一種病毒數(shù)據(jù)查找方法��、裝置及服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及病毒數(shù)據(jù)技術(shù)領(lǐng)域��,更具體地說(shuō)��,涉及一種病毒數(shù)據(jù)查找方法����、裝置及 服務(wù)器。
【背景技術(shù)】
[0002] 在病毒數(shù)據(jù)分析與查殺領(lǐng)域����,病毒數(shù)據(jù)的查找是一個(gè)非常重要的環(huán)節(jié),正確的病 毒數(shù)據(jù)的查找對(duì)于病毒數(shù)據(jù)的分析和殺死具有重要的意義���;病毒數(shù)據(jù)的查找是指從海量的 數(shù)據(jù)樣本中發(fā)現(xiàn)病毒數(shù)據(jù)�。
[0003] 目前通常使用數(shù)據(jù)庫(kù)的方式來(lái)進(jìn)行病毒數(shù)據(jù)的查找,采用數(shù)據(jù)庫(kù)的方式進(jìn)行病毒 數(shù)據(jù)的查找的方式主要為:創(chuàng)建數(shù)據(jù)表�,對(duì)數(shù)據(jù)樣本不同類(lèi)型的信息在數(shù)據(jù)表中創(chuàng)建相應(yīng) 的字段;同時(shí)為了加速查找�,還需要為每個(gè)字段創(chuàng)建數(shù)據(jù)庫(kù)索引,如果字段的內(nèi)容較大α匕 如字符串信息)��,則創(chuàng)建索引后的數(shù)據(jù)插入速度將較慢���,從而使得病毒數(shù)據(jù)的查找速度也減 慢。
[0004] 本發(fā)明的發(fā)明人在研究和實(shí)踐過(guò)程中發(fā)現(xiàn)�����,現(xiàn)有技術(shù)至少存在以下的技術(shù)問(wèn)題: 現(xiàn)有使用數(shù)據(jù)庫(kù)進(jìn)行病毒數(shù)據(jù)查找的方式��,對(duì)于具有較大內(nèi)容字段的數(shù)據(jù)樣本��,其病毒數(shù) 據(jù)的查找速度較慢���,病毒數(shù)據(jù)的查找效率較低�����;因此急需提供一種新的病毒數(shù)據(jù)查找方法��, 以提高病毒數(shù)據(jù)的查找速度�����。
【發(fā)明內(nèi)容】
[0005] 有鑒于此����,本發(fā)明實(shí)施例提供一種病毒數(shù)據(jù)查找方法、裝置及服務(wù)器���,以解決現(xiàn)有 病毒數(shù)據(jù)查找方式所存在的對(duì)于具有較大內(nèi)容字段的數(shù)據(jù)樣本����,其病毒數(shù)據(jù)的查找速度較 慢的問(wèn)題����。
[0006] 為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供如下技術(shù)方案:
[0007] -種病毒數(shù)據(jù)查找方法���,包括:
[0008] 提取樣本庫(kù)中的數(shù)據(jù)樣本的特征信息�;
[0009] 建立所提取的各特征信息與對(duì)應(yīng)數(shù)據(jù)樣本的對(duì)應(yīng)關(guān)系�;
[0010] 采用分布式搜索引擎將各個(gè)特征信息,與預(yù)置的病毒數(shù)據(jù)特征信息進(jìn)行比對(duì)����;
[0011] 在所提取的特征信息與所述病毒數(shù)據(jù)特征信息相匹配時(shí)�,通過(guò)所述對(duì)應(yīng)關(guān)系確定 與所述病毒數(shù)據(jù)特征信息相匹配的特征信息所對(duì)應(yīng)的數(shù)據(jù)樣本��,將所確定的數(shù)據(jù)樣本確定 為病毒數(shù)據(jù)��。
[0012] 一種病毒數(shù)據(jù)查找裝置�,包括:
[0013] 特征信息提取模塊,用于提取樣本庫(kù)中的數(shù)據(jù)樣本的特征信息��;
