CN103761478A - 恶意文件的判断方法及设备 - Google Patents
恶意文件的判断方法及设备 Download PDFInfo
- Publication number
- CN103761478A CN103761478A CN201410006958.1A CN201410006958A CN103761478A CN 103761478 A CN103761478 A CN 103761478A CN 201410006958 A CN201410006958 A CN 201410006958A CN 103761478 A CN103761478 A CN 103761478A
- Authority
- CN
- China
- Prior art keywords
- file
- information data
- malicious
- matching times
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种恶意文件的判断方法及设备。其中,该方法包括:提取接收的文件的来源信息数据;对来源信息数据与特征库的信息数据进行匹配,其中,特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;根据匹配结果判断文件是否为恶意文件。采用本发明实施例能够达到节省时间,提高判断准确性,进而增强对用户信息安全的保证的有益效果。
Description
技术领域
本发明涉及互联网应用领域,特别是涉及一种恶意文件的判断方法及设备。
背景技术
随着社会的信息化发展,终端(包括电脑、手机等多种设备)在人们生活中越来越重要。人们越来越多地依赖终端保存个人信息,例如各种账号信息、私人聊天记录甚至一些图片照片等信息。因此,若终端系统遭到恶意文件(如恶意网址或者电脑病毒等)的威胁,容易造成个人信息的泄露,对用户造成难以估计的损失。因此,避免终端系统遭受恶意文件的威胁,保证终端系统的安全性十分重要。
现有技术中,对于文件是否为恶意文件的判断仅能基于人工判断。人为地对每一个文件是否为恶意文件进行逐一判断,效率低下,浪费大量的人工时间,并且由于人工无法将接收到的文件与特征库中的文件进行逐一对比,导致对文件的判断不准确,出错率较高。现有技术容易错误放过一些恶意文件,并且,容易错误将非恶意文件判断为恶意文件。
综上,现有技术在对文件是否为恶意文件的判断中,效率较低并且无法保证判断的准确性。进一步,无法高效地保证终端系统的安全性,对用户的信息安全造成威胁。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的恶意文件的判断方法和相应的设备。
依据本发明实施例的一个方面,提供了一种恶意文件的判断方法,包括:提取接收的文件的来源信息数据;对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;根据匹配结果判断所述文件是否为恶意文件。
可选地,所述提取文件的来源信息数据的提取方式如下:根据所述文件的格式提取所述文件的属性信息;计算所述属性信息的哈希值;将所述哈希值整理为日志,存储为来源信息数据。
可选地,根据所述文件的格式获取所述文件的属性信息,包括:所述文件为超文本标记语言html格式时,提取所述文件的统一资源定位符url和/或文本;所述文件为dex格式时,提取所述文件的各个函数代码段;所述文件为可移植执行体pe格式时,提取所述文件的各个函数代码段。
可选地,根据匹配结果判断所述文件是否为恶意文件,包括:获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数;根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件。
可选地,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,包括:比较所述第一匹配次数是否不小于所述第二匹配次数;若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件。
可选地,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,还包括:比较所述第一匹配次数与所述第二匹配次数;若所述第一匹配次数大于等于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值,若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件;若所述第一匹配次数小于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值,若是,判断所述文件为恶意文件,若否,判断所述文件为非恶意文件。
可选地,所述第一预定阈值与所述第二预定阈值相同或者不同。
可选地,根据匹配结果判断所述文件是否为恶意文件之后,还包括:若所述文件为恶意文件,添加所述文件的来源信息数据至所述黑名单,对所述黑名单进行更新;若所述文件为非恶意文件,添加所述文件的来源信息数据至所述白名单,对所述白名单进行更新。
可选地,所述恶意文件的判断方法还包括:将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。
可选地,添加所述文件的来源信息至所述黑名单或所述白名单之后,还包括:上报所述更新后的黑名单和/或白名单至服务器,由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。
可选地,所述安全检测包括下列操作至少之一:对所述终端系统进行恶意文件扫描;更新所述终端系统的恶意网址库;对所述终端系统进行安全检测。
可选地,所述终端系统为安卓系统。
依据本发明的另一个方面,还提供了一种恶意文件的判断设备,包括:提取器,配置为提取接收的文件的来源信息数据;匹配器,配置为对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;判断器,配置为根据匹配结果判断所述文件是否为恶意文件。
可选地,所述提取器还配置按如下方式提取文件的来源信息:根据所述文件的格式提取所述文件的属性信息;计算所述属性信息的哈希值;将所述哈希值整理为日志,存储为来源信息数据。
可选地,所述提取器还配置为:所述文件为超文本标记语言html格式时,提取所述文件的统一资源定位符url和/或文本;所述文件为dex格式时,提取所述文件的各个函数代码段;所述文件为可移植执行体pe格式时,提取所述文件的各个函数代码段。
可选地,所述判断器还配置为:获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数;根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件。
可选地,所述判断器还配置为:比较所述第一匹配次数是否不小于所述第二匹配次数;若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件。
可选地,所述判断器还配置为:比较所述第一匹配次数与所述第二匹配次数;若所述第一匹配次数大于等于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值,若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件;若所述第一匹配次数小于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值,若是,判断所述文件为恶意文件,若否,判断所述文件为非恶意文件。
可选地,所述第一预定阈值与所述第二预定阈值相同或者不同。
可选地,所述恶意文件的判断设备还包括:添加器,配置为,所述判断器根据匹配结果判断所述文件是否为恶意文件之后,若所述文件为恶意文件,添加所述文件的来源信息数据至所述黑名单,对所述黑名单进行更新;若所述文件为非恶意文件,添加所述文件的来源信息数据至所述白名单,对所述白名单进行更新。
