技術領域

本發(fā)明涉及移動通信安全領域，特別涉及移動通信病毒監(jiān)測。

背景技術

移動通信系統(tǒng)正變得越來越開放和種類繁多，在多變的網(wǎng)絡環(huán)境中，智能手機正面臨著手機病毒的威脅。隨著手機的發(fā)展，許多針對智能手機的病毒開始影響許多種手機并且在智能手機中進行傳播。智能手機具有強大的計算和連網(wǎng)能力，可以方便地連接互聯(lián)網(wǎng)。然而，當移動用戶通過移動網(wǎng)絡網(wǎng)上沖浪時，手機病毒可能通過互聯(lián)網(wǎng)傳播，并且受到影響的手機會自動連接惡意網(wǎng)站以獲取控制命令、下載新的病毒或者上傳用戶個人信息。

可在移動通信網(wǎng)絡中部署手機病毒監(jiān)測系統(tǒng)以監(jiān)測手機病毒并防止病毒傳播。然而，許多手機病毒能夠在智能手機之間迅速傳播，所以當發(fā)現(xiàn)一個新的病毒時，需要盡可能快地更新手機病毒監(jiān)測系統(tǒng)。

傳統(tǒng)上，病毒的特征碼是由專家人工形成的而手機病毒監(jiān)測系統(tǒng)通過從更新服務器下載病毒特征碼來更新手機病毒庫。另一方面，手機病毒監(jiān)測系統(tǒng)最好與多個反病毒廠商的特征庫結合以監(jiān)測復雜多變的手機病毒。這樣，由于不同廠商的特征庫的格式各不相同，所以難以短時間內(nèi)整合多個反病毒廠商的特征庫。

而且，由于手機病毒非常危險且可以在短時間內(nèi)感染許多手機，所以在移動通信網(wǎng)絡中的手機病毒檢測系統(tǒng)必須具有多種病毒知識庫并及時高效地更新病毒特征庫。當新的病毒被安全監(jiān)控網(wǎng)絡或?qū)I(yè)的安全廠商發(fā)現(xiàn)時，必須分析這些手機病毒文件特征碼并且在特定的時期內(nèi)發(fā)布，這就出現(xiàn)一個時間空檔，手機病毒就可能在這個時間空檔攻擊。

所以，需要一種方法來快速提取病毒特征碼，從而能夠在出現(xiàn)新病毒時，及時更新手機的病毒特征庫。

上面的問題，不僅是在移動通信網(wǎng)絡中存在，在傳統(tǒng)的PC網(wǎng)絡中也存在類似的問題。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種提取病毒文件特征碼的裝置和方法，進而提供一種新的病毒檢測系統(tǒng)。以期望縮短病毒識別的過程、降低乃至消除對人工分析病毒樣本并形成病毒特征庫的依賴，以及縮短病毒出現(xiàn)至病毒特征碼發(fā)布之間的間隔，從而減小病毒大規(guī)模傳播和爆發(fā)的可能性。

按照本發(fā)明的一個方面，一種提取病毒文件特征碼的裝置，包括：文件掃描單元，構造為掃描該病毒文件并確定其類型；對比單元，構造為將所述病毒文件的文件塊與一組與該病毒文件同類型的樣本文件對應位置的特征塊進行對比；特征選取單元，構造為根據(jù)該對比的結果，提取該病毒文件中至少一個這樣的文件塊作為該病毒文件的特征碼，即該文件塊與該組樣本文件的每個樣本文件中對應位置的特征塊均不相同。

其中，該對比單元構造為輸出包括病毒文件文件塊和對應第一計數(shù)器值的第一集合，所述第一計數(shù)器值表示某個文件塊與多少樣本文件對應位置的特征塊相同。

其中，該特征選取單元構造為選擇該對比單元輸出的該第一集合中至少一個對應第一計數(shù)器值為零的文件塊作為該病毒文件的特征碼。

按照本發(fā)明另一方面，一種提取病毒文件特征碼的裝置，包括：文件掃描單元，構造為掃描該病毒文件并確定其類型；對比單元，構造為將所述病毒文件的文件塊與一組與該病毒文件同類型的樣本文件對應位置的特征塊進行對比；特征選取單元，構造為根據(jù)該對比的結果，提取該病毒文件中這樣一組文件塊作為該病毒文件的特征碼，即該組樣本文件的每個樣本文件都沒有與該組文件塊相同的特征塊組合。

其中，該對比單元(120)構造為輸出包括病毒文件文件塊和對應第一計數(shù)器值的第一集合，所述第一計數(shù)器值表示某個文件塊與多少樣本文件對應位置的特征塊相同。

其中，該特征選取單元(130′)構造為執(zhí)行至少一次下面的循環(huán)：選擇該第一集合中對應第一計數(shù)器值最小的文件塊加入第二集合；判斷每個樣本文件中是否存在與該第二集合的文件塊組合相同的特征塊組合。

按照本發(fā)明又一方面，一種病毒檢測系統(tǒng)，包括：病毒文件管理模塊，構造為接收病毒文件；病毒文件預處理模塊，構造為檢測所接收到的該病毒文件是否為新病毒；病毒文件特征碼提取模塊，構造為提取該病毒文件的特征碼，其中該病毒文件特征碼提取模塊可以是前述的兩種提取病毒文件特征碼的裝置任一個或其組合；病毒監(jiān)測模塊，構造為根據(jù)所提取的病毒文件的特征碼檢測病毒；病毒特征庫同步模塊，構造為將病毒文件特征碼發(fā)送到該病毒監(jiān)測模塊。

按照本發(fā)明又一方面，一種提取病毒文件特征碼的方法，包括：掃描病毒文件確定其類型；將該病毒文件與根據(jù)該文件的類型選取的樣本文件進行對比；根據(jù)對比的結果提取該病毒文件特征碼。

其中，所述將該病毒文件與根據(jù)該文件的類型選取的樣本文件進行對比包括：得到包含文件塊和對應第一計數(shù)器值的第一集合。