一種病毒檢測方法及病毒檢測引擎的制作方法
【專利摘要】本發明實施例公開一種病毒檢測方法及病毒檢測引擎,應用于病毒檢測領域,能夠解決現有的病毒檢測耗時大效率低的問題。該方法包括:接收應用文件,其中應用文件中包括證書文件;從應用文件的證書文件中抽取證書簽名,證書簽名和證書文件一一對應,將證書簽名與簽名數據庫進行匹配,根據匹配結果判斷應用文件是否為病毒。本發明的實施例應用于病毒檢測。
【專利說明】一種病毒檢測方法及病毒檢測弓I擎
【技術領域】
[0001]本發明涉及病毒檢測領域,尤其涉及一種病毒檢測方法及病毒檢測引擎。
【背景技術】
[0002]特征碼,是一種特征信息,通常是從一種病毒代碼中提取的連續的不含空格的字符串,并作為此類病毒的特征記錄保存在病毒庫中。在病毒發展的早期,特征碼技術在對抗病毒方面發揮了巨大的作用,它今天依然是整個反病毒體制的最基本支撐技術。但現在變形技術已經被病毒廣泛采用,對病毒庫中沒有特征碼的病毒幾乎不能檢測。
[0003]現有病毒檢測弓I擎通常根據某些病毒的特征信息進行的匹配檢測,匹配檢測需要對應用可執行文件進行解析,而應用可執行文件的大小一般很大,因此在對可執行文件進行解析與特征抽取時所需的計算量很大,因此耗時比較大,效率較低。
【發明內容】
[0004]本發明實施例提供一種病毒檢測方法及病毒檢測引擎,以解決現有的病毒檢測耗時大效率低的問題。
[0005]本發明的第一方面提供一種病毒檢測方法,包括:接收應用文件,其中所述應用文件中包括證書文件;從所述應用證書的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應,將所述證書簽名與簽名數據庫進行匹配,根據匹配結果判斷所述應用文件是否為病毒。
[0006]根據第一方面,在第一種可能的實現方式中,所述根據匹配結果判斷所述應用文件是否為病毒,包括:若所述匹配結果為匹配,則所述應用文件是為病毒;若所述匹配結果為不匹配,則提取所述證書文件的特征信息,根據所述特征信息判斷所述應用文件是否為病毒。
[0007]根據第一方面的第一種可能的實現方式,在第二種可能的實現方式中,所述根據所述特征信息判斷所述應用文件是否為病毒,包括:
[0008]提取所述證書文件的特征信息;將所述特征信息進行格式化處理,以便于特征信息的格式符合病毒檢測引擎的格式要求;將經過格式化處理的特征信息與病毒庫進行匹配;若所述匹配結果為匹配,則判斷所述應用文件是為病毒。
[0009]本發明的第二方面提供一種病毒檢測引擎,包括:
[0010]接收模塊,用于接收應用文件,其中所述應用文件中包括證書文件;
[0011]匹配模塊,用于從所述應用證書的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應,將所述證書簽名與簽名數據庫進行匹配,根據匹配結果判斷所述應用文件是否為病毒。
[0012]根據第一方面,在第一種可能的實現方式中,所述匹配模塊包括:
[0013]第一判斷子模塊,用于若所述匹配結果為匹配,則判斷所述應用文件是為病毒;
[0014]第二判斷子模塊,用于若所述匹配結果為不匹配,則提取所述證書文件的特征信息,根據所述特征信息判斷所述應用文件是否為病毒。
[0015]根據第一方面的第一種可能的實現方式,在第二種可能的實現方式中,所述第二判斷子模塊,包括:
[0016]提取子模塊,用于提取所述證書文件的特征信息;
[0017]格式處理子模塊,用于將所述特征信息進行格式化處理,以便于特征信息的格式符合病毒檢測引擎的格式要求;
[0018]第三判斷子模塊,用于將經過格式化處理的特征信息與病毒庫進行匹配;若所述匹配結果為匹配,則判斷所述應用文件是為病毒。
[0019]本發明實施例提供的病毒檢測方法及病毒檢測引擎,通過對從證書文件抽取的證書簽名與簽名數據庫進行匹配,根據匹配結果判斷所述應用文件是否為病毒,極大的減少了耗時,提高了病毒檢測效率。
【專利附圖】
【附圖說明】
[0020]為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹。
[0021]圖1為本發明實施例提供的一種病毒引擎檢測方法的流程示意圖;
[0022]圖2為本發明實施例提供的一種病毒檢測引擎的結構示意圖。
【具體實施方式】
[0023]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分實施例,而不是全部的實施例。
[0024]圖1為本發明實施例提供的一種病毒檢測方法的流程示意圖,該方法通常由病毒檢測引擎執行,參考圖1,該方法主要包括以下步驟:
[0025]10、接收應用文件,其中應用文件中包括證書文件。
[0026]其中,應用文件通常為可執行文件、音樂或視頻等文件,例如APP。證書文件攜帶應用開發者的相關信息,包括證書頒發者、證書持有者、證書有效期等信息。證書文件包含在接收到的應用文件中。
[0027]20、從應用證書的證書文件中抽取證書簽名,證書簽名和證書文件一一對應,將證書簽名與簽名數據庫進行匹配,根據匹配結果判斷應用文件是否為病毒。