可选地,所述添加器还配置为:将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。
可选地,所述恶意文件的判断设备还包括:上报器,配置为上报所述更新后的黑名单和/或白名单至服务器,由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。
可选地,所述安全检测包括下列操作至少之一:对所述终端系统进行恶意文件扫描;更新所述终端系统的恶意网址库;对所述终端系统进行安全检测。
在本发明实施例中,自动提取接收到的文件的来源信息数据,通过对来源信息数据与特征库的信息数据的匹配,判断文件是否为恶意文件。通过本发明实施例,能够解决现有技术中仅能通过人工对文件是否为恶意文件进行判断的效率低下、准确率低下的问题。在本发明实施例中,自动将接收到的文件的来源信息数据与特征库中所有的信息数据进行匹配,节省人工的大量时间,并且通过匹配结果判断文件是否为恶意文件能够有效提高判断的准确性。当对文件是否为恶意文件进行判断之后,可以将判断结果更新至特征库,提高特征库的实时性,进一步增强对文件进行判断的准确性。采用本发明实施例能够达到节省时间,提高判断准确性,进而增强对用户信息安全的保证的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的恶意文件的判断方法的处理流程图;
图2示出了根据本发明一个实施例的采用第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法的处理流程图;
图3示出了根据本发明一个实施例的更新黑名单和/或白名单至杀毒引擎之后对终端进行病毒文件查杀的处理流程图;以及
图4示出了根据本发明一个实施例的恶意文件的判断设备的结构示意图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
相关技术中提及,在对文件是否为恶意文件的判断中,效率较低并且无法保证判断的准确性。进一步,无法高效地保证终端系统的安全性,对用户的信息安全造成威胁。
为解决上述技术问题,本发明实施例提供了一种恶意文件的判断方法。图1示出了根据本发明一个实施例的恶意文件的判断方法的处理流程图。参见图1,该流程至少包括步骤S102至步骤S106。
步骤S102、提取接收的文件的来源信息数据。
步骤S104、对来源信息数据与特征库的信息数据进行匹配,其中,特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单。
步骤S106、根据匹配结果判断文件是否为恶意文件。
在本发明实施例中,自动提取接收到的文件的来源信息数据,通过对来源信息数据与特征库的信息数据的匹配,判断文件是否为恶意文件。通过本发明实施例,能够解决现有技术中仅能通过人工对文件是否为恶意文件进行判断的效率低下、准确率低下的问题。在本发明实施例中,自动将接收到的文件的来源信息数据与特征库中所有的信息数据进行匹配,节省人工的大量时间,并且通过匹配结果判断文件是否为恶意文件能够有效提高判断的准确性。当对文件是否为恶意文件进行判断之后,可以将判断结果更新至特征库,提高特征库的实时性,进一步增强对文件进行判断的准确性。采用本发明实施例能够达到节省时间,提高判断准确性,进而增强对用户信息安全的保证的有益效果。
本发明实施例中,可以通过预设的动态库,如xxx.dll,实现对文件的获取操作。获取到文件之后,本发明实施例提取接收的文件的来源信息数据。具体地,根据文件的格式提取文件的属性信息。例如,获取到脚本(script)文件之后,脚本文件的类型包括为超文本标记语言(Hyper Text Mark-up Language,以下简称html)、JS(JavaScript,一种脚本文件类型)类型以及VBS(VisualBasic Script,一种脚本文件类型)类型。
当脚本文件的类型为html时,可以提取文件的统一资源定位符(UniformResource Locator,以下简称url)。再例如,文件格式为dex(一种可执行文件的类型)或者class(一种文件的类型)或者可移植执行体(Portable Execute,以下简称pe)时,可以对应文件的格式分别提取dex或者class或者pe的各个函数代码段,还可以提取该文件的其他属性信息,例如文件的各个节名或者导出表的各个函数名等。
根据文件的格式提取出文件的属性信息之后,计算提取出的属性信息的哈希值,并将哈希值整理为日志,存储为文件的来源信息数据。获取到文件的来源信息数据之后,对获取到的来源信息数据与特征库的信息数据进行匹配。
在实际运用中,网页病毒攻击经常利用一种堆喷射((Heap-SprayingAttacks)攻击方法。堆喷射型病毒由于通用性强,生成恶意网页简单而被广泛采用。该攻击方法通过javascript(一种脚本语言)操作浏览器等应用的堆内存,将恶意代码填充至浏览器等应用的堆内存中,通过缓冲区溢出漏洞改变程序的执行流程使得浏览器堆内存中的恶意代码(shellcode)得以执行,以及触发漏洞行为等。
因此,本发明实施例中,可以将根据文件属性信息生成的来源信息数据输入到相应的脚本扫描引擎中进行扫描,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。进而,根据扫描结果确定文件与黑名单和/或白名单的匹配结果。例如,本发明实施例中,根据文件类型分别生成JS脚本文件、VBS脚本文件以及JAVA格式文件的来源信息数据之后,将JS脚本文件的来源信息数据输入到JS脚本扫描引擎中进行扫描,将VBS脚本文件的来源信息数据输入到VBS脚本扫描引擎中进行扫描,将JAVA(一种程序设计语言)格式文件的来源信息数据输入到JAVA格式扫描引擎中进行扫描。
本发明实施例中,对文件的来源信息数据进行扫描以及匹配的特征库为存储有文件来源信息数据的数据库。具体地,特征库中包括存储有恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单。当对获取到的来源信息数据与特征库的信息数据进行匹配之后,能够获取到来源信息数据与黑名单的匹配次数(称为第一匹配次数)以及来源信息数据与白名单的匹配次数(称为第二匹配次数)。根据预设规则,本发明实施例能够利用第一匹配次数和第二匹配次数的值判断文件是否为恶意文件。本发明实施例中,对第一匹配次数和第二匹配次数的值根据预设规则可以进行减法运算或者除法运算或者其他运算方式,并根据运算结果判断文件是否为恶意文件,本发明实施例对此并不加以限定。本发明实施例优选两种操作简单并且识别性较高的预设规则对第一匹配次数以及第二匹配次数进行运算。进一步,根据运算结果判断文件是否为恶意文件。
现对两种操作简单并且识别性较高的预设规则分别进行介绍。本发明实施例中,将优选的两种预设规则称为第一种预设规则以及第二种预设规则。
根据第一种预设规则对文件是否为恶意文件进行判断。具体地,比较第一匹配次数以及第二匹配次数。若第一匹配次数大于等于第二匹配次数,则判断文件为恶意文件。若第一匹配次数小于第二匹配次数,则判断文件为非恶意文件。采用第一种预设规则对文件是否为恶意文件进行判断能够对文件进行简单快速的判断。当第一匹配次数与第二匹配次数相差悬殊时,采用第一种预设规则能够准确地对文件是否为恶意文件进行判断。例如,当第一匹配次数为三十万次,第二匹配次数为0次时,能够判断文件为恶意文件。再例如,当第一匹配次数为2次,第二匹配次数为9000次时,能够判断文件为非恶意文件。但是,当第一匹配次数与第二匹配次数相近时,采用第一种预设规则能够快速判断文件是否为恶意文件,但是无法保证判断的准确性。例如,当第一匹配次数为500次,第二匹配次数为499次时,根据第一种预设规则,第一匹配次数大于第二匹配次数,文件为恶意文件。再例如,当第一匹配次数为1999次,而第二匹配次数为2000次时,根据第一种预设规则,文件为非恶意文件。在实际运用中,由于特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件,得到的第一匹配次数以及第二匹配次数可能是缺乏准确性的数据。因此,当第一匹配次数与第二匹配次数相近时,第一种预设规则对文件是否为恶意文件的判断可能是不准确的。
