[发明专利]病毒特征码处理方法及装置

说明书

本发明公开了一种病毒特征码处理方法及装置；方法包括：对携带有病毒的恶意样本进行反汇编处理，对得到的反汇编代码进行分割得到所述恶意样本的多个代码块；计算各所述恶意样本中代码块的特征，基于所述恶意样本中代码块的顺序，构建由所述恶意样本中代码块的特征形成的特征序列；比较所述恶意样本的特征序列，确定至少两个所述恶意样本的特征序列的公共子序列；根据所述公共子序列判定所对应的代码为病毒的代码，将所述公共子序列中的特征连接，得到所述病毒的特征码。实施本发明，能够自动化地精确提取病毒的特征码，从而提升病毒检测的精度和实时性。

技术领域

本发明涉及安全技术，尤其涉及一种病毒特征码处理方法及装置。

背景技术

计算机病毒也称为病毒，是编制者在设备(智能手机、平板电脑、笔记本电脑、台式机电脑和服务器等各种计算设备)中植入的破坏设备的功能或者数据等恶意目的代码。

病毒在设备中通常作为(如加壳)独立的应用程序欺骗用户运行以实现恶意目的，或者嵌入到二次封装的常规应用程序中，在常规应用程序的运行过程中实现恶意目的。

相关技术主要依靠人工提取病毒的特征码，扫描设备中待检测样本的特征并与病毒特征码比对，利用识别规则来对比对结果处理，判断待检测样本中是否有恶意代码。

相关技术检测病毒的方案至少存在以下问题：

1)需要大量经验丰富的人员分析恶意样本以提取特征码，才能满足根据不断出现的病毒而实时更新特征码的需求，效率较低。

2)随着病毒的增长速度不断增大，人工方式难以满足恶意代码检测的实时性需求；并且人工方式分析、提取特征码的效率比较低，特征码的生成周期较长，导致恶意代码的检测具有一定的滞后性。

综上所述，对于自动化地精确提取病毒的特征码，从而能够提升病毒检测的精度和实时性，相关技术尚无有效解决方案。

发明内容

本发明实施例提供一种病毒特征码处理方法及装置，能够以自动化地精确提取病毒的特征码。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供一种病毒特征码处理方法，包括：

对携带有病毒的恶意样本进行反汇编处理，对得到的反汇编代码进行分割，得到所述恶意样本的多个代码块；

计算各所述恶意样本中代码块的特征，基于所述恶意样本中代码块的顺序，构建由所述恶意样本中代码块的特征形成的特征序列；

比较各所述恶意样本的特征序列，确定至少两个所述恶意样本的特征序列的公共子序列；

根据所述公共子序列判定所对应的代码块为病毒的代码，将所述公共子序列中的特征合并得到所述病毒的特征码。

第二方面，本发明实施例提供一种病毒特征码处理装置，包括：

汇编分割单元，用于对携带有病毒的恶意样本进行反汇编处理，对得到的反汇编代码进行分割得到所述恶意样本的多个代码块；

特征序列单元，用于计算各所述恶意样本中代码块的特征，基于所述恶意样本中代码块的顺序，构建由所述恶意样本中代码块的特征形成的特征序列；

序列比较单元，用于比较各所述恶意样本的特征序列，确定至少两个所述恶意样本的特征序列的公共子序列；

特征连接单元，用于根据所述公共子序列判定所对应的代码为病毒的代码，将所述公共子序列中的特征连接，得到所述病毒的特征码。

第三方面，本发明实施例提供一种病毒特征码处理装置，包括处理器和存储器，存储器中存储有可执行指令，用于引起处理器执行本发明实施例提供的病毒特征码处理方法。