[发明专利]结合文件识别的病毒检测方法

说明书

本发明公开了一种结合文件识别的病毒检测方法，包括：S1、加载真实文件类型信息库；S2、根据待检测文件的文件头标识和所述真实文件类型信息库内数据判断待检测文件的魔数类别magic_type；S3、判断已确定magic_type的待检测文件的文件类型file_type；S4、仅在文件类型file_type为可执行文件时，对文件执行防病毒检测。其通过将文件识别技术和病毒检测相结合，有效的提高了病毒的检测效率，使得能够快速地检测网络病毒，从而保证了网络中信息的安全性，从而为用户提供快速且安全的网络应用环境。

技术领域

本发明涉及网络安全技术领域，特别涉及一种结合文件识别的病毒检测方法。

背景技术

防病毒技术是基于特征码/病毒库的，也就是在计算机程序中找特征码，然后与病毒库比对。但现在病毒种类繁多，如果再加上病毒变种，有数十万种，而且还在不断增加，这样就显得效率低下。无论是传统的防病毒技术还是如今的网络病毒检测技术都面临着同样的问题。对于传统的防病毒技术而言，一台普通个人计算机的总文件数应该在10万个左右（有大部分人的机器会更少），这些文件中还有很多不会携带病毒（只有可执行文件才会携带病毒，文本文件等一般不会携带病毒）。对于网络病毒检测技术而言，网络中传输的文件大多也不是可执行文件，庞大的文件数量会加大防病毒检测引擎的负担，无用文件的检测消耗了大量的性能使得病毒检测效率低下。

发明内容

本发明的一个目的是解决至少上述问题，并提供至少后面将说明的优点。

本发明还有一个目的是提供一种结合文件识别的病毒检测方法，通过将文件识别技术和病毒检测相结合，有效的提高了病毒的检测效率，使得能够快速地检测网络病毒，从而保证了网络中信息的安全性，从而为用户提供快速且安全的网络应用环境。

为了实现根据本发明的这些目的和其它优点，提供了一种结合文件识别的病毒检测方法，包括以下步骤：

S1、加载真实文件类型信息库；

S2、根据待检测文件的文件头标识和所述真实文件类型信息库内数据判断待检测文件的魔数类别magic_type；

S3、判断已确定magic_type的待检测文件的文件类型file_type；

S4、仅在文件类型file_type为可执行文件时，对文件执行防病毒检测。

优选的是，所述的结合文件识别的病毒检测方法中，S1中，在所述真实文件类型信息库已有的情况下，加载真实文件类型信息库具体包括：

S1-1、读取所述真实文件类型信息库；

S1-2、解析所述真实文件类型信息库内的真实文件信息；

S1-3、将解析的真实文件信息作为真实文件数据进行加载。

优选的是，所述的结合文件识别的病毒检测方法中，所述真实文件数据包括：固定偏移量、固定偏移量匹配文件标识、不固定偏移量匹配文件标识、是否区分大小写，以及是否跳过空格。

优选的是，所述的结合文件识别的病毒检测方法中，S2中，根据待检测文件的文件头标识和所述真实文件类型信息库内数据判断待检测文件的魔数类别magic_type，具体包括：

S2-1、将待检测文件的前1024字节数据遍历，并与所述真实文件数据遍历比较；

S2-2、根据待检测文件的分类不同，对待检测文件的字节数据进行处理；

S2-3、将处理后的字节数据通过与真实文件类型信息库中的数据进行匹配，通过固定偏移量、固定偏移量匹配文件标识、不固定偏移量匹配文件标识，以及是否大小写数据对处理后的字节数据进行匹配后得到所述待检测文件的魔数类别magic_type。