基于对如上文所述的信息的不完整性的考虑,本发明实施例还提供了第二种预设规则对文件是否为恶意文件进行判断。现对利用第二种预设规则对文件是否为恶意文件进行判断的过程进行介绍。
获取到第一匹配次数以及第二匹配次数之后,本发明实施例仍旧对第一匹配次数与第二匹配次数进行比较。当第一匹配次数大于等于第二匹配次数时,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值。若是,判断文件为恶意文件。若否,判断文件为非恶意文件。当第一匹配次数小于第二匹配次数时,比较两者差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值。若是,判断文件为恶意文件。若否,判断文件为非恶意文件。设置第一匹配次数为X,第二匹配次数为Y,两者的差值的绝对值与第一匹配次数的比值为value,第一预定阈值为value1,第二预定阈值为value2,则以公式的形式展示上述第二预定规则为:
当X≥Y,并且,|X-Y|÷X=value≥value1,则判断文件为恶意文件;
当X≥Y,并且,|X-Y|÷X=value<value1,则判断文件为非恶意文件;
当X<Y,并且,|X-Y|÷X=value≤value2,则判断文件为恶意文件;
当X<Y,并且,|X-Y|÷X=value>value2,则判断文件为非恶意文件。
第二种预设规则中,利用比值判断文件是否为恶意文件,能够避免当第一匹配次数与第二匹配次数相近时,仅利用较小的差别数对文件进行判断,导致判断不准确,进而错误放过恶意文件或者错误拦截非恶意文件。但仅利用第二种预设规则时,同样存在上文所述的特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件的问题,容易导致一些恶意文件由于与黑名单匹配次数的比值较小被放过,给终端系统带来安全性的威胁。因此,本发明实施例还提供了一种第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法。
现对这种第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法进行介绍。图2示出了根据本发明一个实施例的采用第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法的处理流程图。参见图2,该流程至少包括步骤S202至步骤S210。
步骤S202、获取第一匹配次数和第二匹配次数。
步骤S204、第一匹配次数不小于第二匹配次数。
获取到第一匹配次数和第二匹配次数之后,比较第一匹配次数以及第二匹配次数。若第一匹配次数大于等于第二匹配次数,执行步骤S206。若第一匹配次数小于第二匹配次数,执行步骤S208。
步骤S206、判断文件为恶意文件,流程结束。
步骤S208、若第一匹配次数小于第二匹配次数,比较两者差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值。若是,返回执行步骤S206。若否,执行步骤S210。
步骤S210、两者差值的绝对值与第一匹配次数的比值大于第二预定阈值,判断文件为非恶意文件,流程结束。
在如图2所示的、利用第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法中,当第一匹配次数大于等于第二匹配次数时,直接判断文件为恶意文件,保证在存在特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件等的问题时,能够最大范围地保护终端系统的安全性不受恶意文件的威胁。因此,仅通过第一种预设规则判断为恶意文件的文件则直接划分为恶意文件,而对通过第一种预设规则判断为非恶意文件的文件进行进一步判断。
另外,需要说明的是,本发明实施例中,第一预定阈值与第二预定阈值为相互独立的两个数字,在设定时,分别设定第一预定阈值以及第二预定阈值。因此,本发明实施例中,第一预定阈值与第二预定阈值可能是同一数值,还可能是非同一数值。
如上文所述,对文件是否为恶意文件进行判断之后,根据判断结果,本发明实施例对特征库中的黑名单和/或白名单进行更新。具体地,若文件为恶意文件,添加文件的来源信息数据至黑名单,对黑名单进行更新;若文件为非恶意文件,添加文件的来源信息数据至白名单,对白名单进行更新。通过对黑名单和/或白名单进行更新,本发明实施例能够进一步充实黑名单和/或白名单的来源信息数据,减少特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件等的问题对判断结果的影响,增强对恶意文件的判断能力,更好的保障终端系统的安全性。本发明实施例中,可以将文件的来源信息数据转换为相同的或者不同的格式之后再添加至黑名单或者白名单,还可以直接将文件的来源信息数据添加至黑名单或者白名单,不做任何转换。优选地,本发明实施例中,将文件的来源信息数据转换为url格式之后,添加至黑名单或者白名单。其中,url格式为常用的保存文件来源信息数据的格式,并且,将文件的来源信息数据以固定的格式添加至黑名单或者白名单进行存储,在对未知文件进行匹配时,能够进行直接匹配,减少匹配过程消耗的时间,提高判断恶意文件的效率。
本发明实施例中,对黑名单和/或白名单更新之后,上报更新后的黑名单和/或白名单至服务器。服务器接收到更新的黑名单和/或白名单之后,利用更新后的黑名单和/或白名单对终端系统进行安全检测,提高用户设备以及系统的安全性。其中,对终端系统进行的安全检测可以是对终端系统进行恶意文件扫描,可以是更新终端系统的恶意网址库,还可以是对终端系统进行安全检测等任意对终端系统的安全性进行检测或者增强的操作,本发明实施例对此并不加以限定。另外,上文提及的终端系统可以是任意固定终端(如电脑)或者移动终端(如笔记本电脑、手机、平板)的系统。优选地,本发明实施例中的终端系统为安卓系统。
例如,确定预设数量的文件的文件类型之后,利用更新后的黑名单和/或白名单对终端系统进行的恶意文件(或者病毒文件)的查杀。将更新后的黑名单和/或白名单更新至包括用于查杀pe类型文件的云查杀引擎,和/或QVM(Qihoo Virtual Machine,人工智能引擎)引擎等类型的第一杀毒引擎。之后,通过至少一个第一杀毒引擎对预设数量的文件中的第一分类文件进行扫描,得到包括预设数量的文件中的确定文件的第一扫描结果。其中,第一分类文件优选为pe类型文件。由于已经确定出了预设数量的文件的类型,因而,第一杀毒引擎可以直接利用确定出的文件类型判断其是否属于第一分类文件。本发明实施例中,还可以利用第一杀毒引擎和第二杀毒引擎实现并行杀毒过程,其中,并行杀毒过程具体是指:当第一杀毒引擎在利用黑名单和/或白名单查杀过程中,可以将已查杀过的文件中的未确定文件输入到第二杀毒引擎中进行查杀,而不必等到第一杀毒引擎查杀完所有待查杀文件,再由第二杀毒引擎进行查杀。同理,如果第一杀毒引擎至少有两个,则至少两个第一杀毒引擎之间的查杀过程也采用前述并行查杀的方式。接下来,将上述预设数量的文件中除确定文件以外的其它文件输入到至少一个第二杀毒引擎,通过第二杀毒引擎对待查杀文件中除第一分类文件中的确定文件以外的其它文件进行扫描,获得第二扫描结果。其中,第二杀毒引擎主要指对除第一分类文件外的其它文件进行扫描的杀毒引擎,需要说明的是,该第二杀毒引擎可以具有对所有分类文件进行查杀的能力。通过对第一查杀引擎以及第二查杀引擎更新黑名单和/或白名单之后,进行并行查杀的方式能够减少每一种杀毒引擎的查杀数量,从而提高查杀速度,以便有效利用系统资源。本实施例中第二杀毒引擎可以包括至少一个脚本处理引擎(例如JS脚本处理引擎、VBS脚本处理引擎和HTML脚本处理引擎等)。当第二杀毒引擎为多个时,多个第二杀毒引擎之间也是相互并行工作的,由此可以大幅提高查杀效率。
