[发明专利]病毒特征的提取方法及装置

说明书

技术领域

本发明涉及安全技术领域，具体涉及一种病毒特征的提取方法及装置。

背景技术

作为一种特殊的数据信息，病毒特征是区分病毒文件、病毒感染文件和正常文件的关键，通常被记录在病毒库中。几乎所有杀毒软件都需要根据病毒库中所记录的病毒特征来判断文件是否为病毒文件，以及文件是否已经感染病毒。

现有技术中，病毒类别的划分通常是按照通用的分类规则进行的。比如名称为“Trojan.Downloader-1420”的病毒中的前缀“Trojan”代表该病毒属于木马病毒，而“Downloader-1420”即该病毒与其他木马病毒的区分标识。基于相对固定的分类规则，现有技术就可以对不同类别的病毒分别进行病毒特征的提取。

然而，相对固定的分类规则却很容易导致病毒库中信息的冗余。举例来说，两个相近病毒实际上具有共同的病毒特征，但在分类规则中出于某种原因而被归为不同的类别，因而在病毒库中各自以不同的病毒特征被分别记录。病毒库中信息的冗余会在病毒检测过程中导致大量地重复性判断，不利于病毒检测效率的提升。

发明内容

针对现有技术中的缺陷，本发明提供一种病毒特征的提取方法及装置，可以解决现有技术中相对固定的分类规则很容易导致病毒库中信息的冗余的问题。

第一方面，本发明提供了一种病毒特征的提取装置，包括：

获取单元，用于获取若干个病毒样本；

分类单元，用于将所述获取单元得到的若干个病毒样本分为至少一个类别，以使属于同一个类别的任意两个病毒样本的特征值之间的相似度大于等于一预设阈值；

提取单元，用于对于所述分类单元得到的每一类别，提取属于该类别的所有病毒样本的共同特征。

可选地，所述病毒样本的特征值为该病毒样本在文件格式下的模糊哈希特征值。

可选地，所述分类单元具体包括：

获取模块，用于获取所述获取单元得到的若干个病毒样本的特征值，以组成特征值集合；

估计模块，用于估计每一可用的计算设备的计算速度；

重复模块，用于在所述特征值集合中任意两个特征值之间的相似度小于预设阈值之前，重复地执行下述步骤：

根据所述估计模块得到的每一可用的计算设备的计算速度将所述特征值集合中的所有特征值分配给至少一个计算设备，以使所述至少一个计算设备在处理时间满足预设条件的前提下对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值。

可选地，所述估计模块具体包括：

发送子模块，用于将所述获取单元得到的预设数量的特征值发送给任一可用的计算设备，以使该计算设备对所述预设数量的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值；

获取子模块，用于获取该计算设备的处理时间，以得到所述每一可用的计算设备的计算速度的估计值。

可选地，所述重复模块具体包括：

确定子模块，用于根据所述估计模块得到的每一可用的计算设备的计算速度和所述预设条件确定分配给每一计算设备的特征值的数量；

发送子模块，用于按照所述确定子模块得到的特征值的数量将所述特征值集合中的所有特征值分发给至少一个计算设备，以使所述至少一个计算设备对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值；

接收子模块，用于接收来自所述至少一个计算设备的筛选后的特征值，以更新所述特征值集合。

可选地，所述对分配到的特征值进行筛选，使得任意两个特征值之间的相似度小于所述预设阈值，具体包括：

将一个特征值保留，并对其余的所有特征值依次执行以下步骤：

判断特征值是否与已保留的任一特征值之间的相似度大于等于所述预设阈值；

若是，则将该特征值去除；

若否，则将该特征值保留。

可选地，所述分类单元还包括：

发送模块，用于将所有待聚类的样本分为若干份，并与所述重复模块得到的特征值集合一起分别发送给若干个计算设备，以使所述计算设备依次计算每一样本的特征值与所述特征值集合中所有特征值的相似度，并将每一样本标记为与该样本的特征值之间的相似度最大的特征值所对应的类别；

接收模块，用于接收来自所述若干个计算设备的每一样本的类别标记，以对所有待聚类的样本进行分类。

可选地，所述预设条件包括：

任一计算设备的所述处理时间小于第一预设值；

和/或，

所有计算设备的所述处理时间趋于一致；