[发明专利]用于文件病毒检测的特征获取方法及文件病毒检测的方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种用于文件病毒检测的 特征获取方法及文件病毒检测的方法、装置。

背景技术

随着计算机技术的快速发展和普及，大量的恶意文件(病毒)也随 之滋生，从而严重影响了计算机技术的安全应用，造成严重的计算机安 全隐患。目前，对恶意文件的检测且减少对非恶意文件的误报，大多采 用MD5白名单技术，该技术是通过对每个非恶意文件生成一个MD5值 作为标识，通过该标识阻止引擎对白名单中的文件作出恶意文件病毒检 测结果，从而达到减少误报的目的。发明人发现，由于MD5白名单是通 过将文件与标识进行一对一的比较，并不能通过同一特征来标识一批相 似文件，随着文件特征的多元化，MD5白名单臃肿庞大，另外，由于 MD5白名单不可能包括所有文件的标识，从而不能避免未知文件被误 报。

发明内容

本发明的实施例提供一种用于文件病毒检测的特征获取方法及文件 病毒检测的方法、装置，实现在保护已知文件的同时，避免未知文件被 误报。

为达到上述目的，本发明的实施例采用如下技术方案：

一种用于文件病毒检测的特征获取方法，该方法包括：

在样本文件的设定位置提取多个第一子特征，所述多个第一子特征 形成第一特征向量。

根据多个第二子特征的位置信息对所述多个第一子特征进行重新组 合，得到第二特征向量。

如果在第一特征库中未查询到所述第二特征向量中所包含的子特 征，将所述第二特征向量作为所述样本文件的标识特征加入第二特征库。

一种文件病毒检测的方法，该方法包括：

获取待测文件的特征信息。

确定所述待测文件的特征信息是否在第二特征库中，所述第二特征 库通过上述用于文件病毒检测的特征获取方法获取到。

如果所述待测文件的特征信息不在所述第二特征库中，对所述特征 信息进行启发式鉴定。

如果所述待测文件的特征信息在所述第二特征库中，确定所述待测 文件为非恶意文件。

一种用于文件病毒检测的特征获取装置，该装置包括：

第一获取模块，用于在样本文件的设定位置提取多个第一子特征， 所述多个第一子特征形成第一特征向量。

第二获取模块，用于根据多个第二子特征的位置信息对所述多个第 一子特征进行重新组合，得到第二特征向量。

第一更新模块，用于如果在第一特征库中未查询到所述第二特征向 量中所包含的子特征，将所述第二特征向量作为所述样本文件的标识特 征加入第二特征库。

一种文件病毒检测的装置，该装置包括：

第四获取模块，用于获取待测文件的特征信息；

第一确定模块，用于确定所述待测文件的特征信息是否在第二特征 库中，所述第二特征库通过上述技术方案所述的用于文件病毒检测的特 征获取装置获取到；

启发式鉴定模块，用于如果所述第一确定模块确定所述待测文件的 特征信息不在所述第二特征库中，对所述特征信息进行启发式鉴定；

第二确定模块，用于如果所述第一确定模块确定所述待测文件的特 征信息在所述第二特征库中，确定所述待测文件为非恶意文件。

本发明实施例提供的用于文件病毒检测的特征获取方法及文件病毒 检测的方法、装置，通过用于文件病毒检测的特征获取方法及装置文件 病毒检测获取文件特征，若该文件特征不在第一特征库中，将该文件特 征作为文件的标识特征加入第二特征库，实现对第二特征库的不断更新； 文件病毒检测的方法及装置文件病毒检测基于所述用于文件病毒检测的 特征获取方法文件病毒检测及装置以及其更新的第二特征库，获取待测 文件的特征信息，并对待测文件进行检测，从而避免未知文件被误报， 降低文件误报率。

附图说明

图1为本发明实施例的用于文件病毒检测的特征获取方法流程图。

图2为本发明实施例的离线标识特征获取方法流程图。

图3为本发明实施例的在线标识特征获取方法流程图。

图4为本发明实施例的文件病毒检测的方法流程图。

图5为本发明一实施例的用于文件病毒检测的特征获取装置的结构 示意图。

图6为本发明另一实施例的用于文件病毒检测的特征获取装置的结 构示意图。