技術(shù)領(lǐng)域

本發(fā)明屬于計算機(jī)應(yīng)用領(lǐng)域，涉及計算機(jī)病毒的識別和預(yù)防，特別是涉及一種未知病毒檢索方法及裝置。

背景技術(shù)

計算機(jī)病毒指編制者在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自?我復(fù)制的一組計算機(jī)指令或者程序代碼。計算機(jī)病毒通過某種途徑潛伏在計算機(jī)的存儲介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他程序。

計算機(jī)病毒是計算機(jī)安全的主要威脅，計算機(jī)病毒變種能力日益增強(qiáng)，新病毒產(chǎn)生的速度加快。而目前大多數(shù)反病毒軟件仍然使用病毒特征值檢測方法，這種方法對已知病毒的檢測效率較高，但是對于未知的新病毒卻無能為力。隨著安全領(lǐng)域的發(fā)展，又提出了基于程序文件的執(zhí)行操作行為的檢測來發(fā)現(xiàn)未知病毒，計算機(jī)病毒的操作行為通常包括修改注冊表、調(diào)用內(nèi)存、自行改變操作層級、堆棧溢出等，通過提取計算機(jī)病毒通常表現(xiàn)出的操作行為，與監(jiān)控文件的行為進(jìn)行對比來找到可疑的未知病毒。

目前雖然有不少基于行為的未知病毒的檢測手段，但是由于病毒表現(xiàn)行為方式的多樣性，容易誤報，特別是對所有操作行為的逐一對比分析，占用計算機(jī)操作資源，查毒和殺毒時間增加，同時用戶依賴于殺毒軟件開發(fā)商提供的在線升級包對病毒庫進(jìn)行被動更新，用戶不能根據(jù)自身需求對病毒庫進(jìn)行調(diào)整，造成對一些包含類似病毒操作行為的用戶自己的非惡意操作也當(dāng)成病毒誤報誤殺。

發(fā)明內(nèi)容

為克服現(xiàn)有技術(shù)的查毒殺毒方法行為分析過程冗長，增加查毒殺毒時間，同時容易對非惡意操作行為誤查誤殺的技術(shù)缺陷，本發(fā)明公開了一種未知病毒檢索方法及裝置。

本發(fā)明所述的一種未知病毒檢索方法，包括配置對比庫、行為提取、行為分析；所述行為分析包括木馬識別、可疑行為識別，所述配置對比庫將基本行為按照危險等級分為至少木馬行為、可疑行為、可校正行為三級，所述行為分析包括木馬識別和可疑行為識別，所述行為分析還包括：可疑行為校正步驟；

所述可疑行為校正為：從識別的可疑行為中根據(jù)預(yù)先設(shè)置的對比庫中的可校正對比文件，將可疑行為識別出并歸類為可校正行為。?

采用本發(fā)明所述的未知病毒檢索方法，將操作行為分為木馬行為、可疑行為和可校正行為，用戶可以自行配置各個危險等級對應(yīng)的行為，滿足不同用戶的不同需求，通過減少可疑行為或木馬行為配置，減少無謂分析過程，提高了查毒效率。

優(yōu)選的，所述配置對比庫將基本行為按照危險等級分為木馬行為、可疑行為、可校正行為、過濾行為四級，所述過濾行為包括本發(fā)明所述行為提取和/或行為分析步驟中產(chǎn)生的行為操作；所述行為分析還包括位于木馬識別、可疑行為識別之前的過濾步驟。

過濾行為和過濾步驟的設(shè)定進(jìn)一步縮短了文件分析的時間。

優(yōu)選的，所述行為分析中的行為識別步驟為：將待識別行為的全部操作與對比庫中對應(yīng)危險等級的所有行為的全部操作進(jìn)行對比，若與某一行為的全部操作吻合，則識別成功，否則失敗。

優(yōu)選的，所述行為分析還包括特征碼對比步驟和特征碼提取步驟，

所述特征碼提取步驟為：對已完成識別的行為提取特征碼，并存儲到對比庫的歷史文件子庫中；

所述特征碼對比步驟為：識別之前，將待識別行為的特征碼與歷史文件子庫中已存儲的特征碼對比，若對比成功則根據(jù)對比結(jié)果作出識別，否則繼續(xù)后續(xù)識別。

通過文件特征碼對比快速判斷出該文件是否是已知的木馬文件或安全文件，有效提高文件分析效率。

進(jìn)一步的，所述特征碼由md5值和文件后綴名組成。

本發(fā)明還公開了一種未知病毒檢索裝置，包括對比庫、行為提取模塊、行為分析模塊，所述對比庫與行為提取模塊、行為分析模塊連接，所述行為提取模塊和行為分析模塊連接，其特征在于，所述對比庫包括至少如下子庫：木馬行為庫、可疑行為庫和可校正行為庫，還包括與對比庫連接的用戶配置模塊。

優(yōu)選的，所述行為分析模塊還包括特征碼對比模塊和特征碼提取模塊，所述對比庫還包括與所述特征碼對比模塊和特征碼提取模塊連接的歷史文件子庫。

采用本發(fā)明所述的未知病毒檢索裝置，可以實現(xiàn)本發(fā)明所述未知病毒檢索方法。

附圖說明

圖1為本發(fā)明所述木馬行為識別過程的一種具體實施方式結(jié)構(gòu)示意圖；

圖2為本發(fā)明所述可疑行為識別過程的一種具體實施方式結(jié)構(gòu)示意圖；

圖3為本發(fā)明所述未知病毒檢索裝置的一種具體實施方式結(jié)構(gòu)示意圖。

具體實施方式