为了便于理解上述更新黑名单和/或白名单至杀毒引擎之后对终端进行病毒文件查杀的具体实现方式,图3示出了根据本发明一个实施例的更新黑名单和/或白名单至杀毒引擎之后对终端进行病毒文件查杀的处理流程图。参见图3,该流程至少包括步骤S302至步骤S308。
步骤S302,在终端上开启杀毒引擎的实时防护功能,监控对电脑的操作系统中任何文件的访问。
步骤S304,将更新后的黑名单和/或白名单更新至杀毒引擎,并在某一时刻发现某程序正在对操作系统中的一文件A进行访问。
此时,安装在终端上的其他监控装置利用防护功能也监控到了某程序正在对文件A进行访问。
步骤S306,杀毒引擎中的第一杀毒引擎利用更新后的黑名单和/或白名单对文件A进行扫描。所黑名单以及白名单中均不存在该文件A,则说明是杀毒引擎第一次发现该文件A被访问,将该文件A的标识和地址记录到本地的数据表中,放行程序对文件A的访问行为。
在本地数据表中,记录该文件A的标识和地址,此时对该文件A的安全属性为未知。
步骤S308,杀毒引擎中的第二杀毒引擎发现数据表新增加了文件A的标识后,将文件A的标识添加到自己的扫描队列中。
杀毒引擎中的第二杀毒引擎轮询数据表的周期长度的设置要至少保证安装在电脑上的其他监控装置可以对文件A进行一次扫描。
在实际操作中,往往是在一个周期内或者实时对多个文件的访问行为进行监控,所以杀毒引擎中的第二杀毒引擎会通过多个文件被添加的顺序组织扫描队列,根据扫描队列排列管理文件的标识,并依据扫描队列完成对文件的扫描。
在上述周期内,终端上的其他监控装置应该已经对文件A完成扫描,可能文件A被其他监控装置扫描后认为是恶意程序,在经过用户许可后被其他监控装置清除,也可能文件A被其他监控装置扫描后认为安全,而对访问进行放行;此时不考虑其他监控装置的处理结果,本发明实施例的杀毒引擎的实时防护功能依然对文件A进行扫描。
基于上文各优选实施例提供的恶意文件的判断方法,基于同一发明构思,本发明实施例提供一种恶意文件的判断设备,用于实现上述恶意文件的判断方法。
图4示出了根据本发明一个实施例的恶意文件的判断设备的结构示意图。参见图4,本发明实施例的恶意文件的判断设备至少包括:提取器410、匹配器420以及判断器430。
现介绍本发明实施例的恶意文件的判断设备的各器件或组成的功能以及各部分间的连接关系:
提取器410,配置为提取接收的文件的来源信息数据。
匹配器420,与提取器410相耦合,配置为对来源信息数据与特征库的信息数据进行匹配,其中,特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单。
判断器430,与匹配器420相耦合,配置为根据匹配结果判断所述文件是否为恶意文件。
在本发明实施例中,自动提取接收到的文件的来源信息数据,通过对来源信息数据与特征库的信息数据的匹配,判断文件是否为恶意文件。通过本发明实施例,能够解决现有技术中仅能通过人工对文件是否为恶意文件进行判断的效率低下、准确率低下的问题。在本发明实施例中,自动将接收到的文件的来源信息数据与特征库中所有的信息数据进行匹配,节省人工的大量时间,并且通过匹配结果判断文件是否为恶意文件能够有效提高判断的准确性。当对文件是否为恶意文件进行判断之后,可以将判断结果更新至特征库,提高特征库的实时性,进一步增强对文件进行判断的准确性。采用本发明实施例能够达到节省时间,提高判断准确性,进而增强对用户信息安全的保证的有益效果。
如图4所示,提取器410提取接收的文件的来源信息数据。具体地,提取器410根据文件的格式提取文件的属性信息。例如,获取到脚本(script)文件之后,脚本文件的类型包括为超文本标记语言(Hyper Text Mark-upLanguage,以下简称html)、JS(JavaScript,一种脚本文件类型)类型以及VBS(Visual Basic Script,一种脚本文件类型)类型。
当脚本文件的类型为html时,可以提取文件的url,还可以提取文件的script。再例如,文件格式为dex(一种可执行文件的类型)或者class(一种文件的类型)或者pe时,可以对应文件的格式分别提取dex或者class或者pe的各个函数代码段,还可以提取该文件的其他属性信息,例如文件的各个节名或者导出表的各个函数名等。
提取器410根据文件的格式提取出文件的属性信息之后,计算提取出的属性信息的哈希值,并将哈希值整理为日志,存储为文件的来源信息数据。提取器410获取到文件的来源信息数据之后,触发与其耦合的匹配器420对获取到的来源信息数据与特征库的信息数据进行匹配。实际运用中,网页病毒攻击经常利用一种堆喷射((Heap-Spraying Attacks)攻击方法。堆喷射型病毒由于通用性强,生成恶意网页简单而被广泛采用。该攻击方法通过javascript(一种脚本语言)操作浏览器等应用的堆内存,将恶意代码填充至浏览器等应用的堆内存中,通过缓冲区溢出漏洞改变程序的执行流程使得浏览器堆内存中的恶意代码(shellcode)得以执行,以及触发漏洞行为等。
因此,本发明实施例中,可以将根据文件属性信息生成的来源信息数据输入到相应的脚本扫描引擎中进行扫描,查看是否有下列行为中的一项或多项:代码加密、脚本读写磁盘文件、脚本执行堆喷射代码。进而,根据扫描结果确定文件与黑名单和/或白名单的匹配结果。例如,本发明实施例中,根据文件类型分别生成JS脚本文件、VBS脚本文件以及JAVA格式文件的来源信息数据之后,将JS脚本文件的来源信息数据输入到JS脚本扫描引擎中进行扫描,将VBS脚本文件的来源信息数据输入到VBS脚本扫描引擎中进行扫描,将JAVA(一种程序设计语言)格式文件的来源信息数据输入到JAVA格式扫描引擎中进行扫描。
本发明实施例中,对文件的来源信息数据进行扫描以及匹配的特征库为存储有文件来源信息数据的数据库。具体地,特征库中包括存储有恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单。当匹配器420对获取到的来源信息数据与特征库的信息数据进行匹配之后,与匹配器420相耦合的判断器430能够获取到来源信息数据与黑名单的第一匹配次数以及来源信息数据与白名单的第二匹配次数。根据预设规则,判断器430能够利用第一匹配次数和第二匹配次数的值判断文件是否为恶意文件。本发明实施例中,对第一匹配次数和第二匹配次数的值根据预设规则可以进行减法运算或者除法运算或者其他运算方式,并由判断器430根据运算结果判断文件是否为恶意文件,本发明实施例对此并不加以限定。本发明实施例优选两种操作简单并且识别性较高的预设规则对第一匹配次数以及第二匹配次数进行运算。进一步,判断器430根据运算结果判断文件是否为恶意文件。
现对两种操作简单并且识别性较高的预设规则分别进行介绍。本发明实施例中,将优选的两种预设规则称为第一种预设规则以及第二种预设规则。
根据第一种预设规则对文件是否为恶意文件进行判断。具体地,判断器430比较第一匹配次数以及第二匹配次数。若第一匹配次数大于等于第二匹配次数,则判断器430判断文件为恶意文件。若第一匹配次数小于第二匹配次数,则判断器430判断文件为非恶意文件。采用第一种预设规则对文件是否为恶意文件进行判断能够对文件进行简单快速的判断。当第一匹配次数与第二匹配次数相差悬殊时,采用第一种预设规则能够准确地对文件是否为恶意文件进行判断。例如,当第一匹配次数为三十万次,第二匹配次数为0次时,能够判断文件为恶意文件。再例如,当第一匹配次数为2次,第二匹配次数为9000次时,能够判断文件为非恶意文件。但是,当第一匹配次数与第二匹配次数相近时,采用第一种预设规则能够快速判断文件是否为恶意文件,但是无法保证判断的准确性。例如,当第一匹配次数为500次,第二匹配次数为499次时,根据第一种预设规则,第一匹配次数大于第二匹配次数,文件为恶意文件。再例如,当第一匹配次数为1999次,而第二匹配次数为2000次时,根据第一种预设规则,文件为非恶意文件。在实际运用中,由于特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件,得到的第一匹配次数以及第二匹配次数可能是缺乏准确性的数据。因此,当第一匹配次数与第二匹配次数相近时,判断器430采用第一种预设规则对文件是否为恶意文件的判断可能是不准确的。
