专利名称：提取病毒文件特征码的装置和方法以及病毒检测系统的制作方法

技术领域：

本发明涉及移动通信安全领域，特别涉及移动通信病毒监测。

背景技术：

移动通信系统正变得越来越开放和种类繁多，在多变的网络环境中，智能手机正面临着手机病毒的威胁。随着手机的发展，许多针对智能手机的病毒开始影响许多种手机并且在智能手机中进行传播。智能手机具有强大的计算和连网能力，可以方便地连接互联网。然而，当移动用户通过移动网络网上冲浪时，手机病毒可能通过互联网传播，并且受到影响的手机会自动连接恶意网站以获取控制命令、下载新的病毒或者上传用户个人信息。可在移动通信网络中部署手机病毒监测系统以监测手机病毒并防止病毒传播。然而，许多手机病毒能够在智能手机之间迅速传播，所以当发现一个新的病毒时，需要尽可能快地更新手机病毒监测系统。传统上，病毒的特征码是由专家人工形成的而手机病毒监测系统通过从更新服务器下载病毒特征码来更新手机病毒库。另一方面，手机病毒监测系统最好与多个反病毒厂商的特征库结合以监测复杂多变的手机病毒。这样，由于不同厂商的特征库的格式各不相同，所以难以短时间内整合多个反病毒厂商的特征库。而且，由于手机病毒非常危险且可以在短时间内感染许多手机，所以在移动通信网络中的手机病毒检测系统必须具有多种病毒知识库并及时高效地更新病毒特征库。当新的病毒被安全监控网络或专业的安全厂商发现时，必须分析这些手机病毒文件特征码并且在特定的时期内发布，这就出现一个时间空档，手机病毒就可能在这个时间空档攻击。所以，需要一种方法来快速提取病毒特征码，从而能够在出现新病毒时，及时更新手机的病毒特征库。上面的问题，不仅是在移动通信网络中存在，在传统的PC网络中也存在类似的问题。

发明内容

本发明的目的是提供一种提取病毒文件特征码的装置和方法，进而提供一种新的病毒检测系统。以期望缩短病毒识别的过程、降低乃至消除对人工分析病毒样本并形成病毒特征库的依赖，以及缩短病毒出现至病毒特征码发布之间的间隔，从而减小病毒大规模传播和爆发的可能性。按照本发明的一个方面，一种提取病毒文件特征码的装置，包括:文件扫描单元，构造为扫描该病毒文件并确定其类型；对比单元，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；特征选取单元，构造为根据该对比的结果，提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码，即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。其中，该对比单元构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。其中，该特征选取单元构造为选择该对比单元输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。按照本发明另一方面，一种提取病毒文件特征码的装置，包括:文件扫描单元，构造为扫描该病毒文件并确定其类型；对比单元，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比；特征选取单元，构造为根据该对比的结果，提取该病毒文件中这样一组文件块作为该病毒文件的特征码，即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。

其中，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。其中，该特征选取单元(130')构造为执行至少一次下面的循环:选择该第一集合中对应第一计数器值最小的文件块加入第二集合；判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。按照本发明又一方面，一种病毒检测系统，包括:病毒文件管理模块，构造为接收病毒文件；病毒文件预处理模块，构造为检测所接收到的该病毒文件是否为新病毒；病毒文件特征码提取模块，构造为提取该病毒文件的特征码，其中该病毒文件特征码提取模块可以是前述的两种提取病毒文件特征码的装置任一个或其组合；病毒监测模块，构造为根据所提取的病毒文件的特征码检测病毒；病毒特征库同步模块，构造为将病毒文件特征码发送到该病毒监测模块。按照本发明又一方面，一种提取病毒文件特征码的方法，包括:扫描病毒文件确定其类型；将该病毒文件与根据该文件的类型选取的样本文件进行对比；根据对比的结果提取该病毒文件特征码。其中，所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括:得到包含文件块和对应第一计数器值的第一集合。

其中，所述根据对比的结果提取该病毒文件特征码包括:选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码。或者，所述根据对比的结果提取该病毒文件特征码包括:选择这样的文件块组合作为病毒文件特征码，即在每个样本文件中都没有与该病毒文件的该文件块组合相同的特征块组合，其执行至少一次下面的循环步骤:选择该第一集合中对应第一计数器值最小的文件块加入第二集合；判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。按照本发明又一方面，一种计算机可读介质，存储用于执行前述提取病毒文件特征码的方法的计算机可读指令。按照本发明又一方面，一种计算机程序，包括用于执行前述提取病毒文件特征码的方法的计算机可读指令。通过以上技术方案，本发明所取得的积极技术效果在于:可以缩短病毒识别的过程、降低对人工提取病毒特征码的依赖，以及缩短病毒出现至病毒特征码发布之间的间隔，从而减小病毒大规模传播和爆发的可能性。

图1是按照本发明一个实施例，提取病毒文件特征码的装置的示意图。图2是样本文件库的样本文件与病毒文件进行对比的示意图。图3是按照本发明一个实施例，病毒检测系统的示意图。图4是按照本发明一个实施例，病毒检测方法的流程图。10病毒文件20样本文件库30病毒文件40病毒源100提取病毒文件特征码的装置110文件扫描单元120对比单元130特征选取单元130'特征选取单元200病毒检测系统210病毒管理模块220病毒文件预处理模块230病毒文件特征码提取模块 240样本文件库 250病毒特征库同步模块 260病毒检测模块270病毒数据库300提取病毒文件特征码的方法310预处理获取的病毒文件320扫描判断该文件的类型330将病毒文件与样本文件进行对比340提取病毒文件特征码342选择至少一个对应第一计数器值为零的特征块作为病毒文件特征码344选择文件块组合作为病毒文件特征码346选择对应第一计数器值最小的文件块348判断样本文件中是否存在相同的特征块组合

