CN104933059A - 文件信誉获取方法、网关设备和文件信誉服务器 - Google Patents

文件信誉获取方法、网关设备和文件信誉服务器 Download PDF

Info

Publication number
CN104933059A
CN104933059A CN201410101467.5A CN201410101467A CN104933059A CN 104933059 A CN104933059 A CN 104933059A CN 201410101467 A CN201410101467 A CN 201410101467A CN 104933059 A CN104933059 A CN 104933059A
Authority
CN
China
Prior art keywords
file
function
cryptographic hash
sample set
probability distribution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410101467.5A
Other languages
English (en)
Other versions
CN104933059B (zh
Inventor
刘振华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201410101467.5A priority Critical patent/CN104933059B/zh
Priority to PCT/CN2015/073878 priority patent/WO2015139569A1/zh
Priority to EP15764199.4A priority patent/EP3109789B1/en
Publication of CN104933059A publication Critical patent/CN104933059A/zh
Priority to US15/264,719 priority patent/US10355866B2/en
Application granted granted Critical
Publication of CN104933059B publication Critical patent/CN104933059B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • G06F16/137Hash-based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Bioethics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请实施例提供一种文件信誉获取方法、网关设备和文件信誉服务器,该方法包括:获取被访问文件中至少一个函数的函数哈希值;利用预先训练获得的分类器,确定分别与各函数哈希值对应的概率分布,该概率分布用于指示各函数哈希值在黑样本集的文件中出现的概率,以及各函数哈希值在白样本集的文件中出现的概率;根据各函数哈希值对应的概率分布,确定被访问文件的信誉值。基于被访问文件中的函数哈希值的概率分布来评估确定文件的信誉值,有效解决了现有技术中基于文件内容生成特征值的方式导致文件信誉值查询失败的问题。

