一種病毒特征庫更新方法及裝置制造方法
【專利摘要】本發(fā)明實施例公開了一種病毒特征庫更新方法及裝置,該方法包括:在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值;如果是,則重新設置該病毒特征的有效時段;如果否,則將該病毒特征標記為不活躍特征。應用本發(fā)明實施例,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
【專利說明】一種病毒特征庫更新方法及裝置
【技術領域】
[0001]本發(fā)明涉及計算機安全【技術領域】,特別涉及一種病毒特征庫更新方法及裝置。
【背景技術】
[0002]隨著計算機的軟硬件技術的不斷發(fā)展,計算機病毒也隨之不斷發(fā)展,另外隨著互聯(lián)網(wǎng)的發(fā)展,也給計算機病毒提供了有利的生存環(huán)境。對計算機病毒的檢測和清除已經(jīng)成為當前計算機安全【技術領域】中一個非常重要的部分。
[0003]現(xiàn)有技術中,病毒特征被寫入病毒特征庫后,一般情況下不會被改變,只有在出現(xiàn)誤報、且該誤報被病毒特征庫維護人員獲知的情況下,病毒特征庫維護人員才會去對其進行修改。所謂的誤報就是指,對正常文件查殺時,檢測出含有病毒。
[0004]然而,在實際應用中,這些病毒特征在未被修正之前,可能存在出現(xiàn)誤報但未被病毒特征庫維護人員獲知的情況,在這種情況下,這些病毒特征已經(jīng)造成了一段時間的誤報影響,另外,一般情況下,病毒都具有一定的流行周期,過期之后很少甚至不再出現(xiàn)此類樣本,但病毒特征庫還會長時間保留該病毒特征,長時間保留過期的病毒特征,導致病毒查殺時,特征匹配速度下降。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實施例的目的在于提供一種病毒特征庫更新方法及裝置,以減少誤報的出現(xiàn),提高病毒查殺時的特征匹配速度。
[0006]為達到上述目的,本發(fā)明實施例公開了一種病毒特征庫更新方法,所述方法包括:
[0007]在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值;
[0008]如果是,則重新設置該病毒特征的有效時段;
[0009]如果否,則將該病毒特征標記為不活躍特征。
[0010]較佳的,在對病毒特征庫中的各個病毒特征進行第一次檢測之前,所述方法還包括:
[0011]設置各個病毒特征的有效時段。
[0012]較佳的,所述設置各個病毒特征的有效時段,包括:
[0013]根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;
[0014]根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。
[0015]較佳的,所述病毒特征的分類,包括:
[0016]全文hash特征、普通泛型特征和其它特征。
[0017]較佳的,所述重新設置該病毒特征的有效時段,包括:
[0018]根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻T0,將該病毒特征的有效時段設置為TO?(ΤΟ+t)。[0019]較佳的,所述重新設置該病毒特征的有效時段,包括:
[0020]根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl?(Tl+t)。
[0021 ] 較佳的,所述方法還包括:
[0022]將標記為不活躍特征的病毒特征刪除。
[0023]為達到上述目的,本發(fā)明實施例還公開了一種病毒特征庫更新裝置,所述裝置包括:
[0024]檢測模塊,用于在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值;
[0025]有效時段設置模塊,用于在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,重新設置該病毒特征的有效時段;
[0026]標記模塊,用于在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)不大于預設的閾值的情況下,將該病毒特征標記為不活躍特征。
[0027]較佳的,所述裝置還包括:
[0028]初始化模塊,用于在對病毒特征庫中的各個病毒特征進行第一次檢測之前,設置各個病毒特征的有效時段。
[0029]較佳的,所述初始化模塊,具體用于:
[0030]根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;
[0031]根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。
[0032]較佳的,所述病毒特征的分類,包括:
[0033]全文hash特征、普通泛型特征和其它特征。
[0034]較佳的,所述有效時段設置模塊,具體用于:
[0035]在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻T0,將該病毒特征的有效時段設置為TO?(το+t)。
[0036]較佳的,所述有效時段設置模塊,具體用于:
[0037]在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl?(Tl+t)。
[0038]較佳的,所述裝置還包括:
[0039]刪除模塊,用于將標記為不活躍特征的病毒特征刪除。
[0040]由于對病毒特征庫中的病毒特征設置了有效時段,在病毒特征的有效時段內(nèi),檢測其命中樣本的次數(shù)是否大于預設的閾值,在命中樣本的次數(shù)大于預設的閾值的情況下,重新設置該病毒特征的有效時段,在命中樣本的次數(shù)不大于預設的閾值的情況下,將病毒特征標記為不活躍特征,保證病毒特征庫中一直保持有效的活躍的病毒特征。因此在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
【專利附圖】
【附圖說明】[0041]為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0042]圖1為本發(fā)明實施例提供的第一種病毒特征庫更新方法的流程示意圖;
[0043]圖2為本發(fā)明實施例提供的第二種病毒特征庫更新方法的流程示意圖;
[0044]圖3為本發(fā)明實施例提供的第三種病毒特征庫更新方法的流程示意圖;
[0045]圖4為本發(fā)明實施例提供的第四種病毒特征庫更新方法的流程示意圖;
[0046]圖5為本發(fā)明實施例提供的一種病毒特征庫更新裝置的結構示意圖;
[0047]圖6為本發(fā)明實施例提供的另一種病毒特征庫更新裝置的結構示意圖;
[0048]圖7為本發(fā)明實施例提供的再一種病毒特征庫更新裝置的結構示意圖。
【具體實施方式】
[0049]下面將結合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
[0050]圖1為本發(fā)明實施例提供的第一種病毒特征庫更新方法的流程示意圖,包括如下步驟:
[0051]SlOl:在病毒特征庫 中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,如果是,執(zhí)行S102,如果否,執(zhí)行S103 ;
[0052]S102:重新設置該病毒特征的有效時段;
[0053]S103:將該病毒特征標記為不活躍特征。
[0054]在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段。
[0055]具體的,可以根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。一般情況下,將病毒特征分為--全文hash特征、普通泛型特征和其它特征。
[0056]其中,全文hash特征是指使用MD5/SHA1等散列算法計算樣本的全文摘要值的特征,該特征的特點是表征性強,通殺型弱,造成誤報的風險最低。
[0057]普通泛型特征是指根據(jù)特征提取算法由程序自動化提取的具備通殺效果的特征,該特征的特點是具備一定的通殺性,有一定的誤報風險。
[0058]其它特征,是指除全文hash特征和普通泛型特征之外的特征,可以是人工根據(jù)經(jīng)驗提取的通殺特征,其有效時段長度可以根據(jù)實際的需求進行設置。
[0059]例如將全文hash特征有效時段長度設置為3個月,將普通泛型特征有效時段長度設置為I個月,將其它特征有效時段長度設置為2個月。
[0060]假設病毒特征A為全文hash特征,其中全文hash特征的有效時段長度為3個月,設置A的有效時段為I月I日至3月31日,其中I月I日為A的有效時段起始時刻,3月31日為A的有效時段截止時刻, 有效時段長度為3個月,預設的閾值為10。[0061]檢測病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,可以是實時進行檢測,但實時進行檢測,時刻占用系統(tǒng)資源,因此也可以相隔固定時間進行檢測。
[0062]在實時進行檢測的情況下,每檢測到病毒特征命中I次樣本,命中樣本的次數(shù)加1,當命中樣本的次數(shù)大于預設的閾值時,重新設置該病毒特征的有效時段,當命中樣本的次數(shù)不大于預設的閾值時,將該病毒特征標記為不活躍特征。
[0063]在相隔固定時間進行檢測的情況下,固定時間間隔可以與病毒特征的有效時段相同,也可以不同。
[0064]假設固定時間間隔與病毒特征的有效時段相同,每3個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,重新設置A的有效時段,重新設置的有效時段可以根據(jù)實際需求設置,例如將A的有效時段設置為4月I日至12月31曰。
