技術領域

本發明涉及計算機反病毒技術領域。

背景技術

近年來，互聯網上流行的病毒和木馬通常不是單個發作，而是一類的大量變種在互聯網上活動，且可頻繁升級，因此很容易發生大量的病毒或木馬爆發的局面。這對反病毒產品升級的周期提出了更高的要求，反病毒產品的升級速度對是否能有效防殺大量的病毒和木馬起到重要的作用。

目前反病毒最成熟的技術之一是特征法。特征法一般包括病毒分析、特征提取、病毒庫制作和升級等過程，而這些過程中，鑒定可疑文件是否為病毒的病毒分析過程是最耗時的過程之一。

一種分析病毒的方法是動態分析。動態分析的主要過程是，在用戶系統中運行可疑文件，利用半自動工具記錄所述可疑文件運行時的行為，通過系統運行前和運行后的比較，得出可疑文件運行后對系統的改動結果，然后對所述結果進行對比、分析，最終確認所述可疑文件是否為病毒，如果所述可疑文件為病毒，則需要重啟系統，對系統進行恢復，再繼續對下一個可疑文件進行分析。

上述病毒分析方法的不足之處在于，在該方法中，可疑文件在計算機系統中運行，如果該可疑文件是病毒，則會對系統造成損害，在病毒分析過程中為了減少病毒的危害性，需要重啟系統對系統進行還原修復，而重啟動作使得病毒分析的過程大為延長，從而影響反病毒產品的升級周期；另外，如果病毒使系統崩潰，則需要重裝系統，這將更為延長反病毒產品的升級周期。

發明內容

本發明提供一種鑒定病毒文件的方法、裝置及網絡設備，能夠縮短鑒定病毒文件的時間，提高了病毒分析的效率。

為達到上述發明目的，本發明提出以下的技術方案：

本發明提供了鑒定病毒文件的方法：首先建立虛擬系統，在該虛擬系統中運行可疑文件，記錄所述可疑文件的行為信息；將所述行為信息與行為特征庫的行為特征進行匹配，獲取所述行為特征的權值，檢測所述行為特征的權值之和是否大于設定值，如果是，則將所述可疑文件標識為病毒文件；否則，將所述可疑文件標識為安全文件。

本發明還提供了鑒定病毒文件的裝置，該裝置包括：

虛擬系統模塊，用于建立模擬系統，將可疑文件的行為定向至虛擬系統，運行可疑文件；

行為信息收集模塊，用于記錄所述可疑文件的行為信息；

行為特征分析模塊，用于將所述行為信息與行為特征庫的行為特征進行匹配，獲取所述行為特征的權值，檢測所述行為特征的權值之和是否大于設定值，如果是，則將所述可疑文件標識為病毒文件；否則，將所述可疑文件標識為安全文件。

在本發明中，由于建立了虛擬系統，在病毒分析過程中，使可疑文件在虛擬的系統中運行，對真實的系統沒有損害，一個文件鑒定完畢，只需放棄其在虛擬系統的行為結果即可，而無需對系統進行重啟修復，因此系統恢復速度快，節約的大量分析時間，提高了鑒定病毒的效率。

附圖說明

圖1為一個實施例中鑒定病毒文件的流程圖；

圖2為一個實施例中鑒定病毒文件的裝置的邏輯框圖。

具體實施方式

在病毒分析的過程中，鑒定一個可疑文件是否為病毒文件，通常是通過對該文件的運行時的行為進行分析，從而確認是否為病毒文件。請參閱圖1，本發明提供一種鑒定病毒文件的方法，首先在系統中構造虛擬系統(S101)，當發現可疑文件時，令可疑文件在該虛擬系統中運行，并記錄可疑文件的行為信息(S102)；并將行為信息和行為特征庫進行比對(S103)，判斷所述可疑文件是否為病毒文件(S104)，如果是，則將所述可疑文件標識為病毒文件(S105)；否則，將所述可疑文件標識為安全文件(S106)。

對于步驟S101，虛擬系統可以通過使用計算機程序監控系統關鍵API、以及模擬真實系統某些功能的方式構建一種虛擬框架，可以模擬真實的系統加載程序的過程，以便使可疑文件作用于真實系統的行為能夠被重定向與該虛擬系統中。