具体实施例方式下面结合附图描述本发明的优选实施方式。在下面的描述中，阐述了许多具体细节以更好地理解本发明。然而，对于本领域技术人员来说，显然，可以不采用下面描述的细节中的一些甚至全部仍可实现本发明。在下面的描述中特征码，没有具体说明公知的技术，以避免不必要的混淆。病毒文件通常是二进制文件，二进制文件是按照其在内存中的存储形式来保存的。在二进制文件中，文件可以按照地址分成多个文件块。例如，本领与技术人员能够了解，根据二维的地址块，文件可以表示为一个二维矩阵，其中的每个元素是某个地址块上的

文件块，即

权利要求

1.一种提取病毒文件(10，30)特征码的装置(100)，其包括: 文件扫描单元(110)，构造为扫描该病毒文件并确定其类型； 对比单元(120)，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比； 特征选取单元(130)，构造为根据该对比的结果，提取该病毒文件中至少一个这样的文件块作为该病毒文件的特征码，即该文件块与该组样本文件的每个样本文件中对应位置的特征块均不相同。

2.根据权利要求1所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

3.根据权利要求2所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该特征选取单元(130)构造为选择该对比单元(120)输出的该第一集合中至少一个对应第一计数器值为零的文件块作为该病毒文件的特征码。

4.一种提取病毒文件(10，30)特征码的装置(100)，包括: 文件扫描单元(110)，构造为扫描该病毒文件并确定其类型； 对比单元(120)，构造为将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比； 特征选取单元(130')，构造为根据该对比的结果，提取该病毒文件中这样一组文件块作为该病毒文件的特征码，即该组样本文件的每个样本文件都没有与该组文件块相同的特征块组合。

5.根据权利要求4所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该对比单元(120)构造为输出包括病毒文件文件块和对应第一计数器值的第一集合，所述第一计数器值表示某个文件块与多少样本文件对应位置的特征块相同。

6.根据权利要求5所述的提取病毒文件(10，30)特征码的装置(100)，其特征在于，该特征选取单元(130')构造为执行至少一次下面的循环: 选择该第一集合中对应第一计数器值最小的文件块加入第二集合； 判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。

7.—种病毒检测系统(200),包括: 病毒文件管理模块(210)，构造为接收病毒文件(10，30)； 病毒文件预处理模块(220)，构造为检测所接收到的该病毒文件是否为新病毒； 病毒文件特征码提取模块(230)，构造为提取该病毒文件的特征码，其中该病毒文件特征码提取模块(230)是权利要求1-3或4-6任一项所述的提取病毒文件特征码的装置(100)； 病毒监测模块(260)，构造为根据所提取的病毒文件的特征码检测病毒； 病毒特征库同步模块(250)，构造为将病毒文件特征码发送到该病毒监测模块(260)。

8.一种提取病毒文件特征码的方法(300)，包括: 扫描病毒文件(10，30)确定其类型； 将该病毒文件与根据该文件的类型选取的样本文件进行对比； 根据对比的结果提取该病毒文件特征码。

9.根据权利要求8所述的提取病毒文件特征码的方法(300)，其特征在于，所述将该病毒文件与根据该文件的类型选取的样本文件进行对比包括:得到包含文件块和对应第一计数器值的第一集合。

10.根据权利要求9所述的提取病毒文件特征码的方法(300)，其特征在于，所述根据对比的结果提取该病毒文件特征码包括:选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码。

11.根据权利要求9所述的提取病毒文件特征码的方法(300)特征码，其特征在于，所述根据对比的结果提取该病毒文件特征码包括:选择这样的文件块组合作为病毒文件特征码，即在每个样本文件中都没有与该病毒文件的该文件块组合相同的特征块组合，其执行至少一次下面的循环步骤: 选择该第一集合中对应第一计数器值最小的文件块加入第二集合； 判断每个样本文件中是否存在与该第二集合的文件块组合相同的特征块组合。

12.—种计算机可读介质，存储用于执行权利要求8-11任一项所述方法的计算机可读指令。

13.一种计算机程序，包括用于执行权利要求8-11任一项所述方法的计算机可读指令。

全文摘要

本发明公开一种提取病毒文件特征码的装置和方法，包括将所述病毒文件的文件块与一组与该病毒文件同类型的样本文件对应位置的特征块进行对比并得到包含文件块和对应第一计数器值的第一集合；以及选择至少一个对应该第一计数器值为零的文件块作为病毒文件特征码，或者选择这样的文件块组合作为病毒文件特征码，即在每个样本文件中都没有与文件块组合相同的特征块组合。本发明还公开一种包含上述提取病毒文件特征码的装置的病毒检测系统。

文档编号G06F21/56GK103164651SQ20111041893

公开日2013年6月19日 申请日期2011年12月15日 优先权日2011年12月15日

发明者郭代飞, 郭涛, 隋爱芬 申请人:西门子公司