Description

文件信誉获取方法、网关设备和文件信誉服务器
技术领域
本发明属于计算机技术领域,具体是涉及一种文件信誉获取方法、网关设备和文件信誉服务器。
背景技术
随着计算机技术的快速发展,网络安全越来越受到人们的重视。当用户通过其终端进行诸如网页浏览等网络应用业务时,需要访问不同应用程序文件,而这些文件很有可能已经遭受了各种各样恶意病毒代码的攻击,从而造成用户终端感染病毒。
在诸如无线局域网(Wireless Local Area Networks,以下简称WLAN)、第二代移动通信技术(2rd-Generation,以下简称2G)、第三代移动通信技术(3rd-Generation,以下简称3G)等网络中,用户一般是通过网关设备、网关GPRS支持节点(Gateway GPRS Support Node,以下简称GGSN)、基站、增强型基站等网络设备接入网络,从而进行网络应用访问的。目前,网络设备在接收到用户对某应用程序文件的访问请求后,需获取该文件的信誉值,以基于该信誉值来确定是否允许用户访问等后续处理。在实际应用中,一般企业用户会额外地关心用户访问的文件的信誉值,比如会比较关心该用户发送的电子邮件,传输的FTP文件的信誉值是否满足一定要求,从而保证该用户所在企业的网络系统的安全可靠。目前,一种被广泛采用的文件信誉获取方式是,网关设备等网络设备根据当前被用户访问的文件(在本申请中后续简称为“被访问文件”)的全文或局部内容生成一特征值,从而根据生成的特征值,在该网关设备存储有已知的特征值与文件信誉值的对应关系的数据库中,查询该被访问文件的信誉值。
上述方式中,文件的特征值是根据文件的内容生成的,在新的应用业务不断出现或应用频繁更新升级的情况下,往往会出现文件信誉数据库中不存在被查询的文件的特征值对应的文件信誉值的现象,造成查询失败。
发明内容
本发明实施例提供一种文件信誉获取方法、网关设备和文件信誉服务器,用以缓解现有技术中基于文件内容生成特征值的方式存在的文件信誉值查询失败率高的问题。
第一方面,本发明实施例提供一种文件信誉获取方法,包括:
获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
根据第一方面,在第一方面的第一种可能的实现方式中,所述获取被访问文件中至少一个函数的函数哈希值,包括:
获取所述被访问文件头部中包含的函数起始位置信息;
自所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
采用预设哈希算法,分别计算所述至少一个函数中的每个函数的函数哈希值。
根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
相应地,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值之前,还包括:
接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值,包括:
判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
第二方面,本发明实施例提供一种文件信誉获取方法,包括:
分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
以所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
根据第二方面,在第二方面的第一种可能的实现方式中,所述获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合之后,还包括:
接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
根据第二方面的第一种可能的实现方式中,在第二方面的第二种可能的实现方式中,所述利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
第三方面,本发明实施例提供一种网关设备,包括:
获取模块,用于获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
确定模块,用于利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
处理模块,用于根据所述确定模块得到的所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
根据第三方面,在第三方面的第一种可能的实现方式中,所述获取模块,包括:
获取单元,用于获取所述被访问文件头部中包含的函数起始位置信息;
汇编单元,用于自所述获取单元得到的所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
计算单元,用于采用预设哈希算法,分别计算所述汇编单元得到的所述至少一个函数中的每个函数的函数哈希值。
根据第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述确定模块,具体用于:
将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
根据第三方面或第三方面的第一种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理模块,包括:
第一判断单元,用于判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
第二判断单元,用于判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
处理单元,用于若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
第四方面,本发明实施例提供一种文件信誉服务器,包括:
获取模块,用于分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
计算模块,用于分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
训练模块,用于以所述计算模块得到的所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
归一化模块,用于针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
根据第四方面,在第四方面的第一种可能的实现方式中,所述服务器还包括:
接收模块,用于接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
确定模块,用于利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
发送模块,用于将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
根据第四方面的第一种可能的实现方式中,在第四方面的第二种可能的实现方式中,所述确定模块,具体用于:
在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
本发明实施例提供的文件信誉获取方法、网关设备和文件信誉服务器,在获取被访问文件中的至少一个函数的函数哈希值之后,通过预先训练获得的分类器来确定与每个函数哈希值对应的概率分布,从而根据概率分布来确定被访问文件的信誉值。基于被访问文件中的函数哈希值的概率分布来评估确定文件的信誉值,以函数为最小单位,即使被访问文件中存在少量函数哈希值的概率分布不能通过训练获得的分类器确定的情况,仍可以根据被访问文件中的其他函数的函数哈希值来评估确定被访问文件的信誉值,减少了被访问文件的信誉值无法确定的情况的发生,相对于现有技术中基于文件内容生成特征值的方式,提高了确定文件信誉值时的成功率。
附图说明
图1为本发明实施例一提供的文件信誉获取方法的流程图;
图2为本发明实施例二提供的文件信誉获取方法的流程图;
图3为本发明实施例三提供的网关设备的结构示意图;
图4为本发明实施例四提供的文件信誉服务器的结构示意图;
图5为本发明实施例五提供的网关设备的结构示意图;
图6为本发明实施例六提供的文件信誉服务器的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一提供的文件信誉获取方法的流程图,本实施例提供的文件信誉获取方法可以由诸如网关设备、GPRS、基站等网络设备来执行,本实施例仅以网关设备为例进行说明。如图1所示,本实施例提供的文件信誉获取方法,具体包括:
步骤101、获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