基于对如上文所述的信息的不完整性的考虑,本发明实施例还提供了第二种预设规则对文件是否为恶意文件进行判断。现对利用第二种预设规则对文件是否为恶意文件进行判断的过程进行介绍。
获取到第一匹配次数以及第二匹配次数之后,判断器430仍旧对第一匹配次数与第二匹配次数进行比较。当第一匹配次数大于等于第二匹配次数时,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值。若是,判断器430判断文件为恶意文件。若否,判断器430判断文件为非恶意文件。当第一匹配次数小于第二匹配次数时,比较两者差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值。若是,判断器430判断文件为恶意文件。若否,判断器430判断文件为非恶意文件。
设置第一匹配次数为X,第二匹配次数为Y,两者的差值的绝对值与第一匹配次数的比值为value,第一预定阈值为value1,第二预定阈值为value2,则以公式的形式展示上述第二预定规则为:
当X≥Y,并且,|X-Y|÷X=value≥value1,则判断文件为恶意文件;
当X≥Y,并且,|X-Y|÷X=value<value1,则判断文件为非恶意文件;
当X<Y,并且,|X-Y|÷X=value≤value2,则判断文件为恶意文件;
当X<Y,并且,|X-Y|÷X=value>value2,则判断文件为非恶意文件。
第二种预设规则中,判断器430利用比值判断文件是否为恶意文件,能够避免当第一匹配次数与第二匹配次数相近时,仅利用较小的差别数对文件进行判断,导致判断器430判断不准确,进而错误放过恶意文件或者错误拦截非恶意文件。但仅利用第二种预设规则时,同样存在上文所述的特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件的问题,容易导致一些恶意文件由于与黑名单匹配次数的比值较小被放过,给终端系统带来安全性的威胁。因此,本发明实施例还提供了一种第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法。
现对这种第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法进行介绍。
获取到第一匹配次数和第二匹配次数之后,判断器430比较第一匹配次数以及第二匹配次数。若第一匹配次数大于等于第二匹配次数,判断器430判断文件为恶意文件。若第一匹配次数小于第二匹配次数,判断器430比较两者差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值。若是,判断器430判断文件为恶意文件。若否,判断器430判断文件为非恶意文件。
在利用第一种预设规则与第二种预设规则相结合的判断文件是否为恶意文件的判断方法中,当第一匹配次数大于等于第二匹配次数时,判断器430直接判断文件为恶意文件,保证在存在特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件等的问题时,能够最大范围地保护终端系统的安全性不受恶意文件的威胁。因此,仅通过第一种预设规则判断为恶意文件的文件则直接划分为恶意文件,而对通过第一种预设规则判断为非恶意文件的文件进行进一步判断。
另外,需要说明的是,本发明实施例中,第一预定阈值与第二预定阈值为相互独立的两个数字,在设定时,分别设定第一预定阈值以及第二预定阈值。因此,本发明实施例中,第一预定阈值与第二预定阈值可能是同一数值,还可能是非同一数值。
如上文所述,判断器430对文件是否为恶意文件进行判断之后,根据判断结果,与判断器430相耦合的添加器440对特征库中的黑名单和/或白名单进行更新。具体地,若文件为恶意文件,添加器440添加文件的来源信息数据至黑名单,对黑名单进行更新;若文件为非恶意文件,添加器440添加文件的来源信息数据至白名单,对白名单进行更新。通过对黑名单和/或白名单进行更新,本发明实施例能够进一步充实黑名单和/或白名单的来源信息数据,减少特征库中黑名单和/或白名单来源信息数据的不完整以及存在很多未知的恶意文件或者非恶意文件等的问题对判断结果的影响,增强对恶意文件的判断能力,更好的保障终端系统的安全性。本发明实施例中,可以将文件的来源信息数据转换为相同的或者不同的格式之后再由添加器440添加至黑名单或者白名单,还可以由添加器440直接将文件的来源信息数据添加至黑名单或者白名单,不做任何转换。优选地,本发明实施例中,将文件的来源信息数据转换为url格式之后,添加器440添加至黑名单或者白名单。其中,url格式为常用的保存文件来源信息数据的格式,并且,将文件的来源信息数据以固定的格式添加至黑名单或者白名单进行存储,在对未知文件进行匹配时,能够进行直接匹配,减少匹配过程消耗的时间,提高判断恶意文件的效率。
本发明实施例中,由添加器440对黑名单和/或白名单更新之后,与添加器440相耦合的上报器450上报更新后的黑名单和/或白名单至服务器。服务器接收到更新的黑名单和/或白名单之后,利用更新后的黑名单和/或白名单对终端系统进行安全检测,提高用户设备以及系统的安全性。其中,对终端系统进行的安全检测可以是对终端系统进行恶意文件扫描,可以是更新终端系统的恶意网址库,还可以是对终端系统进行安全检测等任意对终端系统的安全性进行检测或者增强的操作,本发明实施例对此并不加以限定。另外,上文提及的终端系统可以是任意固定终端(如电脑)或者移动终端(如笔记本电脑、手机、平板)的系统。优选地,本发明实施例中的终端系统为安卓系统。
根据上述任意一个优选实施例或多个优选实施例的组合,本发明实施例能够达到如下有益效果:
在本发明实施例中,监控文件接收操作,并自动提取接收到的文件的来源信息数据,通过对来源信息数据与特征库的信息数据的匹配,判断文件是否为恶意文件。通过本发明实施例,能够解决现有技术中仅能通过人工对文件是否为恶意文件进行判断的效率低下、准确率低下的问题。在本发明实施例中,自动将接收到的文件的来源信息数据与特征库中所有的信息数据进行匹配,节省人工的大量时间,并且通过匹配结果判断文件是否为恶意文件能够有效提高判断的准确性。另外,本发明实施例中监控文件的接收操作,能够保证实时监控到未知是否为恶意文件的文件。当对文件是否为恶意文件进行判断之后,可以将判断结果更新至特征库,提高特征库的实时性,进一步增强对文件进行判断的准确性。采用本发明实施例能够达到节省时间,提高判断准确性,进而增强对用户信息安全的保证的有益效果。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意文件的判断设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
本发明实施例还公开了A1.一种恶意文件的判断方法,包括:
提取接收的文件的来源信息数据;
对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;
根据匹配结果判断所述文件是否为恶意文件。
A2.根据A1所述的方法,其中,所述提取文件的来源信息数据的提取方式如下:
根据所述文件的格式提取所述文件的属性信息;
计算所述属性信息的哈希值;
将所述哈希值整理为日志,存储为来源信息数据。
A3.根据A2所述的方法,其中,根据所述文件的格式获取所述文件的属性信息,包括:
所述文件为超文本标记语言html格式时,提取所述文件的统一资源定位符url和/或文本;
所述文件为dex格式时,提取所述文件的各个函数代码段;
所述文件为可移植执行体pe格式时,提取所述文件的各个函数代码段。
A4.根据A1至A3任一项所述的方法,其中,根据匹配结果判断所述文件是否为恶意文件,包括:
获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数;
根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件。
A5.根据A4所述的方法,其中,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,包括:
