[发明专利]一种病毒特征码提取的方法和装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种病毒特征码提取的方法和装置。

背景技术

计算机网络技术的飞速发展，尤其是互联网的应用变得越来越广泛，在带来了前所未有的海量的信息的同时，也使得计算机病毒的传播更加便捷。计算机病毒生成工具的出现后网络信息的安全性更是受到极大威胁。这些恶意程序一旦发作就会对计算机系统造成破坏，轻则篡改文件、影响系统稳定与执行效率、窃取信息，重则导致系统瘫痪，甚至破坏系统硬件部分，严重威胁到信息安全。

目前普遍使用的杀毒软件技术大多只能检测和查杀已知类型的恶意程序，使用的最广泛的检测方法就是特征码技术。现有的特征码提取技术主要是由反病毒工程师通过对恶意程序的逆向工程以及其它分析，手动或者半手动提取得到。

在实现本发明的过程中，发明人发现现有技术中存在以下缺点：

现有技术中，一旦有新的病毒或病毒变种出现就需要由反病毒工程师手动或者半手动提取该病毒的特征码，再通过升级的方式更新用户计算机上杀毒软件的病毒特征库，用于这个过程是通过手动或者半手动的方式完成的，所以会耗费大量的人力、物力、尤其是时间，病毒特征码的提取效率较低。

发明内容

本发明实施例提供了一种病毒特征码提取的方法和装置，以提高病毒特征码的提取效率。

本发明实施例提供了一种病毒特征码提取的方法，包括以下步骤：

对病毒样本进行分类；

所述对病毒样本进行分类包括：

通过运行所述病毒样本采集所述病毒样本的行为，根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本；

扫描所述非感染型病毒样本，获得所述非感染型病毒样本文件导入表中导入函数的数量，根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本；

扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件，获得所述正常文件和所述被感染文件的入口点信息，根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本；

其中，所述根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本包括：将所述导入函数的数量小于预先设定的阈值的所述非感染型病毒样本分类为非感染加壳型病毒样本；将所述导入函数的数量不小于预先设定的阈值的所述非感染型病毒样本分类为非感染非加壳型病毒样本；

其中，所述根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本包括：若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点不同，则将所述感染型病毒样本分类为修改入口点的感染型病毒样本；若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点相同，则将所述感染型病毒样本分类为不修改入口点的感染型病毒样本；

根据所述病毒样本的分类结果提取所述病毒样本的特征码；

其中，所述根据所述病毒样本的分类结果提取所述病毒样本的特征码包括：从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息，将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码；

从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串，对所述字符串进行散列计算，将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码；

对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串，利用相似算法计算所述多个被感染文件的字符串的相似度，提取相似度大于设定的阈值的字符串的相同部分作为公共字符串，用通配符替换相似度大于设定的阈值的字符串的不同部分，将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码；

对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件，利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度，提取相似度大于设定的阈值的字符串的相同部分作为公共字符串，用通配符替换相似度大于设定的阈值的字符串的不同部分，将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。

本发明实施例提供了一种病毒特征码提取装置，包括：

分类单元，用于对病毒样本进行分类；

提取单元，用于根据所述分类单元得到的病毒样本的分类结果提取所述病毒样本的特征码；

其中，所述分类单元包括：