本发明专利技术实施例公开了一种恶意文件搜索方法及装置,其中,恶意文件搜索方法包括:根据恶意文件的静态信息和动态信息建立恶意文件对应的分类索引,动态信息包括运行文件时的行为信息;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。本发明专利技术实施例的恶意文件搜索方法及装置,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。
【技术实现步骤摘要】
本专利技术涉及计算机
,尤其涉及一种恶意文件搜索方法及装置。
技术介绍
在计算机
,恶意文件是海量的,即数量上可以达到千万级以上,如病毒,木马,破坏计算机系统或窃取用户隐私的脚本等。如何在海量的恶意文件中搜索出感兴趣的文件,目前有以下两种方式:例如可以通过杀毒引擎,对海量恶意文件进行扫描,并根据扫描得到的文件种类名,找出感兴趣的文件。又例如由相关工作人员,人工的对当天新发现的恶意文件分类存储,便于后续搜索。但是,第一种方式下,杀毒引擎对海量恶意文件的查杀需要大量的时间,效率低下。第二种方式下,人工分类对于海量恶意文件分类存储,不仅效率低下且成本高。同时,第一种方式和第二种方式,都存在对恶意文件进行分类的粒度太大,往往不能精确找到需要的文件,且难于对流行病毒文件进行实时的分类的缺点。
技术实现思路
本专利技术实施例的目的是提供一种恶意文件搜索方法及装置,实现对恶意文件的分类及搜索。本专利技术实施例的目的是通过以下技术方案实现的:一方面,本专利技术实施例提供一种恶意文件搜索方法,包括:根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。其中,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口 API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。其中,在根据恶意文件的静态信息和动态信息,建立所述恶意文件的分类索引之前,所述方法还包括:使用分布式文件系统、或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储。进一步的,在使用分布式文件系统或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储之前,所述方法还包括:通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;使用分布式文件系统对所述恶意文件进行存储。具体的,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息,包括:根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引;根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态息。进一步的,根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,包括:对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。另一方面,本专利技术实施例提供一种恶意文件搜索装置,包括:建立单元,用于根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;搜索单元,用于接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示单元,用于显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。其中,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口 API信息,导入导出函数表,文件结构信息中的至少一种;所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。 其中,所述装置还包括:第一存储单元,用于对所述恶意文件的静态信息和动态信息进行存储,所述第一存储单元包括分布式文件系统、或分布式No-SQL数据库。进一步的,所述装置还包括:获取单元,用于通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件;第二存储单元,用于对所述恶意文件进行存储,所述第一存储单元包括分布式文件系统。具体的,所述搜索单元,具体用于根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引,根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信息。进一步的,所述搜索单元,还体对所述搜索信息进行语义分析,在所述分类索引中进行搜索,确定匹配的所述分类索引。由上述本专利技术实施例提供的技术方案可以看出,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。图1为本专利技术实施例提供的恶意文件搜索方法的流程示意图。图2为本专利技术实施例提供的恶意文件搜索装置的构成示意图。图3为本专利技术实施例提供的恶意文件搜索方法的应用场景示意图。具体实施例方式下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术的保护范围。如图1所示,本专利技术实施例提供一种恶意文件搜索方法,包括:11、根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引。12、接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。13、显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。由上述本专利技术实施例提供的技术方案可以看出,通过根据恶意文件的静态信息和动态信息,建立恶意文件的分类索引,提高了恶意文件检索的效率,精确性及实时性。具体的,所述静态信息为文件本身具有的信息。所述动态信息为运行文件时的行为信息。可选的,可以利用静态分析工具提取恶意文件的文件hash (哈希),文件名,文件大小,文件包含的指令,文件包含的字符串,API (Application Programming Interface,应用程序编程接口 )信息,导入导出函数表,文件结构信息等等静态信息。可选的,可以利用动态分析工具对恶意文件的行为信息进行提取,得到恶意文件在系统中的真实行为记录,如修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件等等。可选的,在根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引之前,本专利技术实施例的恶意文件搜索方法还可以包括:使用分布式文件系统、或分布式No-SQL(非关系型)数据库,对所述恶意文件的静态信息和动态信息进行存储。示例性的,分布式文件系统如FASTDFS (开源的轻量级分布式文件系统),或者HDFS (hadoop Distributed File System, hadoop的分布式文件系统),等等分布式文件系统。示例性的,分布式No-SQL数据库如big table式的数据库,如Mong本文档来自技高网...
【技术保护点】
一种恶意文件搜索方法,其特征在于,包括:根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引;接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息;显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。
【技术特征摘要】
1.一种恶意文件搜索方法,其特征在于,包括: 根据恶意文件的静态信息和动态信息,建立所述恶意文件对应的分类索引; 接收搜索指令,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息; 显示所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息。2.根据权利要求1所述的方法,其特征在于,所述静态信息为文件本身具有的信息,所述静态信息包括文件哈希hash,文件名,文件大小,文件包含的指令,文件包含的字符串,应用程序编程接口 API信息,导入导出函数表,文件结构信息中的至少一种; 所述动态信息为运行文件时的行为信息,所述动态信息包括修改注册表,修改启动项,修改进程,复制文件,修改文件,删除文件中的至少一种。3.根据权利要求1所述的方法 ,其特征在于,在根据恶意文件的静态信息和动态信息,建立所述恶意文件的分类索引之前,所述方法还包括: 使用分布式文件系统、或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储。4.根据权利要求3所述的方法,其特征在于,在使用分布式文件系统或分布式No-SQL数据库,对所述恶意文件的静态信息和动态信息进行存储之前,所述方法还包括: 通过客户端上报恶意文件、或网络检测恶意文件的方式,获取所述恶意文件; 使用分布式文件系统对所述恶意文件进行存储。5.根据权利要求1所述的方法,其特征在于,根据所述搜索指令携带的搜索信息确定匹配的所述分类索引,得到所述分类索引对应的恶意文件和/或恶意文件的静态信息和动态信息,包括: 根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确定匹配的所述分类索引; 根据匹配的所述分类索引,得到对应的恶意文件和/或恶意文件的静态信息和动态信肩、O6.根据权利要求5所述的方法,其特征在于,根据所述搜索指令携带的搜索信息在所述分类索引中进行搜索,确...
【专利技术属性】
技术研发人员:李建业,王展,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。