病毒检测方法及设备技术

本发明专利技术公开了一种病毒检测方法及设备，所述方法包括：接收承载有PE文件的网络数据流；根据PE文件的结构信息计算第一识别信息；将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，确定所述PE文件是否为Archive文件；若所述PE文件为Archive文件，则根据所述承载Archive文件数据部分的数据包计算第二识别信息；将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。本发明专利技术能够有效检测Archive类型的PE文件是否为病毒文件。

【技术实现步骤摘要】

本专利技术涉及通讯领域，尤其涉及一种病毒检测方法及一种病毒检测设备。
技术介绍
对可移植执行(Portable Execute, PE)文件进行基于流的病毒检测时，由于只需要对承载有PE文件头的几个数据包进行重组，并根据从PE文件头中提取的特征与病毒库中预先存储的已知病毒的特征进行匹配，而无需重组出整个文件，与针对完整文件进行的基于特征的病毒检测方式来比，检测的性能较高。PE文件头中的结构信息详细描述了 PE文件的各种属性信息，如文件的分块数量、每块的数据长度、程序起始指令地址和程序运行所需平台等信息。对PE文件进行检测的病毒检测方法具体为在PE文件头中的结构信息中提取识别信息，其中，识别信息可以由从上述各种属性信息中选取的若干信息组合而成，并将该识别信息与预先存储的病毒特征进行比较，以检测该PE文件是否携带病毒。由于PE文件病毒占全部病毒的95%以上，如果能够有效控制PE文件病毒在网络上蔓延就能极大的改善网络的安全状况。安装包、自解压包文件属于含有附加数据的PE文件，也被称为Archive文件，这种文件由两部分构成，第一部分为完整的PE文件，第二部分为数据部分。大量Archive文件仅在数据部分不同，PE文件部分完全相同。如果按照现有方法在PE文件头部的结构信息中提取识别信息，作为检测病毒文件的依据，则会导致此病毒文件所对应的Archive类型的文件全部都被误检测为病毒。目前解决上述问题的通常做法为放弃对Archive文件的病毒检测。但病毒文件很容易被加工成Archive 文件，如果病毒传播者利用这一特点将含有病毒的文件制作成Archive文件，则现有的对PE文件进行的基于流的病毒检测方法将无法确定Archive文件是否是携带病毒的病毒文件。
技术实现思路
本专利技术提供一种能够有效检测Archive类型的PE文件是否为病毒文件的检测方法及相关设备。本专利技术解决上述问题的病毒检测方法及设备包括第一方面，提供一种病毒检测方法，包括接收承载有可移植执行PE文件的网络数据流，并根据所述网络数据流中的数据包重组出所述PE文件的文件头，其中，所述文件头中包含所述PE文件的结构信息；根据所述PE文件的结构信息计算第一识别信息；将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述PE文件是否为Archive文件，其中，所述文件类型包括Archive文件和PE病毒文件；若所述PE文件为Archive文件,贝U从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息；将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。在第一方面的第一种可能的实现方式中，若所述PE文件为非Archive文件则确定所述PE文件为PE病毒文件。结合第一方面或者第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息，具体包括从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中，查询所述第一识别信息对应的Archive文件形式,其中，所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件；从所述网络数据流中获取承载所述Archive文件数据部分的数据包；根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息，包括若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件，则根据所述承载所述Archive文件数据部分的数据包，重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息；或者，若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件，则根据所述承载所述Archive文件数据部分的数据包，重组得到所述Archive文件数据部分中包含的数据结构信息，利用哈希算法计算重组得到的所述数据结构信息的哈希值，作为所述第二识别信息。结合第一方面、第一方面的第一种可能的实现方式或者第一方面的第三种可能的实现方式，在第一方面的第四种可能的实现方式中，所述根据所述PE文件的结构信息计算第一识别信息具体包括从所述PE文件的结构信息中选取至少二个属性信息，并将所述至少二个属性信息衔接成一个数据块；利用哈希算法计算出所述数据块的哈希值，作为所述第一识别信息。第二方面，提供一种病毒检测设备，包括信息获取模块，用于接收承载有可移植执行PE文件的网络数据流，并根据所述网络数据流中的数据包重组出所述PE文件的文件头，其中，所述文件头中包含所述PE文件的结构信息；第一计算模块，用于根据所述信息获取模块获取的所述PE文件的结构信息计算第一识别信息； 第一判断模块，用于将所述第一计算模块计算得到的所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述PE文件是否为Archive文件，其中，所述文件类型包括Archive文件和PE病毒文件；第二计算模块，用于在所述第一判断模块确定出所述PE文件为Archive文件时，从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息；第二判断模块，用于将所述第二计算模块计算得出的所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。在第二方面的第一种可能的实现方式中，所述第一判断模块还用于，若所述PE文件为非Archive文件时，确定所述PE文件为PE病毒文件。结合第二方面或者第二方面的第一种可能的实现方式，在第二方面的第二种可能的实现方式中，所述第二计算模块包括文件形式判断单元，用于从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中，查询所述第一识别信息所对应的Archive文件形式，其中，所述文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive 文件；数据包获取单元，用于从所述网络数据流中获取承载所述Archive文件数据部分的数据包； 计算单元，用于根据所述文件形式判断单元判断得出的所述第一识别信息所对应的Archive文件形式和所述数据包获取单元获取的所述承载所述Archive文件数据部分的数据包计算第二识别信息。结合第二方面的第二种可能的实现方式，在第二方面的第三本文档来自技高网...

