[发明专利]一种病毒检测方法及装置

说明书

技术领域

本发明涉及数据安全技术领域，特别涉及一种病毒检测方法及装置。

背景技术

随着计算机技术的发展，文件感染病毒的现象越来越常见，用户获得文件后，一般先通过杀毒软件对文件进行检测，以确定是否被病毒感染。

现有技术中，应用杀毒软件检测待检测文件是否已被病毒感染时，一般先通过客户端提取待检测文件的全文hash特征；再将待检测文件的全文hash特征发送给服务器端；服务器端将待检测文件的全文hash特征与已构建的hash特征病毒库进行匹配，以确定待检测文件是否已经被病毒感染。由于在提取全文hash特征时，其计算范围为待检测PE文件中的所有字节，因此，该特征可以精确的描述待检测文件的特征。但是，全文hash特征对数据比较敏感，即使改变文件中的一个字节也会带来全文hash特征的改变，例如，两个PE文件的核心代码是一样的，但是非核心代码稍有区别，则全文hash特征可能存在很大差别，因此，杀毒软件利用全文hash特征匹配法进行病毒检测时，可能无法检测出经过修改的待检测文件中的病毒，误报率较高。

发明内容

本发明实施例公开了一种病毒检测方法及装置，以降低病毒检测的误报率。

为达到上述目的，本发明实施例公开了一种病毒检测方法，所述方法包括：

确定待检测文件的微特征信息，所述待检测文件的微特征信息为：待检测文件的特征代码对应的特征信息，其中，所述待检测文件的特征代码为：待检测文件源代码中修改后会导致文件运行错误的代码段；

将所述微特征信息与预设的微特征病毒库中的特征进行匹配，获得第一匹配结果；

根据第一匹配结果生成病毒检测报告。

较佳的，在确定所述待检测文件的微特征信息之前，还包括：

确定待检测文件的全文hash特征；

将所述全文hash特征与预设的全文hash特征病毒库中的特征进行匹配，获得第二匹配结果；

若匹配未命中，则进一步确定待检测文件的微特征信息。

较佳的，所述根据第一匹配结果生成病毒检测报告，包括：

若所述第一匹配结果中显示所述待检测文件的微特征信息与预设的微特征病毒库中的某一特征相匹配，则将所述微特征信息与预设的防误报特征库中的特征进行匹配，获得第三匹配结果；根据所述第一匹配结果和第三匹配结果生成病毒检测报告；

若所述第一匹配结果中显示所述待检测文件的微特征信息与预设的微特征病毒库中的所有特征均不匹配，则根据第一匹配结果生成病毒检测报告。

较佳的，所述待检测文件，包括：待检测PE文件。

较佳的，所述预设的微特征病毒库，由各个目标样本文件的微特征信息构成；

在所述目标样本文件为PE文件时，所述目标样本文件的微特征信息，通过以下方式获得：

对目标样本文件的源代码进行分析，获得所述目标样本文件的特征代码；

提取所述特征代码的hash特征；

根据所述特征代码的hash特征生成目标样本文件的微特征。

较佳的，所述目标样本文件的特征代码，包括：

以下几种中任意一种或几种的组合，目标样本文件的代码节、目标样本文件的附加数据或目标样本文件的资源节。

较佳的，所述提取目标样本文件的特征代码的hash特征，包括：

根据预设规则对目标样本文件的特征代码进行分段；

提取分段后各个代码段预设位置对应的子代码段；

提取各个子代码段的hash特征；

根据各个子代码段的hash特征生成目标样本文件的特征代码的hash特征。

较佳的，所述预设位置，包括：

从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或

从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。

较佳的，在分析得知所述目标样本文件的源代码中包括多个代码节的情况下，

所述获得所述目标样本文件的源代码中的特征代码，包括：

获得所述目标样本文件的源代码中的一个或多个代码节。

较佳的，所述获得所述目标样本文件的源代码中的一个代码节，包括：

获得所述目标样本文件的源代码中长度最长的代码节；或

获得所述目标样本文件的源代码中包含入口代码的代码节。

为达到上述目的，本发明实施例公开了一种病毒检测装置，所述装置包括：