比较所述第一匹配次数是否不小于所述第二匹配次数;
若是,判断所述文件为恶意文件;
若否,判断所述文件为非恶意文件。
A6.根据A4所述的方法,其中,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,还包括:
比较所述第一匹配次数与所述第二匹配次数;
若所述第一匹配次数大于等于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值,若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件;
若所述第一匹配次数小于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值,若是,判断所述文件为恶意文件,若否,判断所述文件为非恶意文件。
A7.根据A6所述的方法,其中,所述第一预定阈值与所述第二预定阈值相同或者不同。
A8.根据A1至A7任一项所述的方法,其中,根据匹配结果判断所述文件是否为恶意文件之后,还包括:
若所述文件为恶意文件,添加所述文件的来源信息数据至所述黑名单,对所述黑名单进行更新;
若所述文件为非恶意文件,添加所述文件的来源信息数据至所述白名单,对所述白名单进行更新。
A9.根据A8所述的方法,其中,还包括:
将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。
A10.根据A8或A9所述的方法,其中,添加所述文件的来源信息至所述黑名单或所述白名单之后,还包括:
上报所述更新后的黑名单和/或白名单至服务器,由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。
A11.根据A10所述的方法,其中,所述安全检测包括下列操作至少之一:
对所述终端系统进行恶意文件扫描;
更新所述终端系统的恶意网址库;
对所述终端系统进行安全检测。
A12.根据A10或A11所述的方法,其中,所述终端系统为安卓系统。
本发明实施例还公开了B13.一种恶意文件的判断设备,包括:
提取器,配置为提取接收的文件的来源信息数据;
匹配器,配置为对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;
判断器,配置为根据匹配结果判断所述文件是否为恶意文件。
B14.根据B13所述的设备,其中,所述提取器还配置按如下方式提取文件的来源信息:
根据所述文件的格式提取所述文件的属性信息;
计算所述属性信息的哈希值;
将所述哈希值整理为日志,存储为来源信息数据。
B15.根据B13或B14所述的设备,其中,所述提取器还配置为:
所述文件为超文本标记语言html格式时,提取所述文件的统一资源定位符url和/或文本;
所述文件为dex格式时,提取所述文件的各个函数代码段;
所述文件为可移植执行体pe格式时,提取所述文件的各个函数代码段。
B16.根据B13至B15任一项所述的设备,其中,所述判断器还配置为:
获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数;
根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件。
B17.根据B16所述的设备,其中,所述判断器还配置为:
比较所述第一匹配次数是否不小于所述第二匹配次数;
若是,判断所述文件为恶意文件;
若否,判断所述文件为非恶意文件。
B18.根据B16所述的设备,其中,所述判断器还配置为:
比较所述第一匹配次数与所述第二匹配次数;
若所述第一匹配次数大于等于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值,若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件;
若所述第一匹配次数小于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值,若是,判断所述文件为恶意文件,若否,判断所述文件为非恶意文件。
B19.根据B18所述的设备,其中,所述第一预定阈值与所述第二预定阈值相同或者不同。
B20.根据B13至B19任一项所述的方法,其中,还包括:
添加器,配置为,所述判断器根据匹配结果判断所述文件是否为恶意文件之后,
若所述文件为恶意文件,添加所述文件的来源信息数据至所述黑名单,对所述黑名单进行更新;
若所述文件为非恶意文件,添加所述文件的来源信息数据至所述白名单,对所述白名单进行更新。
B21.根据B20所述的设备,其中,所述添加器还配置为:
将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。
B22.根据B20或B21所述的设备,其中,还包括:
上报器,配置为上报所述更新后的黑名单和/或白名单至服务器,由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。
B23.根据B22所述的设备,其中,所述安全检测包括下列操作至少之一:
对所述终端系统进行恶意文件扫描;
更新所述终端系统的恶意网址库;
对所述终端系统进行安全检测。
Claims (10)
1.一种恶意文件的判断方法,包括:
提取接收的文件的来源信息数据;
对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;
根据匹配结果判断所述文件是否为恶意文件。
2.根据权利要求1所述的方法,其中,所述提取文件的来源信息数据的提取方式如下:
根据所述文件的格式提取所述文件的属性信息;
计算所述属性信息的哈希值;
将所述哈希值整理为日志,存储为来源信息数据。
3.根据权利要求2所述的方法,其中,根据所述文件的格式获取所述文件的属性信息,包括:
所述文件为超文本标记语言html格式时,提取所述文件的统一资源定位符url和/或文本;
所述文件为dex格式时,提取所述文件的各个函数代码段;
所述文件为可移植执行体pe格式时,提取所述文件的各个函数代码段。
4.根据权利要求1至3任一项所述的方法,其中,根据匹配结果判断所述文件是否为恶意文件,包括:
获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数;
根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件。
5.根据权利要求4所述的方法,其中,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,包括:
比较所述第一匹配次数是否不小于所述第二匹配次数;
若是,判断所述文件为恶意文件;
若否,判断所述文件为非恶意文件。
6.根据权利要求4所述的方法,其中,根据所述第一匹配次数和所述第二匹配次数的数值,判断所述文件是否为恶意文件,还包括:
比较所述第一匹配次数与所述第二匹配次数;
若所述第一匹配次数大于等于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值,若是,判断所述文件为恶意文件;若否,判断所述文件为非恶意文件;
若所述第一匹配次数小于所述第二匹配次数,比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值,若是,判断所述文件为恶意文件,若否,判断所述文件为非恶意文件。
7.根据权利要求6所述的方法,其中,所述第一预定阈值与所述第二预定阈值相同或者不同。
8.根据权利要求1至7任一项所述的方法,其中,根据匹配结果判断所述文件是否为恶意文件之后,还包括:
若所述文件为恶意文件,添加所述文件的来源信息数据至所述黑名单,对所述黑名单进行更新;
若所述文件为非恶意文件,添加所述文件的来源信息数据至所述白名单,对所述白名单进行更新。
9.根据权利要求8所述的方法,其中,还包括:
将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。
