技術(shù)領(lǐng)域

本發(fā)明涉及通訊領(lǐng)域，尤其涉及一種病毒檢測方法及一種病毒檢測設(shè)備。

背景技術(shù)

對可移植執(zhí)行（Portable?Execute，PE）文件進(jìn)行基于流的病毒檢測時，由于只需要對承載有PE文件頭的幾個數(shù)據(jù)包進(jìn)行重組，并根據(jù)從PE文件頭中提取的特征與病毒庫中預(yù)先存儲的已知病毒的特征進(jìn)行匹配，而無需重組出整個文件，與針對完整文件進(jìn)行的基于特征的病毒檢測方式來比，檢測的性能較高。

PE文件頭中的結(jié)構(gòu)信息詳細(xì)描述了PE文件的各種屬性信息，如文件的分塊數(shù)量、每塊的數(shù)據(jù)長度、程序起始指令地址和程序運行所需平臺等信息。對PE文件進(jìn)行檢測的病毒檢測方法具體為在PE文件頭中的結(jié)構(gòu)信息中提取識別信息，其中，識別信息可以由從上述各種屬性信息中選取的若干信息組合而成，并將該識別信息與預(yù)先存儲的病毒特征進(jìn)行比較，以檢測該PE文件是否攜帶病毒。由于PE文件病毒占全部病毒的95%以上，如果能夠有效控制PE文件病毒在網(wǎng)絡(luò)上蔓延就能極大的改善網(wǎng)絡(luò)的安全狀況。

安裝包、自解壓包文件屬于含有附加數(shù)據(jù)的PE文件，也被稱為Archive文件，這種文件由兩部分構(gòu)成，第一部分為完整的PE文件，第二部分為數(shù)據(jù)部分。大量Archive文件僅在數(shù)據(jù)部分不同，PE文件部分完全相同。如果按照現(xiàn)有方法在PE文件頭部的結(jié)構(gòu)信息中提取識別信息，作為檢測病毒文件的依據(jù)，則會導(dǎo)致此病毒文件所對應(yīng)的Archive類型的文件全部都被誤檢測為病毒。

目前解決上述問題的通常做法為放棄對Archive文件的病毒檢測。但病毒文件很容易被加工成Archive文件，如果病毒傳播者利用這一特點將含有病毒的文件制作成Archive文件，則現(xiàn)有的對PE文件進(jìn)行的基于流的病毒檢測方法將無法確定Archive文件是否是攜帶病毒的病毒文件。

發(fā)明內(nèi)容

本發(fā)明提供一種能夠有效檢測Archive類型的PE文件是否為病毒文件的檢測方法及相關(guān)設(shè)備。

本發(fā)明解決上述問題的病毒檢測方法及設(shè)備包括：

第一方面，提供一種病毒檢測方法，包括：

接收承載有可移植執(zhí)行PE文件的網(wǎng)絡(luò)數(shù)據(jù)流，并根據(jù)所述網(wǎng)絡(luò)數(shù)據(jù)流中的數(shù)據(jù)包重組出所述PE文件的文件頭，其中，所述文件頭中包含所述PE文件的結(jié)構(gòu)信息；

根據(jù)所述PE文件的結(jié)構(gòu)信息計算第一識別信息；

將所述第一識別信息與病毒庫中預(yù)先存儲的病毒識別信息進(jìn)行匹配，若匹配命中，則根據(jù)所述病毒庫中預(yù)先存儲的病毒識別信息與文件類型的對應(yīng)關(guān)系，確定所述PE文件是否為Archive文件，其中，所述文件類型包括Archive文件和PE病毒文件；

若所述PE文件為Archive文件，則從所述網(wǎng)絡(luò)數(shù)據(jù)流中獲取承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包，并根據(jù)所述承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包計算第二識別信息；

將所述第二識別信息與所述病毒庫中預(yù)先存儲的所述病毒識別信息進(jìn)行匹配，若匹配命中，則確定所述Archive文件為Archive病毒文件。

在第一方面的第一種可能的實現(xiàn)方式中，若所述PE文件為非Archive文件則確定所述PE文件為PE病毒文件。

結(jié)合第一方面或者第一方面的第一種可能的實現(xiàn)方式，在第一方面的第二種可能的實現(xiàn)方式中，所述從所述網(wǎng)絡(luò)數(shù)據(jù)流中獲取承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包，并根據(jù)所述承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包計算第二識別信息，具體包括：

從所述病毒庫中預(yù)先存儲的病毒識別信息與Archive文件形式的對應(yīng)關(guān)系中，查詢所述第一識別信息對應(yīng)的Archive文件形式，其中，所述Archive文件形式包括數(shù)據(jù)部分包含數(shù)據(jù)結(jié)構(gòu)信息的Archive文件和數(shù)據(jù)部分不包含數(shù)據(jù)結(jié)構(gòu)信息的Archive文件；

從所述網(wǎng)絡(luò)數(shù)據(jù)流中獲取承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包；

根據(jù)所述第一識別信息對應(yīng)的Archive文件形式和所述承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包計算第二識別信息。。

結(jié)合第一方面的第二種可能的實現(xiàn)方式，在第一方面的第三種可能的實現(xiàn)方式中，所述根據(jù)所述第一識別信息對應(yīng)的Archive文件形式和所述承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包計算第二識別信息，包括：

若所述第一識別信息對應(yīng)的Archive文件形式為數(shù)據(jù)部分不包含數(shù)據(jù)結(jié)構(gòu)信息的Archive文件，則根據(jù)所述承載所述Archive文件數(shù)據(jù)部分的數(shù)據(jù)包，重組出所述Archive文件的數(shù)據(jù)部分，利用哈希算法計算所述Archive文件的數(shù)據(jù)部分的哈希值，作為所述第二識別信息；