[0014] 對(duì)應(yīng)關(guān)系建立模塊��,用于建立所提取的各特征信息與對(duì)應(yīng)數(shù)據(jù)樣本的對(duì)應(yīng)關(guān)系����;
[0015] 比對(duì)模塊����,用于采用分布式搜索引擎將各個(gè)特征信息,與預(yù)置的病毒數(shù)據(jù)特征信 息進(jìn)行比對(duì)����;
[0016] 病毒數(shù)據(jù)確定模塊,用于在所提取的特征信息與所述病毒數(shù)據(jù)特征信息相匹配 時(shí)����,通過(guò)所述對(duì)應(yīng)關(guān)系確定與所述病毒數(shù)據(jù)特征信息相匹配的特征信息所對(duì)應(yīng)的數(shù)據(jù)樣 本���,將所確定的數(shù)據(jù)樣本確定為病毒數(shù)據(jù)。
[0017] 一種服務(wù)器�����,包括上述所述的病毒數(shù)據(jù)查找裝置����。
[0018] 基于上述技術(shù)方案,本發(fā)明實(shí)施例提供的病毒數(shù)據(jù)查找方法�����,通過(guò)建立所提取的 各特征信息與對(duì)應(yīng)數(shù)據(jù)樣本的對(duì)應(yīng)關(guān)系�,在所提取的特征信息與所述病毒數(shù)據(jù)特征信息相 匹配時(shí),即可通過(guò)所建立的對(duì)應(yīng)關(guān)系�����,確定出與所述病毒數(shù)據(jù)特征信息相匹配的特征信息 所對(duì)應(yīng)的所有數(shù)據(jù)樣本���,從而實(shí)現(xiàn)快速的病毒數(shù)據(jù)的查找�����;即使對(duì)于具有較大內(nèi)容字段的 特征信息���,本發(fā)明實(shí)施例也可通過(guò)一個(gè)特征信息的比對(duì)�,確定出與該特征信息所對(duì)應(yīng)的數(shù) 據(jù)樣本是否為病毒數(shù)據(jù)����,從而提高了病毒數(shù)據(jù)的查找速度。
【附圖說(shuō)明】
[0019] 為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對(duì)實(shí)施例或現(xiàn) 有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見(jiàn)地��,下面描述中的附圖是本發(fā)明 的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講��,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù) 這些附圖獲得其他的附圖。
[0020] 圖1為本發(fā)明實(shí)施例提供的一種病毒數(shù)據(jù)查找方法的流程圖����;
[0021] 圖2為本發(fā)明實(shí)施例提供的病毒數(shù)據(jù)查找方法的另一流程圖;
[0022] 圖3為本發(fā)明實(shí)施例提供的病毒數(shù)據(jù)查找裝置的結(jié)構(gòu)框圖��;
[0023] 圖4為本發(fā)明實(shí)施例提供的對(duì)應(yīng)關(guān)系建立模塊的結(jié)構(gòu)框圖����;
[0024] 圖5為本發(fā)明實(shí)施例提供的病毒數(shù)據(jù)確定模塊的結(jié)構(gòu)框圖;
[0025] 圖6為本發(fā)明實(shí)施例提供的特征信息提取模塊的結(jié)構(gòu)框圖����;
[0026] 圖7為本發(fā)明實(shí)施例提供的病毒數(shù)據(jù)查找裝置的另一結(jié)構(gòu)框圖;
[0027] 圖8為本發(fā)明實(shí)施例提供的服務(wù)器的硬件結(jié)構(gòu)圖�。
【具體實(shí)施方式】
