一種病毒檢測方法及病毒檢測引擎的制作方法
【專利摘要】本發(fā)明實施例公開一種病毒檢測方法及病毒檢測引擎�,應(yīng)用于病毒檢測領(lǐng)域����,能夠解決現(xiàn)有的病毒檢測耗時大效率低的問題。該方法包括:接收應(yīng)用文件�����,其中應(yīng)用文件中包括證書文件�;從應(yīng)用文件的證書文件中抽取證書簽名,證書簽名和證書文件一一對應(yīng)�����,將證書簽名與簽名數(shù)據(jù)庫進行匹配�,根據(jù)匹配結(jié)果判斷應(yīng)用文件是否為病毒。本發(fā)明的實施例應(yīng)用于病毒檢測��。
【專利說明】一種病毒檢測方法及病毒檢測弓I擎
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及病毒檢測領(lǐng)域�����,尤其涉及一種病毒檢測方法及病毒檢測引擎�����。
【背景技術(shù)】
[0002]特征碼,是一種特征信息����,通常是從一種病毒代碼中提取的連續(xù)的不含空格的字符串,并作為此類病毒的特征記錄保存在病毒庫中����。在病毒發(fā)展的早期,特征碼技術(shù)在對抗病毒方面發(fā)揮了巨大的作用���,它今天依然是整個反病毒體制的最基本支撐技術(shù)��。但現(xiàn)在變形技術(shù)已經(jīng)被病毒廣泛采用����,對病毒庫中沒有特征碼的病毒幾乎不能檢測����。
[0003]現(xiàn)有病毒檢測弓I擎通常根據(jù)某些病毒的特征信息進行的匹配檢測�����,匹配檢測需要對應(yīng)用可執(zhí)行文件進行解析�����,而應(yīng)用可執(zhí)行文件的大小一般很大,因此在對可執(zhí)行文件進行解析與特征抽取時所需的計算量很大����,因此耗時比較大,效率較低����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明實施例提供一種病毒檢測方法及病毒檢測引擎,以解決現(xiàn)有的病毒檢測耗時大效率低的問題���。
[0005]本發(fā)明的第一方面提供一種病毒檢測方法�,包括:接收應(yīng)用文件����,其中所述應(yīng)用文件中包括證書文件;從所述應(yīng)用證書的所述證書文件中抽取證書簽名�����,所述證書簽名和所述證書文件一一對應(yīng)����,將所述證書簽名與簽名數(shù)據(jù)庫進行匹配���,根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒。
[0006]根據(jù)第一方面���,在第一種可能的實現(xiàn)方式中���,所述根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒,包括:若所述匹配結(jié)果為匹配��,則所述應(yīng)用文件是為病毒�����;若所述匹配結(jié)果為不匹配�,則提取所述證書文件的特征信息,根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒����。
[0007]根據(jù)第一方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中�����,所述根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒�,包括:
[0008]提取所述證書文件的特征信息;將所述特征信息進行格式化處理�,以便于特征信息的格式符合病毒檢測引擎的格式要求;將經(jīng)過格式化處理的特征信息與病毒庫進行匹配���;若所述匹配結(jié)果為匹配�,則判斷所述應(yīng)用文件是為病毒�����。
[0009]本發(fā)明的第二方面提供一種病毒檢測引擎���,包括:
[0010]接收模塊,用于接收應(yīng)用文件���,其中所述應(yīng)用文件中包括證書文件�;
[0011]匹配模塊����,用于從所述應(yīng)用證書的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應(yīng),將所述證書簽名與簽名數(shù)據(jù)庫進行匹配�,根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒���。
[0012]根據(jù)第一方面�����,在第一種可能的實現(xiàn)方式中��,所述匹配模塊包括:
[0013]第一判斷子模塊,用于若所述匹配結(jié)果為匹配����,則判斷所述應(yīng)用文件是為病毒�����;
[0014]第二判斷子模塊,用于若所述匹配結(jié)果為不匹配����,則提取所述證書文件的特征信息���,根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒�����。
