反恶意软件装置、服务器和匹配恶意软件模式的方法制造方法及图纸

技术编号:6987022 阅读:321 留言:0更新日期:2012-04-11 18:40
提供一种反恶意软件装置、服务器和匹配恶意软件模式的方法。哈希值产生单元通过使用具有至少一个哈希系数的哈希函数来产生恶意软件模式的哈希值和目标数据的哈希值。哈希匹配器单元将目标数据的哈希值与恶意软件模式的哈希值进行匹配。如果哈希匹配器单元匹配成功,则匹配单元将恶意软件模式与目标数据进行匹配。

【技术实现步骤摘要】

符合示例性实施例的方法和设备涉及一种反恶意软件装置、服务器和匹配恶意软件模式(malware pattern)的方法,更具体地说,涉及一种能够在病毒模式匹配中最小化哈希冲突的。
技术介绍
恶意软件(malware)是一种被设计为用于侵害计算机系统的软件,诸如,计算机病毒、木马程序、恶意代码等。由于与打开附件或者下载并安装软件的传统概念不同,仅通过点击著名搜索页面的链接或图像,非期望的软件就被安装并且系统可被袭击,所以需要留意恶意软件。与计算机相比,对操作系统和文件系统的关注较少,而使用的数据的重要性相对较低,因此,迄今为止,对于无线通信系统的移动病毒并未被很好地识别和破坏。然而,随着移动终端的硬件变得高端,并且其中运行的应用程序变得多样和复杂, 过去攻击计算机的恶意软件很可能对移动终端造成严重的损害。具体说来,随着移动终端互联网服务(诸如WiBro)趋向于普及,除了攻击计算机应用程序的脆弱性的恶意软件之外,还出现了攻击服务和便携式终端应用程序(诸如,蓝牙、多媒体消息系统(MMS)等)的脆弱性的移动恶意软件。这些多样的移动恶意软件会造成严重的损害,包括引起便携式终端的故障、数据的删除或用户隐私信息的泄露。
技术实现思路
一个或多个示例性实施例可克服上述缺点以及以上未描述的其它缺点。然而,应理解一个或多个示例性实施例不需要克服上述缺点,并且可以不克服上述任何问题。—个或多个示例性实施例提供一种,其在服务器选择用于防止哈希冲突的哈希系数或哈希函数,并将所述哈希系数或哈希函数发送到反恶意软件装置,由此最小化哈希冲突。一个或多个示例性实施例还提供一种用于匹配恶意软件模式的反恶意软件装置、 服务器和方法,其在反恶意软件系统的服务器中计算哈希系数,由此在客户机防止哈希冲突。根据示例性实施例的一方面,提供一种反恶意软件装置,所述反恶意软件装置包括哈希值产生单元,用于通过使用具有至少一个哈希系数的哈希函数来产生恶意软件模式的哈希值以及目标数据的哈希值;哈希匹配器单元,用于将目标数据的哈希值匹配到恶意软件模式的哈希值;以及匹配单元,如果哈希匹配器单元匹配成功,则所述匹配单元将恶意软件模式与目标数据进行匹配。根据另一示例性实施例的一方面,提供一种用于将恶意软件模式发送到反恶意软件装置的服务器,其中,所述反恶意软件装置通过使用具有哈希系数的哈希函数来执行恶意软件模式匹配,所述服务器包括更新单元,用于当恶意软件模式被发送到反恶意软件装置时,将哈希系数发送到反恶意软件装置。根据另一示例性实施例的一方面,提供一种用于通过使用哈希系数来执行恶意软件模式匹配操作的方法,所述方法包括基于恶意软件模式来选择哈希系数,使得恶意软件模式的哈希值之间的冲突概率被最小化;通过使用选择的哈希系数来计算恶意软件的哈希值;当恶意软件模式的哈希值中的至少一个与目标数据的哈希值彼此匹配时,将恶意软件模式与目标数据进行匹配。根据另一示例性实施例的一方面,提供一种通过使用哈希函数进行的恶意软件模式匹配方法,所述方法包括通过使用哈希函数来计算恶意软件模式的哈希值;通过使用哈希函数来计算目标数据的哈希值;当恶意软件模式的哈希值与目标数据的哈希值彼此匹配时,将恶意软件模式与目标数据进行匹配;确定计算的恶意软件模式数据的哈希值是否彼此冲突。示例性实施例的附加方面和优点将在下面的详细描述中进行阐述,将通过所述详细描述而变得清楚,或者可通过对示例性实施例的实践而获知。