[0028] 為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚�����,下面將結(jié)合本發(fā)明實(shí)施例 中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚�、完整地描述�����,顯然����,所描述的實(shí)施例是 本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例�,本領(lǐng)域普通技術(shù)人員 在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍����。
[0029] 圖1為本發(fā)明實(shí)施例提供的一種病毒數(shù)據(jù)查找方法的流程圖,參照?qǐng)D1�,該方法可 以包括:
[0030] 步驟S100�、提取樣本庫(kù)中的數(shù)據(jù)樣本的特征信息;
[0031] 樣本庫(kù)中所存儲(chǔ)的數(shù)據(jù)樣本為待處理的數(shù)據(jù)樣本,其中包括了正常的數(shù)據(jù)樣本和 惡意的數(shù)據(jù)樣本(病毒數(shù)據(jù))����,本發(fā)明的目的即是從樣本庫(kù)的眾多數(shù)據(jù)樣本中查找出病毒數(shù) 據(jù)��;
[0032] 特征信息可以是數(shù)據(jù)樣本之間可以用作相互區(qū)分的特征��;可選的�,數(shù)據(jù)樣本的特 征信息可以包括:基本信息���,資源信息和程序代碼信息���;其中,基本信息可以如數(shù)據(jù)樣本對(duì) 應(yīng)的軟件名����,版本號(hào),數(shù)據(jù)大小�����,證書(shū)�,簽名等;資源信息可以為數(shù)據(jù)樣本對(duì)應(yīng)的程序所使用 到的資源文件���;程序代碼信息可以如數(shù)據(jù)樣本對(duì)應(yīng)程序的常量字符串�����,屬性�,代碼樹(shù)等;
[0033] 可選的���,本發(fā)明實(shí)施例可對(duì)各個(gè)數(shù)據(jù)樣本的可執(zhí)行程序文件進(jìn)行拆解�����,從而得到 各個(gè)數(shù)據(jù)樣本所對(duì)應(yīng)的基本信息和資源信息���,也可對(duì)各個(gè)數(shù)據(jù)樣本的程序代碼信息進(jìn)行反 編譯,從而得到各個(gè)數(shù)據(jù)樣本所對(duì)應(yīng)的程序代碼信息�。
[0034] 步驟S200、建立所提取的各特征信息與對(duì)應(yīng)數(shù)據(jù)樣本的對(duì)應(yīng)關(guān)系����;
[0035] 本發(fā)明實(shí)施例可建立所提取的各特征信息與對(duì)應(yīng)數(shù)據(jù)樣本的對(duì)應(yīng)關(guān)系,由于各個(gè) 數(shù)據(jù)樣本所提取的特征信息可能相同也可能不同���,因此具有相同的特征信息的數(shù)據(jù)樣本之 間����,可通過(guò)相同的特征信息進(jìn)行關(guān)聯(lián)��;
[0036] 可選的���,本發(fā)明實(shí)施例可通過(guò)建立倒排索引的方式來(lái)建立各特征信息與對(duì)應(yīng)數(shù)據(jù) 樣本的對(duì)應(yīng)關(guān)系�,倒排索引也被稱(chēng)為反向索引����,可用于存儲(chǔ)在全文搜索下所提取的各特征 信息在對(duì)應(yīng)的數(shù)據(jù)樣本中的存儲(chǔ)位置的映射(即建立一個(gè)映射表,以表不各個(gè)特征信息所 對(duì)應(yīng)的數(shù)據(jù)樣本)����;通過(guò)倒排索引,可以根據(jù)特征信息快速獲取包含這個(gè)特征信息的數(shù)據(jù)樣 本��。
[0037] 步驟S300�、采用分布式搜索引擎將各個(gè)特征信息,與預(yù)置的病毒數(shù)據(jù)特征信息進(jìn) 行比對(duì)�����;
[0038] 預(yù)置的病毒數(shù)據(jù)特征信息是病毒數(shù)據(jù)的關(guān)鍵特征�����,具有病毒數(shù)據(jù)特征信息的數(shù)據(jù) 可以認(rèn)為是病毒數(shù)據(jù);
[0039] 可選的��,可采用Lucen