[发明专利]病毒辨识方法与装置

说明书

技术领域

本发明涉及网络安全技术领域，尤其是一种病毒辨识方法与装置。

背景技术

近年来，计算机在各个领域内获得了广泛的应用，但随之而来的计算机病毒却对它的实际应用带来了威胁。再加上计算机病毒的潜伏性、传染性、破坏性，使病毒的防范工作更加复杂。当今的计算机病毒通常具有自动更新功能，病毒作者习惯使用加壳、重编译、病毒工程小范围修改的方法迅速放出病毒变种，以及采用多种共用的病毒模块重新组合的方式制作新病毒，从而使病毒查杀软件（即：杀毒软件）查杀不到变化后的病毒。

在实现本发明的过程中，发明人发现，目前的计算机病毒查杀方法一般使用入口加偏移的方法来定位病毒特征码，病毒特征码与病毒一一对应，若病毒特征码与病毒查杀软件的特征码库相符，则可判定为病毒。如果病毒采用前述方法变化后，就完全改变了病毒特征码，与病毒查杀软件中现有的特征码库不匹配，导致病毒查杀软件不能查杀病毒变种或者新病毒。因此，现阶段的病毒查杀方法只能通过及时升级特征码库的方法来查杀此类病毒。同时，对于新出现病毒，因为尚无特征码也极难判别。

发明内容

本发明实施例所要解决的技术问题是：提供一种病毒辨识方法与装置，以实现对病毒的全面识别，包括已知病毒原型、已知病毒变种或部分新病毒的识别。

本发明实施例提供的一种病毒辨识方法，包括：

接收文件的数据流；

根据预设策略确定所述文件的文件分片数N，其中，N的取值为大于1的整数；

根据文件分片数N与所述文件中的语义结束符，将所述文件分为N片子文件；

依次使用散列算法计算N片子文件的散列值；

依次对所述N片子文件的散列值进行拼接，形成特征码；

将所述特征码与已知特征码数据库中的标准特征码进行对比；

若已知特征码数据库中存在与所述特征码的相似度高于预设相似度的标准特征码，判定所述文件为病毒。

上述方法的一个具体实施例中，若已知特征码数据库中存在与所述特征码的相似度高于预设相似度的标准特征码，判定所述文件为病毒包括：

若已知特征码数据库中存在与所述特征码完全一致的标准特征码，判定所述文件为病毒原型；

若已知特征码数据库中存在与所述特征码的相似度小于1且高于预设相似度的标准特征码，判定所述文件为病毒变种或部分新病毒。

上述方法的一个具体实施例中，依次使用散列算法计算N片子文件的散列值包括：

依次采用哈希算法计算N片子文件的哈希值；

依次对所述N片子文件的散列值进行拼接包括：依次对所述N片子文件的哈希值进行拼接。

上述方法的一个具体实施例中，所述哈希算法包括信息摘要算法MD5；

所述哈希值包括文件摘要。

上述方法的一个具体实施例中，判定所述文件为病毒之后，还包括：

将所述特征码作为标准特征码加入所述特征码库。

本发明实施例提供的一种病毒辨识装置，包括：

接收单元，用于接收文件的数据流；

确定单元，用于根据预设策略确定所述文件的文件分片数N，其中，N的取值为大于1的整数；

切分单元，用于根据文件分片数N与所述文件中的语义结束符，将所述文件分为N片子文件；

计算单元，用于依次使用散列算法计算N片子文件的散列值；

拼接单元，用于依次对所述N片子文件的散列值进行拼接，形成特征码；

对比单元，用于将所述特征码与已知特征码数据库中的标准特征码进行对比；

判定单元，用于根据对比单元的对比结果，若已知特征码数据库中存在与所述特征码的相似度高于预设相似度的标准特征码，判定所述文件为病毒。

上述装置的一个具体实施例中，所述判定单元，具体根据对比单元的对比结果，若已知特征码数据库中存在与所述特征码完全一致的标准特征码，判定所述文件为病毒原型；若已知特征码数据库中存在与所述特征码的相似度小于1且高于预设相似度的标准特征码，判定所述文件为病毒变种或部分新病毒。

上述装置的一个具体实施例中，所述计算单元，具体依次采用哈希算法计算N片子文件的哈希值；

所述拼接单元，具体依次对所述N片子文件的哈希值进行拼接。

上述装置的一个具体实施例中，所述哈希算法包括信息摘要算法MD5；

所述哈希值包括文件摘要。

上述装置的一个具体实施例中，还包括已知特征码数据库，用于存储标准特征码，每一个标准特征码对应一个病毒；