[0015]根據(jù)第一方面的第一種可能的實現(xiàn)方式,在第二種可能的實現(xiàn)方式中���,所述第二判斷子模塊���,包括:
[0016]提取子模塊,用于提取所述證書文件的特征信息�;
[0017]格式處理子模塊��,用于將所述特征信息進行格式化處理��,以便于特征信息的格式符合病毒檢測引擎的格式要求;
[0018]第三判斷子模塊��,用于將經(jīng)過格式化處理的特征信息與病毒庫進行匹配;若所述匹配結(jié)果為匹配�,則判斷所述應(yīng)用文件是為病毒�����。
[0019]本發(fā)明實施例提供的病毒檢測方法及病毒檢測引擎,通過對從證書文件抽取的證書簽名與簽名數(shù)據(jù)庫進行匹配�,根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒����,極大的減少了耗時,提高了病毒檢測效率����。
【專利附圖】
【附圖說明】
[0020]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹��。
[0021]圖1為本發(fā)明實施例提供的一種病毒引擎檢測方法的流程示意圖;
[0022]圖2為本發(fā)明實施例提供的一種病毒檢測引擎的結(jié)構(gòu)示意圖。
【具體實施方式】
[0023]下面將結(jié)合本發(fā)明實施例中的附圖����,對本發(fā)明實施例中的技術(shù)方案進行清楚��、完整地描述,顯然���,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例��。
[0024]圖1為本發(fā)明實施例提供的一種病毒檢測方法的流程示意圖���,該方法通常由病毒檢測引擎執(zhí)行����,參考圖1,該方法主要包括以下步驟:
[0025]10���、接收應(yīng)用文件���,其中應(yīng)用文件中包括證書文件。
[0026]其中���,應(yīng)用文件通常為可執(zhí)行文件���、音樂或視頻等文件,例如APP�����。證書文件攜帶應(yīng)用開發(fā)者的相關(guān)信息�,包括證書頒發(fā)者���、證書持有者、證書有效期等信息����。證書文件包含在接收到的應(yīng)用文件中。
[0027]20���、從應(yīng)用證書的證書文件中抽取證書簽名,證書簽名和證書文件一一對應(yīng)�����,將證書簽名與簽名數(shù)據(jù)庫進行匹配,根據(jù)匹配結(jié)果判斷應(yīng)用文件是否為病毒��。
[0028]證書簽名可以作為一個證書文件的唯一標(biāo)識,證書簽名包含在一個證書文件所攜帶的內(nèi)容信息中����。
[0029]內(nèi)容信息是指證書文件的內(nèi)容信息����,將證書文件按照字節(jié)流的方式讀取����,并按照其相應(yīng)的證書格式提取其中特定的某一部分字節(jié)作為該證書的標(biāo)識(證書內(nèi)容信息提取一般根據(jù)證書格式實現(xiàn))��。
[0030]證書文件存在于應(yīng)用文件包中���,具有特定的文件后綴名(如.cert,.crt, RSA,.P12等),證書文件的抽取一般通過讀取該特定的文件后綴名�。
[0031]抽取證書簽名可以采用選取標(biāo)準的摘要算法(如MD5),形成證書信息摘要�,作為此證書的唯一標(biāo)識。另一種方法是對應(yīng)用文件內(nèi)容信息的提取�����,該種方法是根據(jù)證書文件的格式��,選取證書文件中的某一部分作為該證書文件的唯一標(biāo)識����。
[0032]傳統(tǒng)的病毒檢測引擎需要對應(yīng)用文件進行解析,而應(yīng)用文件的大小一般要比證書文件大得多�,因此在對應(yīng)用文件進行解析與特征抽取時所需的計算量要遠大于對于證書文件的解析。而且���,應(yīng)用文件的大小也對應(yīng)于應(yīng)用功能�,一般來說應(yīng)用功能越強大,那么其可執(zhí)行文件也就越大����。而應(yīng)用的證書文件具有固定格式,文件大小不會隨著應(yīng)用功能的大小而有很大差別���。本實施例�����,通過對從證書文件抽取的證書簽名與簽名數(shù)據(jù)庫進行匹配���,根據(jù)匹配結(jié)果判斷應(yīng)用文件是否為病毒���,極大的減少了耗時��,提高了病毒檢測效率���。
[0033]具體地,步驟20中�����,根據(jù)匹配結(jié)果判斷應(yīng)用文件是否為病毒,包括:
[0034]若匹配結(jié)果為匹配�,則應(yīng)用文件是為病毒;
[0035]若匹配結(jié)果為不匹配�����,則提取證書文件的特征信息�,根據(jù)特征信息判斷應(yīng)用文件是否為病毒。