[0065]假設固定時間間隔與病毒特征的有效時段不同,每I個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,重新設置A的有效時段,重新設置的有效時段可以根據(jù)實際需求設置,例如將A的有效時段設置為4月I日至12月31曰。
[0066]假設在相隔固定時間進行檢測的情況下,檢測到A在I月I日至3月31日內(nèi)共9次命中樣本,不大于預設的閾值10,將A標記為不活躍特征。
[0067]在實際應用中,可以根據(jù)用戶的選擇,來選取病毒特征進行查殺。例如用戶選擇快速查殺,可以僅使用有效的活躍的特征來進行查殺,但在使用有效的活躍的病毒進行查殺,檢測出用戶機器中毒較深、病毒種類較多或者用戶選擇對機器進行徹底深度查殺的情況下,可以同時使用活躍的特征和不活躍的特征進行查殺。
[0068]應用本發(fā)明圖1所示實施例,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
[0069]考慮到在實際應用中,可以根據(jù)病毒特征的有效時段長度、以及該病毒特征有效時段截止時刻,重新設置病毒特征的有效時段,本發(fā)明實施例提供第二種病毒特征庫更新方法,參見圖2所示,包括步驟:
[0070]SlOl:在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,如果是,執(zhí)行S104,如果否,執(zhí)行S103 ;
[0071]S104:根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻T0,將該病毒特征的有效時段設置為TO?(TO+t);
[0072]S103:將該病毒特征標記為不活躍特征。
[0073]在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段。
[0074]具體的,可以根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。一般情況下,將病毒特征分為:全文hash特征、普通泛型特征和其它特征。
[0075]其中,全文hash特征是指使用MD5/SHA1等散列算法計算樣本的全文摘要值的特征,該特征的特點是表征性強,通殺型弱,造成誤報的風險最低。[0076]普通泛型特征是指根據(jù)特征提取算法由程序自動化提取的具備通殺效果的特征,該特征的特點是具備一定的通殺性,有一定的誤報風險。
[0077]其它特征,是指除全文hash特征和普通泛型特征之外的特征,可以是人工根據(jù)經(jīng)驗提取的通殺特征,其有效時段長度可以根據(jù)實際的需求進行設置。
[0078]例如將全文hash特征有效時段長度設置為3個月,將普通泛型特征有效時段長度設置為I個月,將其它特征有效時段長度設置為2個月。
[0079]假設病毒特征A為全文hash特征,其中全文hash特征的有效時段長度為3個月,設置A的有效時段為I月I日至3月31日,其中I月I日為A的有效時段起始時刻,3月31日為A的有效時段截止時刻,有效時段長度為3個月,預設的閾值為10。
[0080]檢測病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,可以是實時進行檢測,但實時進行檢測,時刻占用系統(tǒng)資源,因此也可以相隔固定時間進行檢測。
[0081]在實時進行檢測的情況下,每檢測到A命中I次樣本,命中樣本的次數(shù)加1,當命中樣本的次數(shù)大于預設的閾值時,根據(jù)A的有效時段長度3個月、以及A有效時段的截止時亥Ij 3月31日,將A的有效時段設置為3月31日至6月30日,當命中樣本的次數(shù)不大于預設的閾值時,將該病毒特征標記為不活躍特征。
[0082]在相隔固定時間進行檢測的情況下,固定時間間隔可以與病毒特征的有效時段相同,也可以不同。
[0083]假設固定時間間隔與病毒特征的有效時段相同,每3個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,根據(jù)A的有效時段長度3個月、以及A有效時段的截止時刻3月31日,將A的有效時段設置為3月31日至6月30日。
[0084]假設固定時間間隔與病毒特征的有效時段不同,每I個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,根據(jù)A的有效時段長度3個月、以及A有效時段的截止時刻3月31日,將A的有效時段設置為3月31日至6月30日。
[0085]假設在相隔固定時間進行檢測的情況下,檢測到A在I月I日至3月31日內(nèi)共9次命中樣本,不大于預設的閾值10,將A標記為不活躍特征。
[0086]在實際應用中,可以根據(jù)用戶的選擇,來選取病毒特征進行查殺。例如用戶選擇快速查殺,可以僅使用有效的活躍的特征來進行查殺,但在使用有效的活躍的病毒進行查殺,檢測出用戶機器中毒較深、病毒種類較多或者用戶選擇對機器進行徹底深度查殺的情況下,可以同時使用活躍的特征和不活躍的特征進行查殺。
