[发明专利]一种未知病毒检索方法

说明书

技术领域

本发明属于计算机应用领域，涉及计算机病毒的识别和预防，特别是涉及一种未知病毒检索方法及装置。

背景技术

计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自 我复制的一组计算机指令或者程序代码。计算机病毒通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他程序。

计算机病毒是计算机安全的主要威胁，计算机病毒变种能力日益增强，新病毒产生的速度加快。而目前大多数反病毒软件仍然使用病毒特征值检测方法，这种方法对已知病毒的检测效率较高，但是对于未知的新病毒却无能为力。随着安全领域的发展，又提出了基于程序文件的执行操作行为的检测来发现未知病毒，计算机病毒的操作行为通常包括修改注册表、调用内存、自行改变操作层级、堆栈溢出等，通过提取计算机病毒通常表现出的操作行为，与监控文件的行为进行对比来找到可疑的未知病毒。

目前虽然有不少基于行为的未知病毒的检测手段，但是由于病毒表现行为方式的多样性，容易误报，特别是对所有操作行为的逐一对比分析，占用计算机操作资源，查毒和杀毒时间增加，同时用户依赖于杀毒软件开发商提供的在线升级包对病毒库进行被动更新，用户不能根据自身需求对病毒库进行调整，造成对一些包含类似病毒操作行为的用户自己的非恶意操作也当成病毒误报误杀。

发明内容

为克服现有技术的查毒杀毒方法行为分析过程冗长，增加查毒杀毒时间，同时容易对非恶意操作行为误查误杀的技术缺陷，本发明公开了一种未知病毒检索方法及装置。

本发明所述的一种未知病毒检索方法，包括配置对比库、行为提取、行为分析；所述行为分析包括木马识别、可疑行为识别，所述配置对比库将基本行为按照危险等级分为至少木马行为、可疑行为、可校正行为三级，所述行为分析包括木马识别和可疑行为识别，所述行为分析还包括：可疑行为校正步骤；

所述可疑行为校正为：从识别的可疑行为中根据预先设置的对比库中的可校正对比文件，将可疑行为识别出并归类为可校正行为。 

采用本发明所述的未知病毒检索方法，将操作行为分为木马行为、可疑行为和可校正行为，用户可以自行配置各个危险等级对应的行为，满足不同用户的不同需求，通过减少可疑行为或木马行为配置，减少无谓分析过程，提高了查毒效率。

优选的，所述配置对比库将基本行为按照危险等级分为木马行为、可疑行为、可校正行为、过滤行为四级，所述过滤行为包括本发明所述行为提取和/或行为分析步骤中产生的行为操作；所述行为分析还包括位于木马识别、可疑行为识别之前的过滤步骤。

过滤行为和过滤步骤的设定进一步缩短了文件分析的时间。

优选的，所述行为分析中的行为识别步骤为：将待识别行为的全部操作与对比库中对应危险等级的所有行为的全部操作进行对比，若与某一行为的全部操作吻合，则识别成功，否则失败。

优选的，所述行为分析还包括特征码对比步骤和特征码提取步骤，

所述特征码提取步骤为：对已完成识别的行为提取特征码，并存储到对比库的历史文件子库中；

所述特征码对比步骤为：识别之前，将待识别行为的特征码与历史文件子库中已存储的特征码对比，若对比成功则根据对比结果作出识别，否则继续后续识别。

通过文件特征码对比快速判断出该文件是否是已知的木马文件或安全文件，有效提高文件分析效率。

进一步的，所述特征码由md5值和文件后缀名组成。

本发明还公开了一种未知病毒检索装置，包括对比库、行为提取模块、行为分析模块，所述对比库与行为提取模块、行为分析模块连接，所述行为提取模块和行为分析模块连接，其特征在于，所述对比库包括至少如下子库：木马行为库、可疑行为库和可校正行为库，还包括与对比库连接的用户配置模块。

优选的，所述行为分析模块还包括特征码对比模块和特征码提取模块，所述对比库还包括与所述特征码对比模块和特征码提取模块连接的历史文件子库。

采用本发明所述的未知病毒检索装置，可以实现本发明所述未知病毒检索方法。

附图说明

图1为本发明所述木马行为识别过程的一种具体实施方式结构示意图；

图2为本发明所述可疑行为识别过程的一种具体实施方式结构示意图；

图3为本发明所述未知病毒检索装置的一种具体实施方式结构示意图。

具体实施方式