[0036]可選地���,根據(jù)特征信息判斷應(yīng)用文件是否為病毒���,包括:
[0037]201、提取證書文件的特征信息���。
[0038]202����、將特征信息進行格式化處理����,以便于特征信息的格式符合病毒檢測引擎的格式要求。
[0039]203、將經(jīng)過格式化處理的特征信息與病毒庫進行匹配���;若匹配結(jié)果為匹配�,則判斷應(yīng)用文件是為病毒�����。
[0040]其中���,抽取的內(nèi)容可以根據(jù)需要���,對應(yīng)用文件解析后的信息提取特征區(qū)域的字符串作為特征信息,證書所有者��、發(fā)布者��、有效日期���、序列號也可以作為特征信息,但是病毒檢測匹配中的特征信息必須具有唯一性�����,需選用證書MD5等信息。
[0041]對提取后的應(yīng)用文件的特征信息進行格式化處理���。
[0042]格式化處理是依照特定的環(huán)境要求���,例如,依賴于特征庫的存儲范式�,構(gòu)造指定程序?qū)μ崛〉降男畔⑦M行處理。將所有提取的證書文件格式統(tǒng)一化處理���,形成證書文件與特征信息的映射關(guān)系�����,例如建立存儲范式如表1:
[0043]表1格式化存儲范式示意
[0044]
【權(quán)利要求】
1.一種病毒檢測方法�,其特征在于�����,包括: 接收應(yīng)用文件�����,其中所述應(yīng)用文件中包括證書文件�; 從所述應(yīng)用文件的所述證書文件中抽取證書簽名�,所述證書簽名和所述證書文件一一對應(yīng)�,將所述證書簽名與簽名數(shù)據(jù)庫進行匹配,根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒���。
2.根據(jù)權(quán)利要求1所述的方法�����,其特征在于��,所述根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒��,包括: 若所述匹配結(jié)果為匹配���,則所述應(yīng)用文件是為病毒; 若所述匹配結(jié)果為不匹配����,則提取所述證書文件的特征信息,根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒���。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于���,所述根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒���,包括: 提取所述證書文件的特征信息; 將所述特征信息進行格式化處理����,以便于特征信息的格式符合病毒檢測引擎的格式要求; 將經(jīng)過格式化處理的特征信息與病毒庫進行匹配��;若所述匹配結(jié)果為匹配��,則判斷所述應(yīng)用文件是為病毒�。
4.一種病毒檢測引擎,其特征在于�,包括: 接收模塊,用于接收應(yīng)用文件����,其中所述應(yīng)用文件中包括證書文件; 匹配模塊����,用于從所述應(yīng)用證書的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應(yīng)�����,將所述證書簽名與簽名數(shù)據(jù)庫進行匹配,根據(jù)匹配結(jié)果判斷所述應(yīng)用文件是否為病毒��。
5.根據(jù)權(quán)利要求4所述的病毒檢測引擎����,其特征在于,所述匹配模塊包括: 第一判斷子模塊���,用于若所述匹配結(jié)果為匹配�,則判斷所述應(yīng)用文件是為病毒����; 第二判斷子模塊,用于若所述匹配結(jié)果為不匹配�����,則提取所述證書文件的特征信息����,根據(jù)所述特征信息判斷所述應(yīng)用文件是否為病毒。
6.根據(jù)權(quán)利要求5所述的病毒檢測引擎�����,其特征在于���,所述第二判斷子模塊����,包括: 提取子模塊����,用于提取所述證書文件的特征信息��; 格式處理子模塊,用于將所述特征信息進行格式化處理�����,以便于特征信息的格式符合病毒檢測引擎的格式要求; 第三判斷子模塊�����,用于將經(jīng)過格式化處理的特征信息與病毒庫進行匹配���;若所述匹配結(jié)果為匹配��,則判斷所述應(yīng)用文件是為病毒��。
【文檔編號】G06F21/56GK104200163SQ201410428004
【公開日】2014年12月10日 申請日期:2014年8月27日 優(yōu)先權(quán)日:2014年8月27日
【發(fā)明者】李 根, 孫云霄, 王佰玲, 劉揚, 王孝朋, 何輝 申請人:哈爾濱工業(yè)大學(xué)(威海)