[0087]應用本發(fā)明圖2所示實施例,可以根據(jù)病毒特征的有效時段長度、以及該病毒特征有效時段截止時刻,重新設置病毒特征的有效時段,使得重新設置的病毒特征的有效時段更合理,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
[0088]考慮到在實際應用中,可以根據(jù)病毒特征的有效時段長度、以及該病毒特征最后命中樣本的時刻,重新設置病毒特征的有效時段,本發(fā)明實施例提供第三種病毒特征庫更新方法,參見圖3所示,包括步驟:
[0089]SlOl:在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,如果是,執(zhí)行S105,如果否,執(zhí)行S103 ;
[0090]S105:根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl?(Tl+t);
[0091]S103:將該病毒特征標記為不活躍特征。
[0092]在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段。
[0093]具體的,可以根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。一般情況下,將病毒特征分為:全文hash特征、普通泛型特征和其它特征。
[0094]其中,全文hash特征是指使用MD5/SHA1等散列算法計算樣本的全文摘要值的特征,該特征的特點是表征性強,通殺型弱,造成誤報的風險最低。
[0095]普通泛型特征是指根據(jù)特征提取算法由程序自動化提取的具備通殺效果的特征,該特征的特點是具備一定的通殺性,有一定的誤報風險。
[0096]其它特征,是指除全文hash特征和普通泛型特征之外的特征,可以是人工根據(jù)經(jīng)驗提取的通殺特征,其有效時段長度可以根據(jù)實際的需求進行設置。
[0097]例如將全文hash特征有效時段長度設置為3個月,將普通泛型特征有效時段長度設置為I個月,將其它特征有效時段長度設置為2個月。
[0098]假設病毒特征A為全文hash特征,其中全文hash特征的有效時段長度為3個月,設置A的有效時段為I月I日至3月31日,其中I月I日為A的有效時段起始時刻,3月31日為A的有效時段截止時刻,有效時段長度為3個月,預設的閾值為10。
[0099]檢測病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值,可以是實時進行檢測,但實時進行檢測,時刻占用系統(tǒng)資源,因此也可以相隔固定時間進行檢測。
[0100]在實時進行檢測的情況下,每檢測到A命中I次樣本,命中樣本的次數(shù)加1,在檢測到A第11次命中樣本,命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)A的有效時段長度3個月、以及A第11次命中樣本的時刻,假設A第11命中樣本的時刻為3月11日,將A的有效時段設置為3月11日至6月10日,當命中樣本的次數(shù)不大于預設的閾值時,將該病毒特征標記為不活躍特征。
[0101]在相隔固定時間進行檢測的情況下,固定時間間隔可以與病毒特征的有效時段相同,也可以不同。
[0102]假設固定時間間隔與病毒特征的有效時段相同,每3個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,根據(jù)A的有效時段長度3個月、以及A第15次命中樣本的時刻,假設A第15命中樣本的時刻為3月25日,將A的有效時段設置為3月25日至6月24日。
[0103]假設固定時間間隔與病毒特征的有效時段不同,每I個月檢測I次,在I月I日至3月31日內(nèi),檢測到A共15次命中樣本,大于預設的閾值10,根據(jù)A的有效時段長度3個月、以及A第15次命中樣本的時刻,假設A第15命中樣本的時刻為3月25日,將A的有效時段設置為3月25日至6月24日。
[0104]假設在相隔固定時間進行檢測的情況下,檢測到A在I月I日至3月31日內(nèi)共9次命中樣本,不大于預設的閾值10,將A標記為不活躍特征。
[0105]在實際應用中,可以根據(jù)用戶的選擇,來選取病毒特征進行查殺。例如用戶選擇快速查殺,可以僅使用有效的活躍的特征來進行查殺,但在使用有效的活躍的病毒進行查殺,檢測出用戶機器中毒較深、病毒種類較多或者用戶選擇對機器進行徹底深度查殺的情況下,可以同時使用活躍的特征和不活躍的特征進行查殺。
[0106]應用本發(fā)明圖3所示實施例,可以根據(jù)病毒特征的有效時段長度、以及該病毒特征最后命中樣本的時刻,重新設置病毒特征的有效時段,使得重新設置的病毒特征的有效時段更合理,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
