[发明专利]一种基于文件指纹对恶意代码统一命名的方法及其系统

权利要求书

1.一种基于文件指纹对恶意代码统一命名的方法，其特征在于，所述方法包括:

步骤1：通过杀毒软件进行文件指纹采集，在所述杀毒软件查杀到恶意代码时调用，向所述杀毒软件提供返回恶意代码的特征值；

步骤2：接收步骤1提供的带有特征值的恶意代码,对所述恶意代码进行命名，产生一个对所述恶意代码按照约定规则命名的恶意代码统一命名，所述约定规则包括恶意代码平台、恶意代码的名称、恶意代码的类型和步骤1中所述恶意代码特征值；

步骤3：对步骤2中所述恶意代码统一命名与原厂自主命名之间建立映射关系，接收所述恶意代码的预先设定参数，将所述映射关系作为数据行存储在实现映射器的数据库上，向界面提供查看统一命名与原厂命名之间对应关系，将返回厂家的原厂命名作为结果输出；步骤1所述恶意代码的特征值包括：对少于20MB的文件，返回的特征值是文件全文的MD5-32字符串；对20MB以上的文件，返回的特征值是：跳过PE头部的首部5MB的数据，文件中间点前后各5MB的数据，文件结尾为5MB的数据，三部分数据进行拼接后计算的MD5-32字符串。

2.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法，其特征在于，

所述恶意代码平台为Win32，Win64，Mac32和Mac64，类型为字符串；

所述恶意代码的名称为恶意代码在杀毒软件中原始的命名，类型为字符串；

所述恶意代码的类型为宏病毒、CAD病毒、蠕虫病毒、感染型病毒、木马病毒、后门程序病毒和其它病毒，类型为字符串；

所述恶意代码的特征值为由所述文件指纹采集计算出的恶意代码特征值。

3.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法，其特征在于，步骤3中所述映射关系包括恶意代码特征值、厂家名称、原厂命名和统一命名之间的映射关系。

4.根据权利要求3所述基于文件指纹对恶意代码统一命名的方法，其特征在于，所述映射关系为No SQL的键值型或分布式数据库。

5.根据权利要求1所述基于文件指纹对恶意代码统一命名的方法，其特征在于，所述数据库为HBASE数据库。

6.应用权利要求1所述基于文件指纹对恶意代码统一命名方法的系统，其特征在于，所述系统包括通过杀毒软件进行文件指纹采集的文件指纹采集器(1)，在所述杀毒软件查杀到恶意代码时，向所述杀毒软件提供返回恶意代码的特征值；

包括接收所述恶意代码的特征值的恶意代码统一命名器(2)，所述恶意代码统一命名器(2)按照约定规则对所述恶意代码进行命名；

还包括恶意代码统一命名映射器(3)，所述恶意代码统一命名映射器(3)统一命名与原厂自主命名之间的映射关系，接收所述恶意代码的预先设定参数，所述映射关系作为数据行存储在实现映射器的数据库上，向界面提供查看统一命名与原厂命名之间对应关系，返回厂家的原厂命名作为结果输出。

7.根据权利要求6所述基于文件指纹对恶意代码统一命名方法的系统，其特征在于，所述恶意代码统一命名映射器(3)包括映射关系存储接口和映射关系检索接口，所述映射关系存储接口用于接收恶意代码的原厂名称、厂家名称，恶意代码的特征值和统一名称参数，并将所述参数作为数据行存储在实现映射器的数据库上；所述映射关系检索接口用于接收恶意代码的特征值、统一命名和厂家名称参数，并返回厂家的原厂命名作为结果输出。

8.根据权利要求6所述基于文件指纹对恶意代码统一命名方法的系统，其特征在于，所述数据库为No SQL键值型数据库、分布式数据库或HBASE数据库。