在实际应用中,用户使用一些应用需要访问的可执行程序文件,都是由一组函数组成的,这些函数在文件中连续分布,每个函数是一段指令数据,程序运行过程就是执行这些函数指令的过程。
本实施例中,以企业用户通过网关设备进行收发电子邮件、传输FTP文件等应用为例来说明对该用户访问的被访问文件的信誉值的获取方法。当用户在其用户终端上触发诸如收发电子邮件等应用业务时,网关设备会接收到该用户终端对该应用业务的请求,从而获得用户进行该应用业务时要访问的程序文件,即本实施例所述的被访问文件。由于该被访问文件为一个可执行的程序文件,它由至少一个函数组成。因此,网关设备通过反汇编该被访问文件,以对该被访问文件中包含的至少一个函数进行分界,进而采用比如信息摘要算法5(Message-Digest Algorithm5,以下简称MD5),循环冗余校验(Cyclical Redundancy Check,以下简称CRC)等哈希算法计算获得的每个函数的哈希值,函数哈希值作为对应函数的一种属性,唯一标识了对应的函数。
具体地,本实施例中网关设备可以采用如下方式来获取被访问文件中至少一个函数的函数哈希值:
获取被访问文件头部中包含的函数起始位置信息;
自该函数起始位置开始,以ret指令作为函数结束指令反汇编被访问文件,以获取被访问文件中的至少一个函数;
采用预设哈希算法,分别计算该至少一个函数中的每个函数的函数哈希值。
另外,目前一种广泛使用的数据传输方式是以数据流的形式来传输数据,在比如视频观看等应用业务中,数据是以数据流的形式在网络中传输的,此时整个应用程序文件是以一个个数据包的形式在网络中传输的。
在上述应用场景下,如果用户要访问的文件是一个以数据流的方式进行传输的文件,此时由于被访问文件是由一个个数据包组成并在网络中传输的,一般在包含文件头部的数据包中会包含有程序代码部分即函数部分的起始位置信息,以及整个文件大小和每个数据包大小等信息,以使网关设备根据函数起始位置信息确定函数的起始位置,并从该起始位置开始,以ret指令作为函数结束指令反汇编被访问文件,以确定被访问文件中的各个函数,并根据预设的哈希算法,比如MD5,CRC等算法分别计算各个函数的函数哈希值。在此过程中,由于文件是以数据包为单位进行传输的,故而网关设备需逐一数据包进行上述处理,直至所有数据包处理完毕,获得整个文件中包含的所有函数的函数哈希值。
步骤102、利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
本实施例中,网关设备在获得被访问文件中的每个函数哈希值之后,可以利用预先训练获得的分类器,确定分别与每个函数哈希值对应的概率分布。具体地,网关设备可以与网络侧设置的文件信誉服务器交互,以将所述每个函数哈希值发送给文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,并返回所述每个函数哈希值对应的概率分布给网关设备。
本实施例中所述的与每个函数哈希值对应的概率分布,该概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件。其中,该恶意程序文件尤其是指病毒文件,而某个函数哈希值在黑样本集的文件中出现,是指该函数哈希值存在于由该恶意程序文件包含的函数的函数哈希值组成的哈希值集合中,相应的,某个函数哈希值在白样本集的文件中出现,是指该函数哈希值存在于由正常程序文件包含的函数的函数哈希值组成的哈希值集合中。
可以理解的是,本实施例中网关设备既可以将被访问文件中包含的每个函数哈希值发送给文件信誉服务器,以使文件信誉服务器利用该文件信誉服务器预先训练获得的分类器,查询确定分别与每个函数哈希值对应的概率分布,也可以由该网关设备预先本地训练分类器,进而利用训练获得的分类器确定分别与每个函数哈希值对应的概率分布,只是为了不增加网关设备的负载,优选地采用前一种方式,即交由文件信誉服务器进行处理。
因此,文件信誉服务器预先构造一个黑样本集和一个白样本集,用于对分类器进行训练,从而得到分类器的训练结果,即由黑样本集的恶意程序文件中和白样本集的正常程序文件中包含的各函数哈希值的概率分布组成的函数哈希值概率分布集合,以用于对被访问文件中包含的每个函数哈希值的概率分布的确定。本实施例中,可以采用比如贝叶斯、支持向量机等机器学习方法来训练分类器。
步骤103、根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
网关设备在确定分别与被访问文件中的每个函数哈希值对应的概率分布之后,根据确定的各概率分布,来确定该被访问文件的信誉值。具体地,可以采用如下的方式:
判断被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
本实施例中,可以假设黑样本集中的恶意程序文件具有很低的信誉值,比如信誉值为0,而白样本集中的正常程序文件具有很高的信誉值,比如信誉值为1。网关设备在确定分别与被访问文件中的每个函数哈希值对应的概率分布之后,网关设备可以统计获得该被访问文件中的函数分布情况,即该被访问文件中存在多少在黑样本集的文件中出现概率较高的函数,存在多少在白样本集的文件中出现概率较高的函数。如果该被访问文件中存在较多在黑样本集的文件中出现概率较高的函数,说明该被访问文件的信誉值较低,可以评估赋予该被访问文件一个较低的信誉值,比如信誉值为0.2。
本实施例中,在获取被访问文件中的至少一个函数的函数哈希值之后,通过预先训练获得的分类器来确定与每个函数哈希值一一对应的概率分布,从而根据概率分布来确定被访问文件的信誉值。基于被访问文件中的函数哈希值的概率分布来评估确定文件的信誉值,以函数为最小单位,即使被访问文件中存在少量函数哈希值的概率分布不能通过训练获得的分类器确定的情况,仍可以根据被访问文件中的其他函数的函数哈希值来评估确定它的信誉值,不会导致被访问文件的信誉值无法确定的情况的发生,从而有效解决了现有技术中基于文件内容生成特征值的方式导致文件信誉值查询失败的问题;而且,仅需查询获得被访问文件中至少一个函数哈希值的概率分布,进而基于该概率分布来评估确定被访问文件的信誉值,相对于直接查询获得文件信誉值的方式来说,有利于降低对样本数量的过分依赖;另外,以函数为最小单位,能够保证获得充足的函数样本空间,即使对一个全新的被访问文件,也可以获得其函数哈希值的概率分布,从而进一步文件信誉值获取的可靠性。
图2为本发明实施例二提供的文件信誉获取方法的流程图,本实施例提供的所述方法可以由实施例一中的网关设备执行,也可以由网络侧设置的文件信誉服务器来执行。在由网关设备执行的情况下,网关设备根据本地函数哈希值概率分布集合,查询得到所需的函数哈希值的概率分布。在由文件信誉服务器执行的情况下,可以与多个网关设备交互,提供网关设备所需的函数哈希值的概率分布。附图2仅以由网络侧设置的文件信誉服务器来执行为例,进行说明,如图2所示,该方法包括:
步骤201、分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
步骤202、分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
步骤203、以所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
步骤204、针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合;
本实施例中,文件信誉服务器在确定被访问文件的信誉值之前,需要根据预先收集的黑样本集和白样本集对分类器进行训练,得到训练结果,以根据该训练结果进行被访问文件信誉值的确定。
具体地,文件信誉服务器首先分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件。可以通过反汇编黑样本集的各恶意程序文件获得黑样本集中的至少一个函数,并通过反汇编白样本集的各正常程序文件获得白样本集中的至少一个函数。从恶意程序文件或正常程序文件中获得函数的方式与实施例一步骤101中从被访问文件中获得函数的方式类似,在这里不再赘述。
进而,采用预设的哈希算法,分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值。之后以黑样本集和白样本集中的每个函数的函数哈希值为输入对分类器进行训练,并在分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数,进而,针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。举例来说,比如某个函数哈希值在黑样本集的恶意程序文件中出现了100次,而在白样本集的正常程序文件中出现了400次,那么归一化处理之后,该函数哈希值在黑样本集的文件中出现的概率为100/(100+400)=20%,在白样本集的文件中出现的概率为400/(100+400)=80%,以此类推,得到黑样本集的文件中和白样本集的文件中包含的所述每个函数哈希值的概率分布。
