本發(fā)明公開了一種病毒檢測的方法及裝置。其中該方法包括如下步驟：提取待測執(zhí)行文件的結(jié)構(gòu)信息構(gòu)成特征向量；使用哈希算法計算所述特征向量的特征哈希值；將所述特征哈希值與特征庫中的樣本文件進(jìn)行比較，得到與所述特征哈希值相似度高于預(yù)設(shè)值的比對樣本；根據(jù)所述比對樣本的分析結(jié)果確定所述待測執(zhí)行文件的病毒檢測結(jié)果。其不使用傳統(tǒng)的特征碼及過濾規(guī)則進(jìn)行文件的病毒檢測，而是根據(jù)病毒樣本的文件結(jié)構(gòu)機型相似性匹配。采用存儲哈希值的方式在特征庫中存儲多個樣本文件，比對待測執(zhí)行文件的特征向量的哈希值與已知樣本的哈希值得到相近的比對文件，并根據(jù)比對文件的結(jié)果分析得到待測執(zhí)行文件的病毒檢測結(jié)果，計算速度快、生成的特征庫小。

技術(shù)領(lǐng)域

本發(fā)明涉及互聯(lián)網(wǎng)安全技術(shù)領(lǐng)域，尤其涉及一種病毒檢測的方法及裝置。

背景技術(shù)

2014年，惡意軟件數(shù)量呈現(xiàn)爆發(fā)式增長，統(tǒng)計1月至12月收集病毒樣本數(shù)據(jù)顯示，平均每月發(fā)現(xiàn)樣本已經(jīng)超過300萬，這給病毒檢測帶來很大的困難。因為傳統(tǒng)病毒檢測主要使用特征碼和過濾規(guī)則等方法。特征碼一般選取只有某類病毒才會有的二進(jìn)制數(shù)據(jù)或字符串，由工程師分析病毒樣本并從中提?。贿^濾規(guī)則動態(tài)獲取病毒樣本的各項信息歸納出莫類病毒共有的特征，由工程師編寫對應(yīng)的過濾腳本。由于現(xiàn)在每天新收集的樣本數(shù)量多，病毒樣本處理效率成了病毒檢測的瓶頸。

發(fā)明內(nèi)容

基于此，有必要針對傳統(tǒng)的病毒檢測技術(shù)受病毒樣本數(shù)量增加影響大，使病毒檢測的工作量大大增加，影響病毒檢測效率的問題，提出一種病毒掃描速度快，數(shù)據(jù)存儲量小的病毒檢測的方法及裝置。

為實現(xiàn)本發(fā)明目的提供的一種病毒檢測的方法，包括以下步驟：

提取待測執(zhí)行文件的結(jié)構(gòu)信息構(gòu)成特征向量；

使用哈希算法計算所述特征向量的特征哈希值；

將所述特征哈希值與特征庫中的樣本文件進(jìn)行比較，得到與所述特征哈希值相似度高于預(yù)設(shè)值的比對樣本；

根據(jù)所述比對樣本的分析結(jié)果確定所述待測執(zhí)行文件的病毒檢測結(jié)果；

所述分析結(jié)果包括黑樣本及白樣本。

作為一種病毒檢測的方法的可實施方式，還包括以下步驟中的至少一個：

根據(jù)所述病毒檢測結(jié)果，將含有病毒的待測執(zhí)行文件標(biāo)記為黑樣本，并加入到所述特征庫中；

根據(jù)所述病毒檢測結(jié)果，將不含有病毒的待測執(zhí)行文件標(biāo)記為白樣本，并加入到所述特征庫中。

作為一種病毒檢測的方法的可實施方式，所述預(yù)設(shè)值為95％。

作為一種病毒檢測的方法的可實施方式，還包括以下步驟：

當(dāng)從所述特征庫中未檢測到相似度高于所述預(yù)設(shè)值的比對樣本時，對所述待測執(zhí)行文件進(jìn)行特征碼匹配、規(guī)則過濾及相似度匹配獲得所述待測執(zhí)行文件的病毒檢測結(jié)果。

作為一種病毒檢測的方法的可實施方式，所述將所述特征哈希值與特征庫中的樣本文件進(jìn)行比較，得到與所述特征哈希值相似度高于預(yù)設(shè)值的比對樣本，包括以下步驟：

采用前綴查詢的方式將所述特征哈希值逐一與所述特征庫中的樣本文件進(jìn)行比較，并按比較得到的相似度對所述樣本文件進(jìn)行排序；

按照排序結(jié)果，獲取相似度高于預(yù)設(shè)值的樣本文件作為比對樣本。

作為一種病毒檢測的方法的可實施方式，還包括以下步驟：

間隔預(yù)設(shè)時間或者預(yù)設(shè)白樣本增加數(shù)量使用病毒文件對所述特征庫中的所有標(biāo)記為白樣本的樣本文件或者未進(jìn)行過掃描測試的樣本文件進(jìn)行掃描測試，刪除與病毒文件相似對高于所述預(yù)設(shè)值的樣本文件，或者增大所述預(yù)設(shè)值。