附图说明通过参照附图进行的对示例性实施例的详细描述,本专利技术的上述和/或其它方面将会更加清楚,其中图1是根据本专利技术示例性实施例的反恶意软件系统的框图;图2是根据本专利技术示例性实施例的用于解释发送到反恶意软件装置的恶意软件模式数据的包和/或文件的格式的示图;图3示意性示出在哈希值产生单元中产生用于第一恶意软件模式数据中的病毒模式数据的哈希值的一系列操作;图4是第一哈希匹配器表和第一子项匹配器(sub matcher)表;图5是模式DB的表;图6是第二哈希匹配器表和第二子项匹配器表;图7是根据本专利技术另一示例性实施例的反恶意软件系统的框图;图8是示出根据本专利技术示例性实施例的恶意软件模式匹配方法中服务器的操作的流程图;图9是根据本专利技术示例性实施例的反恶意软件装置的恶意软件模式匹配方法的流程图;图10是根据本专利技术示例性实施例的反恶意软件装置的恶意软件模式匹配方法的更新操作的流程图;图11是根据本专利技术另一示例性实施例的反恶意软件系统的框图;图12是根据本专利技术示例性实施例的在反恶意软件系统中防止哈希冲突的方法的流程6图13是根据本专利技术示例性实施例的产生块(block)的操作的流程图;图14是根据本专利技术示例性实施例的防止哈希冲突的操作的流程图;图15是根据本专利技术示例性实施例的处理哈希函数的操作的流程图;以及图16是根据本专利技术示例性实施例的由服务器执行的更新操作的流程图。具体实施例方式现将参照附图更加全面地描述示例性实施例,以阐明本专利技术的各方面、特点和优点。然而,本专利技术可以按照许多不同的形式来实施,而不应被解释为受限于这里阐述的示例性实施例。而提供了这些实施例,以使本公开将是全面和完整的,并将本专利技术的范围充分传达给本领域的普通技术人员。应理解当部件、层或区域被称为在另一部件、层或区域“之上”时,所述部件、层或区域可以直接位于所述另一部件、层或区域之上,或者可插入部件、 层或区域。这里使用的术语仅仅是为了描述特定实施例,并不是为了限制本专利技术。如这里所使用的,单数形式意在还包括复数形式,除非上下文清楚地指示并非如此。还应理解当在说明书中使用术语“包括”时,所述术语“包括”表示存在声明的特征、整数、步骤、操作、层、 区域、部件、组件和/或它们的组合,但是并不排除存在或者添加有一个或多个其它特征、 整数、步骤、操作、层、区域、部件、组件和/或它们的组合。如这里所使用的,术语“和/或” 包括一个或多个相关的列出项中的任何项或项组合。图1是根据本专利技术示例性实施例的反恶意软件系统的框图。参照图1,反恶意软件系统包括服务器100和反恶意软件装置200。服务器100和反恶意软件装置200可通过网络10彼此连接,以执行通信。服务器100将恶意软件模式数据库(DB)和至少一个哈希系数发送到反恶意软件装置200。恶意软件模式DB包括多个恶意软件模式。恶意软件模式(诸如病毒、木马程序、 感染文件、恶意代码等)会侵害文件。恶意软件模式是被反恶意软件装置200用来检测目标数据是否感染有恶意软件的参考数据。恶意软件模式可包括用于病毒扫描的病毒模式以及用于放火墙过滤的规则模式。后面将描述病毒模式和规则模式。哈希系数被用于在反恶意软件装置200中计算哈希值。哈希系数可被选为用于尽可能地防止哈希冲突的系数。根据本专利技术的实施例,哈希系数可包括基于恶意软件模式的病毒模式选择的病毒哈希系数以及基于规则模式选择的规则哈希系数。如果更新恶意软件模式被产生,则服务器100重新选择哈希系数,并将包括更新恶意软件模式和重新选择的哈希系数的更新恶意软件模式DB发送到反恶意软件装置200。反恶意软件装置200通过使用具有至少一个哈希系数的哈希函数来执行恶意软件模式匹配。所述至少一个哈希系数由服务器100选择。为此,反恶意软件装置200将从服务器100接收的恶意软件模式DB中所本文档来自技高网...

【技术保护点】
1.一种反恶意软件装置,包括:哈希值产生单元,用于通过使用具有至少一个哈希系数的哈希函数来产生恶意软件模式的哈希值和目标数据的哈希值;哈希匹配器单元,用于将目标数据的哈希值匹配到恶意软件模式的哈希值;以及匹配单元,如果哈希匹配器单元匹配成功,则所述匹配单元将恶意软件模式与目标数据进行匹配。

【技术特征摘要】
...

【专利技术属性】
技术研发人员:俞仁善
申请(专利权)人:三星SDS株式会社
类型:发明
国别省市:KR

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1