步骤205、接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
步骤206、利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
步骤207、将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
文件信誉服务器在对分类器进行训练之后,可以利用该训练后的分类器来查询确定被访问文件中包含的每个函数哈希值的概率分布。具体地,文件信誉服务器接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件。进而,在分类器训练获得的函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布,并将每个函数哈希值对应的概率分布发送给所述网关设备,以使网关设备根据该概率分布来确定被访问文件的信誉值。
本实施例中,文件信誉服务器预先分别根据黑、白样本集中的文件中包含的函数哈希值对分类器进行训练,得到函数哈希值概率分布集合,以在接收到被访问文件中的每个函数哈希值后,在该概率分布集合中查询确定被访问文件中每个函数哈希值的概率分布,以使网关设备根据该概率分布来确定被访问文件的信誉值。分类器的训练样本为黑样本集和白样本集中的文件的函数哈希值,由于可执行程序文件是由一个个函数构成的,而且不同的可执行程序文件间有很多相同的函数,与现有技术中由于不同文件的特征值均不同,且基于文件内容生成特征值的方式相比,可以有效减少对样本文件数量和实时性的依赖;并且,文件信誉服务器中保存的是函数哈希值与概率分布的对应关系的函数哈希值概率分布集合,与现有技术中直接查询获得文件信誉值的方式不同,本实施例中网关设备需根据从文件信誉服务器接收的被访问文件中每个函数哈希值的概率分布来评估确定被访问文件的信誉值,从而有效解决了现有技术中基于文件内容生成特征值的方式导致文件信誉值查询失败的问题,保证了文件信誉值获取的可靠性。
图3为本发明实施例三提供的网关设备的结构示意图,如图3所示,该网关设备包括:
获取模块11,用于获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
确定模块12,用于利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
处理模块13,用于根据所述确定模块12得到的所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
进一步地,所述获取模块11,包括:
获取单元111,用于获取所述被访问文件头部中包含的函数起始位置信息;
汇编单元112,用于自所述获取单元111得到的所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
计算单元113,用于采用预设哈希算法,分别计算所述汇编单元112得到的所述至少一个函数中的每个函数的函数哈希值。
具体地,所述确定模块12,具体用于:
将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
进一步地,所述处理模块13,包括:
第一判断单元131,用于判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
第二判断单元132,用于判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
处理单元133,用于若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
本实施例的网关设备可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本发明实施例四提供的文件信誉服务器的结构示意图,如图4所示,该服务器包括:
获取模块21,用于分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
计算模块22,用于分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
训练模块23,用于以所述计算模块22得到的所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
归一化模块24,用于针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
进一步地,所述服务器还包括:
接收模块25,用于接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
确定模块26,用于利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
发送模块27,用于将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
具体地,所述确定模块26,具体用于:
在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
本实施例的文件信誉服务器可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本发明实施例五提供的网关设备实体的结构示意图,如图5所示,该网关设备实体包括:
存储器31以及与所述存储器31连接的处理器32,其中,所述存储器31用于存储一组程序代码,所述处理器32用于调用所述存储器31中存储的程序代码,以执行如图1所示文件信誉获取方法中的:获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
具体地,所述处理器32用于获取所述被访问文件头部中包含的函数起始位置信息;自所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;采用预设哈希算法,分别计算所述至少一个函数中的每个函数的函数哈希值。
进一步地,该网关设备实体还包括发射器33和接收器34,其中,发射器33用于将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;接收器34用于接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
进一步地,所述处理器32,还用于判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
本装置实施例中提供的网关设备,应用于方法实施例一、实施例二所描述的场景中,实现其中网关设备的功能。该网关设备可以实现的其他附加功能、以及与其他网元设备的交互过程,请参照方法实施例一、实施例二中对网关设备的描述,在这里不再赘述。
图6为本发明实施例六提供的文件信誉服务器实体的结构示意图,如图6所示,该文件信誉服务器实体包括:
存储器41以及与所述存储器41连接的处理器42,其中,所述存储器41用于存储一组程序代码,所述处理器42用于调用所述存储器41中存储的程序代码,以执行如图2所示文件信誉获取方法中的:分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;以所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
进一步地,所述文件信誉服务器实体还包括接收器43和发射器44,其中,接收器43用于接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
相应的,所述处理器42还用于利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
所述发射器44用于将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
进一步地,所述处理器42还用于在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
本装置实施例中提供的文件信誉服务器,应用于实施例二所描述的场景中,实现其中文件信誉服务器的功能。该网关设备可以实现的其他附加功能、以及与其他网元设备的交互过程,请参照方法实施例二中对文件信誉服务器的描述,在这里不再赘述。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (14)

