[发明专利]病毒文件的聚类划分处理方法和装置

说明书

技术领域

本发明涉及计算机数据处理技术领域，尤其涉及一种对计算机病毒文件进行聚类划分的聚类划分处理方法和装置。

背景技术

计算机病毒通常都具有家族特性，某个计算机病毒经过一些演化，会繁衍出其变种病毒。病毒变化的目的主要是针对某些杀毒软件的进行的免杀处理。通常这样的病毒和其繁衍出来的病毒，具有家族特性。反病毒软件会根据病毒的家族特性进行病毒家族的划分，往往会提取该家族的病毒都存在的特征信息作为病毒的判断依据，从而使得病毒库中的一条记录信息就可以命中该家族的全部病毒。由此可见，准确的病毒家族聚类方法可以大幅度提高反病毒软件的查杀效率，减少病毒库的大小。

现有的病毒聚类划分方法主要采用人工划分的方式进行处理，主要处理方式是需要动态执行病毒文件，人工记录和分析病毒的动态行为特征，比如调用系统应用程序编程接口(API)的顺序，是否修改注册表，是否在敏感位置创建文件等等，之后结合这些动态的行为特征进行人工聚类划分。

现有的这种人工聚类划分病毒的方法的缺陷是：

需要大量的人力资源，同时对病毒分析人员的经验要求也很高。在进行病毒的聚类划分时，需要动态运行病毒文件查看其动态行为特征，不但增加了很多时间和计算资源上的消耗，而且动态运行病毒文件对本地计算机本身也会增加很多染毒风险。

发明内容

有鉴于此，本发明提供一种病毒文件的聚类划分处理方法和装置，以提高对计算机病毒文件的聚类划分效率，减少资源消耗，并避免动态运行病毒文件所带来的染毒风险。

本发明的技术方案是这样实现的：

一种病毒文件的聚类划分处理方法，该方法包括：

A、静态分析待划分病毒文件的二进制数据，从中分析出病毒文件的可移植可执行PE结构数据；

B、比较所述待划分病毒文件的PE结构数据，将PE结构数据符合指定相似度的病毒文件划分到同一类别中。

一种病毒文件聚类划分的处理装置，该装置包括：

第一数据分析模块，用于静态分析待划分病毒文件的二进制数据，从中提取出病毒文件的PE结构数据；

第一聚类划分模块，用于比较所述待划分病毒文件的PE结构数据，将PE结构数据符合指定相似度的病毒文件划分到同一类别中。

与现有技术的手工方式相比，本发明采用可以由计算机自动执行，分析病毒文件的二进制数据，根据二进制数据进行划分，从而可以提高对计算机病毒文件的聚类划分效率，减少资源消耗，包括对人力资源、时间资源、以及计算资源等的消耗。

与现有技术的动态运行病毒文件进行聚类划分的方式相比，本发明采用静态分析的方式对病毒文件的二进制可移植可执行(PE)结构数据进行比较或进一步对节数据进行分块哈希比较，将符合指定相似度的病毒文件划分到一类，可以避免动态运行病毒文件所带来的染毒风险。

附图说明

图1为PE文件的结构示意图；

图2为本发明所述病毒文件的聚类划分处理方法的一种流程图；

图3为本发明所述病毒文件的聚类划分处理方法的一种包括二级聚类划分的流程图；

图4为所述对病毒文件的节数据进行分块处理及哈希计算的示意图；

图5为病毒文件经过两次聚类划分后的结果示意图；

图6为本发明所述病毒文件的聚类划分处理装置的一种示意图；

图7为本发明所述病毒文件的聚类划分处理装置的一种包括二级聚类划分功能的示意图。

具体实施方式

下面结合附图及具体实施例对本发明再作进一步详细的说明。

病毒文件是计算机文件的一种，其表现形式为二进制的数据形式。本发明通过病毒文件的二进制数据和病毒文件家族特性的特点进行分析，提出了可以由计算机自动执行的病毒文件聚类划分的处理方法和装置。

在视窗(WINDOWS)操作系统中，病毒文件通常为PE文件。图1为PE文件的结构示意图，参见图1，所述PE文件通常包括DOS头、PE头、节表信息、节数据、以及附加数据。所述DOS头、PE头、节表信息属于PE结构数据，用于标识PE文件的结构特征。对于针对反病毒进行免杀处理的病毒文件，其特点是修改PE文件中节数据中的某些部分。对于这样的病毒文件，其PE结构数据往往是相同或者相似的。因此本发明可以依据病毒文件的PE结构数据对病毒文件进行聚类划分。

图2为本发明所述病毒文件的聚类划分处理方法的一种流程图。参见图2，该流程包括：

步骤201、静态分析待划分病毒文件的二进制数据，从中分析出病毒文件的PE结构数据。