【技术实现步骤摘要】
一种文件识别方法及装置
[0001]本申请涉及安全
,尤其涉及一种文件识别方法及装置。
技术介绍
[0002]DPI(Deep Packet Inspection,深度报文检测)深度安全是一种基于应用层信息对经过网络设备的网络流量进行检测和控制的安全机制。在日益复杂的网络安全威胁中,很多恶意行为(比如,蠕虫病毒、垃圾邮件、漏洞等)都是隐藏在数据报文的应用层载荷中。传统安全防护技术仅仅依靠网络层和传输层的安全检测技术已经无法满足网络安全要求。因此,网络设备必须具备DPI功能,以实现对网络应用层信息的检测和控制,进而保证数据内容的安全,提高网络的安全性。
[0003]目前防病毒检测主要是通过模式串匹配和全文哈希方式检测网络中传输的病毒文件。模式串匹配方式是通过静态特征码扫描技术进行恶意文件检测,但该方法需要配置大规模的特征码规则,从而导致占用较多的内存,对网络设备的内存提出更高的要求,此外该方法会随着规则数的增大而导致防病毒引擎变得越来越大,从而导致cache
‑
miss的问题,进而影响设备的吞吐...
【技术保护点】
【技术特征摘要】
1.一种文件识别方法,其特征在于,包括:对接收到的待识别文件进行文件识别;当所述待识别文件为设定类型的文件时,则从所述待识别文件中提取出文件头;对所述文件头中的目标信息进行哈希计算,得到局部哈希值;将所述局部哈希值与病毒哈希特征库进行匹配,所述病毒哈希特征库包括病毒的特征哈希值;当匹配成功时,则确认所述待识别文件为病毒文件。2.根据权利要求1所述的方法,其特征在于,所述待识别文件包括Windows操作系统下的可执行文件;所述文件头包括映像文件头和可选映像头;对所述文件头中的目标信息进行哈希计算,得到局部哈希值,包括:对所述映像文件头进行哈希计算,得到中间哈希值;根据机器类型码,从所述可选映像头中提取出与所述机器类型码相匹配的目标可选映像头信息;根据所述中间哈希值和所述目标可选映像头信息进行哈希计算,得到所述局部哈希值。3.根据权利要求1所述的方法,其特征在于,还包括:当未匹配成功时,对所述待识别文件进行模式串特征匹配,以识别所述待识别文件是否为病毒文件。4.根据权利要求3所述的方法,其特征在于,还包括:当所述局部哈希值与所述病毒哈希特征库未匹配成功,或者对所述待识别文件进行模式串特征匹配时未识别出所述待识别文件为病毒文件时,则当所述待识别文件为完整的文件时,则对所述待识别文件进行全文哈希计算,得到哈希结果,根据所述哈希结果识别所述待识别文件是否为病毒文件。5.根据权利要求1所述的方法,其特征在于,从所述待识别文件中提取出文件头,包括:利用所述设定类型对应的文件解析插件对所述待识别文件进行拆解处理,以提取出所述待识别文件中的文件头。6.一种文件识别装置,其特征在于,包括:识别模块,用于对接收到的待识...
【专利技术属性】
技术研发人员:郭玲玲,
申请(专利权)人:新华三信息安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。