[发明专利]一种快速识别病毒的方法和装置

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种快速识别病毒的方法和装置。

背景技术

随着计算机技术和计算机编程的发展，病毒的数量上涨非常迅速，更新速度也非常的快。传统的引擎采用固定文件偏移匹配特征的方法，在面对非常快的病毒更新速度时显得非常无力，因为病毒作者或者免杀者只需简单修改，就可以形成一个让杀毒软件无法查出的病毒变种。

发明内容

本发明的目的在于提供一种快速识别病毒的方法和装置。

为达到上述目的，一方面，本发明提供了一种快速识别病毒的方法，包括：

获得第一样本所属分类的模式串，所述第一样本为疑似病毒文件；

采用多模算法在所述第一样本中匹配所述模式串；

如果在所述第一样本中匹配到所述模式串，对所述第一样本进行二次识别；

如果所述二次识别的结果符合预设条件，则将所述第一样本识别为病毒文件。

另一方面，本发明还提供了一种快速识别病毒的装置，包括：

获得模块，用于获得第一样本所属分类的模式串，所述第一样本为疑似病毒文件；

匹配模块，用于采用多模算法在所述第一样本中匹配所述模式串；

识别模块，用于如果所述匹配模块在所述第一样本中匹配到所述模式串，对所述第一样本进行二次识别；如果所述识别模块的二次识别的结果符合预设条件，则将所述第一样本识别为病毒文件。

本发明提供的方案，通过采用多模算法快速匹配疑似病毒文件所述分类的模式串，并进行二次识别，快速有效地实现了病毒文件的识别，具有较好的通杀性、抗免杀性、特征半衰期长等优点。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明实施例一提供的快速识别病毒的方法流程图；

图2为本发明实施例二提供的快速识别病毒的装置结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作详细描述。

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。

在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

经过技术人员的深度分析，发现几乎所有病毒家族虽然变种较多，但总得来说总有一些代码或数据保持不变或很少改变，但这些代码或数据在文件中的位置的变化却非常频繁，甚至重新编译一下病毒代码或数据的位置就会发生改变。

首先请参考图1，图1为本发明实施例一提供的快速识别病毒的方法流程图，如图1所示，该方法包括：

步骤101、获得第一样本所属分类的模式串，该第一样本为疑似病毒文件。

步骤102、采用多模算法在所述第一样本中匹配模式串。

步骤103、如果在第一样本中匹配到模式串，对第一样本进行二次识别。

步骤104、如果二次识别的结果符合预设条件，则将第一样本识别为病毒文件。