10.一种恶意文件的判断设备,包括:
提取器,配置为提取接收的文件的来源信息数据;
匹配器,配置为对所述来源信息数据与特征库的信息数据进行匹配,其中,所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单;
判断器,配置为根据匹配结果判断所述文件是否为恶意文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410006958.1A CN103761478B (zh) | 2014-01-07 | 2014-01-07 | 恶意文件的判断方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410006958.1A CN103761478B (zh) | 2014-01-07 | 2014-01-07 | 恶意文件的判断方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103761478A true CN103761478A (zh) | 2014-04-30 |
| CN103761478B CN103761478B (zh) | 2016-11-23 |
Family
ID=50528714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410006958.1A Active CN103761478B (zh) | 2014-01-07 | 2014-01-07 | 恶意文件的判断方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103761478B (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN106021252A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 使用公共因特网搜索确定基于因特网的对象信息 |
| WO2016201819A1 (zh) * | 2015-06-19 | 2016-12-22 | 安一恒通(北京)科技有限公司 | 检测恶意文件的方法和装置 |
| CN106778241A (zh) * | 2016-11-28 | 2017-05-31 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
| CN108090358A (zh) * | 2017-12-28 | 2018-05-29 | 哈尔滨安天科技股份有限公司 | 一种防御哈希碰撞躲避反病毒检测的方法及系统 |
| CN108156141A (zh) * | 2017-12-14 | 2018-06-12 | 北京奇艺世纪科技有限公司 | 一种实时数据识别方法、装置及电子设备 |
| CN108270932A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种通信号码的识别方法及装置 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
| CN112534417A (zh) * | 2018-08-14 | 2021-03-19 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
| CN113553587A (zh) * | 2021-06-21 | 2021-10-26 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及可读存储介质 |
| CN114285618A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁检测方法、装置、电子设备及可读存储介质 |
| CN114594916A (zh) * | 2022-03-19 | 2022-06-07 | 山西三叶虫信息技术股份有限公司 | 一种企业文件存储管理方法、装置、电子设备及存储介质 |
| CN114928476A (zh) * | 2022-04-27 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 目标文件的安全性检测方法及检测装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| WO2013189214A1 (zh) * | 2012-06-19 | 2013-12-27 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
-
2014
- 2014-01-07 CN CN201410006958.1A patent/CN103761478B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101924762A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种基于云安全的主动防御方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102801697A (zh) * | 2011-12-20 | 2012-11-28 | 北京安天电子设备有限公司 | 基于多url的恶意代码检测方法和系统 |
| WO2013189214A1 (zh) * | 2012-06-19 | 2013-12-27 | 北京奇虎科技有限公司 | 一种用户端文件的修复方法和系统 |
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN106021252A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 使用公共因特网搜索确定基于因特网的对象信息 |
| WO2016201819A1 (zh) * | 2015-06-19 | 2016-12-22 | 安一恒通(北京)科技有限公司 | 检测恶意文件的方法和装置 |
| US10678915B2 (en) | 2015-12-15 | 2020-06-09 | Beijing Qihoo Technology Company Limited | Method, device and program for checking and killing a backdoor file, and readable medium |
| CN105516151B (zh) * | 2015-12-15 | 2019-02-12 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| WO2017101751A1 (zh) * | 2015-12-15 | 2017-06-22 | 北京奇虎科技有限公司 | 后门文件的查杀方法、装置、程序及可读介质 |
| CN105516151A (zh) * | 2015-12-15 | 2016-04-20 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN106778241B (zh) * | 2016-11-28 | 2020-12-25 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
| CN106778241A (zh) * | 2016-11-28 | 2017-05-31 | 东软集团股份有限公司 | 恶意文件的识别方法及装置 |
| CN108270932A (zh) * | 2016-12-30 | 2018-07-10 | 中国移动通信集团公司 | 一种通信号码的识别方法及装置 |
