[发明专利]一种恶意文件搜索方法及装置

权利要求书

1.一种恶意文件搜索方法，其特征在于，包括：

根据恶意文件的静态信息和动态信息，建立所述恶意文件对应的分类索引；

接收搜索指令，根据所述搜索指令携带的搜索信息确定匹配的所述分类索引，得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息；

显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。

2.根据权利要求1所述的方法，其特征在于，所述静态信息为文件本身具有的信息，所述静态信息包括文件哈希hash，文件名，文件大小，文件包含的指令，文件包含的字符串，应用程序编程接口API信息，导入导出函数表，文件结构信息中的至少一种；

所述动态信息为运行文件时的行为信息，所述动态信息包括修改注册表，修改启动项，修改进程，复制文件，修改文件，删除文件中的至少一种。

3.根据权利要求1所述的方法，其特征在于，在根据恶意文件的静态信息和动态信息，建立所述恶意文件的分类索引之前，所述方法还包括：

使用分布式文件系统、或分布式No-SQL数据库，对所述恶意文件的静态信息和动态信息进行存储。

4.根据权利要求3所述的方法，其特征在于，在使用分布式文件系统或分布式No-SQL数据库，对所述恶意文件的静态信息和动态信息进行存储之前，所述方法还包括：

通过客户端上报恶意文件、或网络检测恶意文件的方式，获取所述恶意文件；

使用分布式文件系统对所述恶意文件进行存储。

5.根据权利要求1所述的方法，其特征在于，根据所述搜索指令携带的搜索信息确定匹配的所述分类索引，得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息，包括：

根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索，确定匹配的所述分类索引；

根据匹配的所述分类索引，得到对应的恶意文件和/或恶意文件的静态信息和动态信息。

6.根据权利要求5所述的方法，其特征在于，根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索，确定匹配的所述分类索引，包括：

对所述搜索信息进行语义分析，在所述分类索引中进行搜索，确定匹配的所述分类索引。

7.一种恶意文件搜索装置，其特征在于，包括：

建立单元，用于根据恶意文件的静态信息和动态信息，建立所述恶意文件对应的分类索引；

搜索单元，用于接收搜索指令，根据所述搜索指令携带的搜索信息确定匹配的所述分类索引，得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息；

显示单元，用于显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。

8.根据权利要求7所述的装置，其特征在于，所述静态信息为文件本身具有的信息，所述静态信息包括文件哈希hash，文件名，文件大小，文件包含的指令，文件包含的字符串，应用程序编程接口API信息，导入导出函数表，文件结构信息中的至少一种；

所述动态信息为运行文件时的行为信息，所述动态信息包括修改注册表，修改启动项，修改进程，复制文件，修改文件，删除文件中的至少一种。

9.根据权利要求7所述的装置，其特征在于，所述装置还包括：

第一存储单元，用于对所述恶意文件的静态信息和动态信息进行存储，所述第一存储单元包括分布式文件系统、或分布式No-SQL数据库。

10.根据权利要求9所述的装置，其特征在于，所述装置还包括：

获取单元，用于通过客户端上报恶意文件、或网络检测恶意文件的方式，获取所述恶意文件；

第二存储单元，用于对所述恶意文件进行存储，所述第一存储单元包括分布式文件系统。

11.根据权利要求7所述的装置，其特征在于，所述搜索单元，具体用于根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索，确定匹配的所述分类索引，根据匹配的所述分类索引，得到对应的恶意文件和/或恶意文件的静态信息和动态信息。

12.根据权利要求11所述的装置，其特征在于，所述搜索单元，还体对所述搜索信息进行语义分析，在所述分类索引中进行搜索，确定匹配的所述分类索引。