【技术保护点】
一种病毒检测方法，其特征在于，包括：接收承载有可移植执行PE文件的网络数据流，并根据所述网络数据流中的数据包重组出所述PE文件的文件头，其中，所述文件头中包含所述PE文件的结构信息；根据所述PE文件的结构信息计算第一识别信息；将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述PE文件是否为Archive文件，其中，所述文件类型包括Archive文件和PE病毒文件；若所述PE文件为Archive文件，则从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息；将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。

【技术特征摘要】
1.一种病毒检测方法，其特征在于，包括 接收承载有可移植执行PE文件的网络数据流，并根据所述网络数据流中的数据包重组出所述PE文件的文件头，其中，所述文件头中包含所述PE文件的结构信息； 根据所述PE文件的结构信息计算第一识别信息； 将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述PE文件是否为Archive文件，其中，所述文件类型包括Archive文件和PE病毒文件； 若所述PE文件为Archive文件，则从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息； 将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。2.根据权利要求1所述的方法，其特征在于，若所述PE文件为非Archive文件，则确定所述PE文件为PE病毒文件。3.根据权利要求1或2所述的方法，其特征在于，所述从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息，具体包括 从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中，查询所述第一识别信息对应的Archive文件形式,其中，所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件； 从所述网络数据流中获取承载所述Archive文件数据部分的数据包； 根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。4.根据权利要求3所述的方法，其特征在于，所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息,包括 若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分，利用哈希算法计算所述Archive文件的数据部分的哈希值，作为所述第二识别息; 或者，若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件，则根据所述承载所述Archive文件数据部分的数据包，重组得到所述Archive文件数据部分中包含的数据结构信息，利用哈希算法计算重组得到的所述数据结构信息的哈希值，作为所述第二识别信息。5.根据权利要求1、2或4所述的方法，其特征在于，所述根据所述PE文件的结构信息计算第一识别信息具体包括 从所述PE文件的结构信息中选取至少二个属性信息，并将所述至少二个属性信息衔接成一个数据块； 利用哈希算法计算出所述数据块的哈希值，作为所述第一识别信息。6.一种病毒检测设备，其特征在于，包括 信息获取模块，用于接收承载有可移植执行PE文件的网络数据流，并根据所述网络数据流中的数据包重组出所述PE文件的文件头，其中，所述文件头中包含所述PE文件的结构信息； 第一计算模块，用于根据所述信息获取模块获取的所述PE文件的结构信息计算第一识别息; 第一判断模块，用于将所述第一计算模块计算得到的所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系，确定所述PE文件是否为Archive文件，其中，所述文件类型包括Archive文件和PE病毒文件； 第二计算模块，用于在所述第一判断模块确定出所述PE文件为Archive文件时，从所述网络数据流中获取承载所述Archive文件数据部分的数据包，并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息； 第二判断模块，用于将所述第二计算模块计算得出的所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配，若匹配命中，则确定所述Archive文件为Archive病毒文件。7.根据权利要求6所述的设备，其特征在于，所述第一判断模块还用于，若所述PE文件为非Archive文件，确定所述PE文件为PE病毒文件。8.根据权利要求6或7所述的设备，其特征在于，所述第二计算模块包括 文件形式判断单元，用于从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中，查询所述第一识别信息所对应的Archive文件形式，其中，所述文件形式包括数据部分包含数据结...

【专利技术属性】
技术研发人员：刘振华，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：