[发明专利]一种未知病毒检索方法

权利要求书

1.一种未知病毒检索方法，其特征在于，包括配置对比库、行为提取、行为分析；所述行为分析包括木马识别、可疑行为识别，所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级，所述行为分析包括木马识别和可疑行为识别，所述行为分析还包括：可疑行为校正步骤；

所述可疑行为校正为：从识别的可疑行为中根据预先设置的对比库中的可校正对比文件，将可疑行为识别出并归类为可校正行为。 

2. 如权利要求1所述的一种未知病毒检索方法，其特征在于，所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级，所述过滤行为包括本发明所述行为提取和/或行为分析步骤中产生的行为操作；所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。

3. 如权利要求1所述的一种未知病毒检索方法，其特征在于，所述行为分析中的行为识别步骤为：将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比，若与某一行为的全部操作吻合，则识别成功，否则失败。

4. 如权利要求1所述的一种未知病毒检索方法，其特征在于，所述行为分析还包括特征码对比步骤和特征码提取步骤，

所述特征码提取步骤为：对已完成识别的行为提取特征码，并存储到对比库的历史文件子库中；

所述特征码对比步骤为：识别之前，将待识别行为的特征码与历史文件子库中已存储的特征码对比，若对比成功则根据对比结果作出识别，否则继续后续识别。

5. 如权利要求4所述的一种未知病毒检索方法，其特征在于，所述特征码由md5值和文件后缀名组成。

6.一种未知病毒检索装置，包括对比库、行为提取模块、行为分析模块，所述对比库与行为提取模块、行为分析模块连接，所述行为提取模块和行为分析模块连接，其特征在于，所述对比库包括至少如下子库：木马行为库、可疑行为库和可校正行为库，还包括与对比库连接的用户配置模块。

7. 如权利要求6所述的一种未知病毒检索装置，其特征在于，所述行为分析模块还包括特征码对比模块和特征码提取模块，所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。