1.一种文件信誉获取方法,其特征在于,包括:
获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
2.根据权利要求1所述的方法,其特征在于,所述获取被访问文件中至少一个函数的函数哈希值,包括:
获取所述被访问文件头部中包含的函数起始位置信息;
自所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
采用预设哈希算法,分别计算所述至少一个函数中的每个函数的函数哈希值。
3.根据权利要求1或2所述的方法,其特征在于,所述利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
相应地,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值之前,还包括:
接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
4.根据权利要求1或2所述的方法,其特征在于,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值,包括:
判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
5.一种文件信誉获取方法,其特征在于,包括:
分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
以所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
6.根据权利要求5所述的方法,其特征在于,所述获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合之后,还包括:
接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
7.根据权利要求6所述的方法,其特征在于,所述利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
8.一种网关设备,其特征在于,包括:
获取模块,用于获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
确定模块,用于利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
处理模块,用于根据所述确定模块得到的所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
9.根据权利要求8所述的设备,其特征在于,所述获取模块,包括:
获取单元,用于获取所述被访问文件头部中包含的函数起始位置信息;
汇编单元,用于自所述获取单元得到的所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
计算单元,用于采用预设哈希算法,分别计算所述汇编单元得到的所述至少一个函数中的每个函数的函数哈希值。
10.根据权利要求8或9所述的设备,其特征在于,所述确定模块,具体用于:
将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
11.根据权利要求8或9所述的设备,其特征在于,所述处理模块,包括:
第一判断单元,用于判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
第二判断单元,用于判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
处理单元,用于若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
12.一种文件信誉服务器,其特征在于,包括:
获取模块,用于分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
计算模块,用于分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
训练模块,用于以所述计算模块得到的所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
归一化模块,用于针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
13.根据权利要求12所述的服务器,其特征在于,还包括:
接收模块,用于接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
确定模块,用于利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
发送模块,用于将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
14.根据权利要求13所述的服务器,其特征在于,所述确定模块,具体用于:
在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
CN201410101467.5A 2014-03-18 2014-03-18 文件信誉获取方法、网关设备和文件信誉服务器 Expired - Fee Related CN104933059B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201410101467.5A CN104933059B (zh) 2014-03-18 2014-03-18 文件信誉获取方法、网关设备和文件信誉服务器
PCT/CN2015/073878 WO2015139569A1 (zh) 2014-03-18 2015-03-09 文件信誉获取方法、网关设备和文件信誉服务器
EP15764199.4A EP3109789B1 (en) 2014-03-18 2015-03-09 Method and gateway device for obtaining file reputation and file reputation server
US15/264,719 US10355866B2 (en) 2014-03-18 2016-09-14 File reputation acquiring method, gateway device, and file reputation server