[0107]在實際應用中,考慮到不活躍的特征存儲在病毒特征庫,會造成存儲空間的浪費,本發(fā)明實施例還提供第四種病毒特征庫更新方法,參見圖4所示,
[0108]本發(fā)明圖4所示實施例在圖1所示實施例基礎上,增加S106:將標記為不活躍特征的病毒特征刪除。
[0109]應用本發(fā)明圖4所述的實施例,將不活躍的特征從病毒特征從病毒特征庫中刪除,減少了存儲空間的浪費。
[0110]在實際應用中,將標記為不活躍特征的病毒特征刪除的步驟,還可以增加在圖2和圖3所示實施例的將該病毒特征標記為不活躍特征的步驟之后。
[0111]圖5為本發(fā)明實施例提供的一種病毒特征庫更新裝置,包括:檢測模塊501、有效時段設置模塊502和標記模塊503,
[0112]其中,檢測模塊501,用于在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值;
[0113]有效時段設置模塊502,用于在在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,重新設置該病毒特征的有效時段;
[0114]本發(fā)明實施例的有效時段設置模塊502,可以用于:
[0115]在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻T0,將該病毒特征的有效時段設置為TO?(TO+t)。
[0116]本發(fā)明實施例的有效時段設置模塊502,還可以用于:
[0117]在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl?(Tl+t)。
[0118]標記模塊503,用于在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)不大于預設的閾值的情況下,將該病毒特征標記為不活躍特征。
[0119]應用本發(fā)明圖5所示實施例,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
[0120]在實際應用中,在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段,本發(fā)明實施例還提供另一種病毒特征庫更新裝置,參見圖6所示,包括:初始化模塊5011、檢測模塊501、有效時段設置模塊502和標記模塊503,
[0121]其中,初始化模塊5011,用于在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段。
[0122]本發(fā)明實施例的初始化模塊5011,具體可以用于:[0123]根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度;
[0124]根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。
[0125]一般情況下,將病毒特征分為:全文hash特征、普通泛型特征和其它特征。
[0126]其中,全文hash特征是指使用MD5/SHA1等散列算法計算樣本的全文摘要值的特征,該特征的特點是表征性強,通殺型弱,造成誤報的風險最低。
[0127]普通泛型特征是指根據(jù)特征提取算法由程序自動化提取的具備通殺效果的特征,該特征的特點是具備一定的通殺性,有一定的誤報風險。
[0128]其它特征,是指除全文hash特征和普通泛型特征之外的特征,可以是人工根據(jù)經(jīng)驗提取的通殺特征,其有效時段長度可以根據(jù)實際的需求進行設置。
[0129]應用本發(fā)明圖6所示的實施例,在對病毒特征庫中的各個病毒特征進行第一次檢測之前,可以設置各個病毒特征的有效時段,在進行病毒快速查殺時,只使用那些有效的活躍的特征,提高了病毒查殺時的病毒特征匹配速度,減少了那些不活躍特征查殺病毒時可能引起的誤報情況。
[0130]在實際應用中,考慮到不活躍的特征存儲在病毒特征庫,會造成存儲空間的浪費,本發(fā)明實施例還提供再一種病毒特征庫更新方法,參見圖7所示,
[0131]本發(fā)明圖7所示實施例在圖5所示實施例基礎上,增加刪除模塊504:用于將標記為不活躍特征的病毒特征刪除。
[0132]應用本發(fā)明圖7所述的實施例,將不活躍的特征從病毒特征從病毒特征庫中刪除,減少了存儲空間的浪費。
[0133]需要說明的是,在本文中`,諸如第一和第二等之類的關系術語僅僅用來將一個實體或者操作與另一個實體或操作區(qū)分開來,而不一定要求或者暗示這些實體或操作之間存在任何這種實際的關系或者順序。而且,術語“包括”、“包含”或者其任何其他變體意在涵蓋非排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素,而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固有的要素。在沒有更多限制的情況下,由語句“包括一個……”限定的要素,并不排除在包括所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