| CN108156141A (zh) * | 2017-12-14 | 2018-06-12 | 北京奇艺世纪科技有限公司 | 一种实时数据识别方法、装置及电子设备 |
| CN108090358A (zh) * | 2017-12-28 | 2018-05-29 | 哈尔滨安天科技股份有限公司 | 一种防御哈希碰撞躲避反病毒检测的方法及系统 |
| CN108090358B (zh) * | 2017-12-28 | 2021-07-20 | 哈尔滨安天科技集团股份有限公司 | 一种防御哈希碰撞躲避反病毒检测的方法及系统 |
| CN112534417A (zh) * | 2018-08-14 | 2021-03-19 | 电子技巧股份有限公司 | 信息处理装置、信息处理方法、及信息处理程序 |
| CN111859381A (zh) * | 2019-04-29 | 2020-10-30 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及介质 |
| CN113553587A (zh) * | 2021-06-21 | 2021-10-26 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及可读存储介质 |
| CN113553587B (zh) * | 2021-06-21 | 2024-02-23 | 深信服科技股份有限公司 | 一种文件检测方法、装置、设备及可读存储介质 |
| CN114285618A (zh) * | 2021-12-20 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络威胁检测方法、装置、电子设备及可读存储介质 |
| CN114285618B (zh) * | 2021-12-20 | 2024-03-19 | 北京安天网络安全技术有限公司 | 一种网络威胁检测方法、装置、电子设备及可读存储介质 |
| CN114594916A (zh) * | 2022-03-19 | 2022-06-07 | 山西三叶虫信息技术股份有限公司 | 一种企业文件存储管理方法、装置、电子设备及存储介质 |
| CN114594916B (zh) * | 2022-03-19 | 2023-08-18 | 山西三叶虫信息技术股份有限公司 | 一种企业文件存储管理方法、装置、电子设备及存储介质 |
| CN114928476A (zh) * | 2022-04-27 | 2022-08-19 | 北京天融信网络安全技术有限公司 | 目标文件的安全性检测方法及检测装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103761478B (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103761478A (zh) | 恶意文件的判断方法及设备 | |
| Wang et al. | Seismic: Secure in-lined script monitors for interrupting cryptojacks | |
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| Crussell et al. | Andarwin: Scalable detection of android application clones based on semantics | |
| US10728274B2 (en) | Method and system for injecting javascript into a web page | |
| US11882134B2 (en) | Stateful rule generation for behavior based threat detection | |
| Mercaldo et al. | Download malware? no, thanks: how formal methods can block update attacks | |
| Karbab et al. | Dysign: dynamic fingerprinting for the automatic detection of android malware | |
| CN103001947A (zh) | 一种程序处理方法和系统 | |
| US11888870B2 (en) | Multitenant sharing anomaly cyberattack campaign detection | |
| Moonsamy et al. | Towards an understanding of the impact of advertising on data leaks | |
| CN103559447A (zh) | 一种基于病毒样本特征的检测方法、检测装置及检测系统 | |
| Elish et al. | A static assurance analysis of android applications | |
| CN113190838A (zh) | 一种基于表达式的web攻击行为检测方法及系统 | |
| Tchakounté et al. | LimonDroid: a system coupling three signature-based schemes for profiling Android malware | |
| CN113190839A (zh) | 一种基于SQL注入的web攻击防护方法及系统 | |
| Le et al. | GuruWS: A hybrid platform for detecting malicious web shells and web application vulnerabilities | |
| CN104134019A (zh) | 检测脚本病毒的方法和装置 | |
| El-Zawawy et al. | Vulnerabilities in Android webview objects: Still not the end! | |
| Daghmehchi Firoozjaei et al. | Memory forensics tools: a comparative analysis | |
| Khodayari et al. | It’s (dom) clobbering time: Attack techniques, prevalence, and defenses | |
| Hong et al. | Circuit: A javascript memory heap-based approach for precisely detecting cryptojacking websites | |
| Abawajy | SQLIA detection and prevention approach for RFID systems | |
| Chaurasia | Dynamic analysis of Android malware using DroidBox | |
| Dubin | Content Disarm and Reconstruction of Microsoft Office OLE files |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee after: Beijing Qizhi Business Consulting Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220402 Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Beijing Qizhi Business Consulting Co.,Ltd. |
|
| TR01 | Transfer of patent right |