后就变为了500M的大文件，1M的时候便于传播，解压后由于过大无法识别也无法上传云端服务器检测，进而逃过现有病毒检测系统，而且它通常在解压后会将其原始的压缩包给删除掉，让现有病毒防御系统无可奈何。

发明内容

针对自膨胀病毒难以检测的问题，本发明的目的在于自膨胀病毒拦截方法及系统，在不增加云端服务器负担情况下快速检测和拦截这种自膨胀病毒。

申请人进一步研究发现，这种自膨胀病毒的PE数据结构的四个数据段：代码段、数据段、自定义区域、以及文件尾中始终有一个畸形段，即是该段数据特别大，该段数据中只有少数几个数据重复构成，进而便于压缩，解压后能膨胀为一个大文件，将病毒隐藏在其中的一个字段就可以逃过现有防御系统。

为了实现上述发明目的，基于上述研究发现，得到了以下技术方案：

一种自膨胀病毒拦截方法，其特征在于包括以下步骤：

监测系统是否出现新进程；

判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值；

分析大于预设阈值的程序文件是否为高压缩比文件；

根据所述高压缩比文件判断结果，决定是否查杀所述新进程并发出相应的警示信息。

进一步的，所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。

进一步的，在根据所述高压缩比文件判断结果，决定是否查杀所述新进程并发出相应的警示信息之后，还包括以下步骤：删除所述高压缩比文件。

进一步的，所述分析大于预设阈值的程序文件是否为高压缩比文件，具体包括如下子步骤：

获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重；

判断比重最大的数据段的比重是否大于预设的畸形阈值；

若大于，则将所述比重最大的畸形数据段均分为多个子段，再将各个子段均分为多个子块；

分别计算各个子块的数值，采用去重复的方法获得所有子块中数值互不相同的子块数目；

判断所述子块数目是否小于预设的允许重复阈值，若小于则确定该自膨胀文件是否为高压缩比文件。

进一步的，所述畸形阈值为70%，所述子段的大小为256K字节，所述子块的大小为256字节，所述允许重复阈值为100个。

一种自膨胀病毒拦截系统，包括以下模块：

进程监测模块，用于监测系统是否出现新进程；

程序文件大小判断模块，用于判断所述新进程所对应的程序文件大小是否大于预设的大文件阈值；

高压缩比文件分析模块，用于分析大于预设阈值的程序文件是否为高压缩比文件；

进程查杀模块，用于根据所述高压缩比文件判断结果，决定是否查杀所述新进程并发出相应的警示信息。

进一步的，所述大文件阈值大于等于最大可上传至云端服务器进行病毒检测的文件大小值。

进一步的，病毒文件删除模块，用于在进程查杀模块执行之后，删除所述高压缩比文件。

进一步的，所述高压缩比文件分析模块具体包括如下子模块：

比重计算模块，用于获取所述程序文件的代码段、数据段、自定义区域、以及文件尾四段数据分别占整个程序文件的大小比重；

畸形数据段判断模块，用于判断比重最大的数据段的比重是否大于预设的畸形阈值；