[0134]本說明書中的各個實施例均采用相關的方式描述,各個實施例之間相同相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于裝置實施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。
[0135]本領域普通技術人員可以理解實現(xiàn)上述方法實施方式中的全部或部分步驟是可以通過程序來指令相關的硬件來完成,所述的程序可以存儲于計算機可讀取存儲介質中,這里所稱得的存儲介質,如:R0M/RAM、磁碟、光盤等。
[0136]以上所述僅為本發(fā)明的較佳實施例而已,并非用于限定本發(fā)明的保護范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進等,均包含在本發(fā)明的保護范圍內(nèi)。
【權利要求】
1.一種病毒特征庫更新方法,其特征在于,所述方法包括: 在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值; 如果是,則重新設置該病毒特征的有效時段; 如果否,則將該病毒特征標記為不活躍特征。
2.根據(jù)權利要求1所述的方法,其特征在于,在對病毒特征庫中的各個病毒特征進行第一次檢測之前,所述方法還包括: 設置各個病毒特征的有效時段。
3.根據(jù)權利要求2所述的方法,其特征在于,所述設置各個病毒特征的有效時段,包括: 根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度; 根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。
4.根據(jù)權利要求3所述的方法,其特征在于,所述病毒特征的分類,包括: 全文hash特征、普通泛型特征和其它特征。
5.根據(jù)權利要求1至4任意一項所述的方法,其特征在于,所述重新設置該病毒特征的有效時段,包括:` 根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻TO,將該病毒特征的有效時段設置為TO~(το+t)。
6.根據(jù)權利要求1至4任意一項所述的方法,其特征在于,所述重新設置該病毒特征的有效時段,包括: 根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl~(Tl+t)。
7.根據(jù)權利要求1所述的方法,其特征在于,所述方法還包括: 將標記為不活躍特征的病毒特征刪除。
8.一種病毒特征庫更新裝置,其特征在于,所述裝置包括: 檢測模塊,用于在病毒特征庫中,檢測各個病毒特征在其有效時段內(nèi),命中樣本的次數(shù)是否大于預設的閾值; 有效時段設置模塊,用于在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,重新設置該病毒特征的有效時段; 標記模塊,用于在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)不大于預設的閾值的情況下,將該病毒特征標記為不活躍特征。
9.根據(jù)權利要求8所述的裝置,其特征在于,所述裝置還包括: 初始化模塊,用于在對病毒特征庫中的各個病毒特征進行第一次檢測之前,設置各個病毒特征的有效時段。
10.根據(jù)權利要求9所述的裝置,其特征在于,所述初始化模塊,具體用于: 根據(jù)病毒特征的分類,對同類的病毒特征設置相同的有效時段長度; 根據(jù)設置的各個病毒特征的有效時段長度,設置各個病毒特征的有效時段。
11.根據(jù)權利要求10所述的裝置,其特征在于,所述病毒特征的分類,包括: 全文hash特征、普通泛型特征和其它特征。
12.根據(jù)權利要求8至11任意一項所述的裝置,其特征在于,所述有效時段設置模塊,具體用于: 在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征有效時段截止時刻T0,將該病毒特征的有效時段設置為TO~(ΤΟ+t)。
13.根據(jù)權利要求8至11任意一項所述的裝置,其特征在于,所述有效時段設置模塊,具體用于: 在病毒特征在其有效時段內(nèi),命中樣本的次數(shù)大于預設的閾值的情況下,根據(jù)該病毒特征的有效時段長度t、以及該病毒特征最后命中樣本的時刻Tl,將該病毒特征的有效時段設置為Tl~(Tl+t)。
14.根據(jù)權利要求8所述的裝置,其特征在于,還包括: 刪除模塊,用于將標記為不活躍特征`的病毒特征刪除。
【文檔編號】G06F17/30GK103886041SQ201410086653
【公開日】2014年6月25日 申請日期:2014年3月10日 優(yōu)先權日:2014年3月10日
【發(fā)明者】陳勇, 王鑫, 姚輝 申請人:珠海市君天電子科技有限公司