[0028]證書簽名可以作為一個證書文件的唯一標識,證書簽名包含在一個證書文件所攜帶的內容信息中。
[0029]內容信息是指證書文件的內容信息,將證書文件按照字節流的方式讀取,并按照其相應的證書格式提取其中特定的某一部分字節作為該證書的標識(證書內容信息提取一般根據證書格式實現)。
[0030]證書文件存在于應用文件包中,具有特定的文件后綴名(如.cert,.crt, RSA,.P12等),證書文件的抽取一般通過讀取該特定的文件后綴名。
[0031]抽取證書簽名可以采用選取標準的摘要算法(如MD5),形成證書信息摘要,作為此證書的唯一標識。另一種方法是對應用文件內容信息的提取,該種方法是根據證書文件的格式,選取證書文件中的某一部分作為該證書文件的唯一標識。
[0032]傳統的病毒檢測引擎需要對應用文件進行解析,而應用文件的大小一般要比證書文件大得多,因此在對應用文件進行解析與特征抽取時所需的計算量要遠大于對于證書文件的解析。而且,應用文件的大小也對應于應用功能,一般來說應用功能越強大,那么其可執行文件也就越大。而應用的證書文件具有固定格式,文件大小不會隨著應用功能的大小而有很大差別。本實施例,通過對從證書文件抽取的證書簽名與簽名數據庫進行匹配,根據匹配結果判斷應用文件是否為病毒,極大的減少了耗時,提高了病毒檢測效率。
[0033]具體地,步驟20中,根據匹配結果判斷應用文件是否為病毒,包括:
[0034]若匹配結果為匹配,則應用文件是為病毒;
[0035]若匹配結果為不匹配,則提取證書文件的特征信息,根據特征信息判斷應用文件是否為病毒。
[0036]可選地,根據特征信息判斷應用文件是否為病毒,包括:
[0037]201、提取證書文件的特征信息。
[0038]202、將特征信息進行格式化處理,以便于特征信息的格式符合病毒檢測引擎的格式要求。
[0039]203、將經過格式化處理的特征信息與病毒庫進行匹配;若匹配結果為匹配,則判斷應用文件是為病毒。
[0040]其中,抽取的內容可以根據需要,對應用文件解析后的信息提取特征區域的字符串作為特征信息,證書所有者、發布者、有效日期、序列號也可以作為特征信息,但是病毒檢測匹配中的特征信息必須具有唯一性,需選用證書MD5等信息。
[0041]對提取后的應用文件的特征信息進行格式化處理。
[0042]格式化處理是依照特定的環境要求,例如,依賴于特征庫的存儲范式,構造指定程序對提取到的信息進行處理。將所有提取的證書文件格式統一化處理,形成證書文件與特征信息的映射關系,例如建立存儲范式如表1:
[0043]表1格式化存儲范式示意
[0044]
【權利要求】
1.一種病毒檢測方法,其特征在于,包括: 接收應用文件,其中所述應用文件中包括證書文件; 從所述應用文件的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應,將所述證書簽名與簽名數據庫進行匹配,根據匹配結果判斷所述應用文件是否為病毒。
2.根據權利要求1所述的方法,其特征在于,所述根據匹配結果判斷所述應用文件是否為病毒,包括: 若所述匹配結果為匹配,則所述應用文件是為病毒; 若所述匹配結果為不匹配,則提取所述證書文件的特征信息,根據所述特征信息判斷所述應用文件是否為病毒。
3.根據權利要求2所述的方法,其特征在于,所述根據所述特征信息判斷所述應用文件是否為病毒,包括: 提取所述證書文件的特征信息; 將所述特征信息進行格式化處理,以便于特征信息的格式符合病毒檢測引擎的格式要求; 將經過格式化處理的特征信息與病毒庫進行匹配;若所述匹配結果為匹配,則判斷所述應用文件是為病毒。
4.一種病毒檢測引擎,其特征在于,包括: 接收模塊,用于接收應用文件,其中所述應用文件中包括證書文件; 匹配模塊,用于從所述應用證書的所述證書文件中抽取證書簽名,所述證書簽名和所述證書文件一一對應,將所述證書簽名與簽名數據庫進行匹配,根據匹配結果判斷所述應用文件是否為病毒。
5.根據權利要求4所述的病毒檢測引擎,其特征在于,所述匹配模塊包括: 第一判斷子模塊,用于若所述匹配結果為匹配,則判斷所述應用文件是為病毒; 第二判斷子模塊,用于若所述匹配結果為不匹配,則提取所述證書文件的特征信息,根據所述特征信息判斷所述應用文件是否為病毒。
6.根據權利要求5所述的病毒檢測引擎,其特征在于,所述第二判斷子模塊,包括: 提取子模塊,用于提取所述證書文件的特征信息; 格式處理子模塊,用于將所述特征信息進行格式化處理,以便于特征信息的格式符合病毒檢測引擎的格式要求; 第三判斷子模塊,用于將經過格式化處理的特征信息與病毒庫進行匹配;若所述匹配結果為匹配,則判斷所述應用文件是為病毒。
【文檔編號】G06F21/56GK104200163SQ201410428004
【公開日】2014年12月10日 申請日期:2014年8月27日 優先權日:2014年8月27日
【發明者】李 根, 孫云霄, 王佰玲, 劉揚, 王孝朋, 何輝 申請人:哈爾濱工業大學(威海)