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410101467.5A CN104933059B (zh) 2014-03-18 2014-03-18 文件信誉获取方法、网关设备和文件信誉服务器

Publications (2)

Publication Number Publication Date
CN104933059A true CN104933059A (zh) 2015-09-23
CN104933059B CN104933059B (zh) 2019-02-01

Family

ID=54120227

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410101467.5A Expired - Fee Related CN104933059B (zh) 2014-03-18 2014-03-18 文件信誉获取方法、网关设备和文件信誉服务器

Country Status (4)

Country Link
US (1) US10355866B2 (zh)
EP (1) EP3109789B1 (zh)
CN (1) CN104933059B (zh)
WO (1) WO2015139569A1 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778241A (zh) * 2016-11-28 2017-05-31 东软集团股份有限公司 恶意文件的识别方法及装置
CN108399477A (zh) * 2017-02-07 2018-08-14 阿里巴巴集团控股有限公司 一种风险阈值确定的方法及装置
CN114127718A (zh) * 2019-05-24 2022-03-01 赛诺菲 确定公差区间极限的方法、评估生产过程的方法和相应的计算装置

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10089467B1 (en) * 2017-05-23 2018-10-02 Malwarebytes Inc. Static anomaly-based detection of malware files

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065926A1 (en) * 2001-07-30 2003-04-03 Schultz Matthew G. System and methods for detection of new malicious executables
US20060036693A1 (en) * 2004-08-12 2006-02-16 Microsoft Corporation Spam filtering with probabilistic secure hashes
CN101576947A (zh) * 2009-06-05 2009-11-11 成都市华为赛门铁克科技有限公司 文件防护处理方法、装置及系统
CN102822839A (zh) * 2009-12-31 2012-12-12 迈克菲股份有限公司 经由信誉系统的恶意软件检测
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030065926A1 (en) * 2001-07-30 2003-04-03 Schultz Matthew G. System and methods for detection of new malicious executables
US20060036693A1 (en) * 2004-08-12 2006-02-16 Microsoft Corporation Spam filtering with probabilistic secure hashes
US8621625B1 (en) * 2008-12-23 2013-12-31 Symantec Corporation Methods and systems for detecting infected files
CN101576947A (zh) * 2009-06-05 2009-11-11 成都市华为赛门铁克科技有限公司 文件防护处理方法、装置及系统
CN102822839A (zh) * 2009-12-31 2012-12-12 迈克菲股份有限公司 经由信誉系统的恶意软件检测

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778241A (zh) * 2016-11-28 2017-05-31 东软集团股份有限公司 恶意文件的识别方法及装置
CN106778241B (zh) * 2016-11-28 2020-12-25 东软集团股份有限公司 恶意文件的识别方法及装置
CN108399477A (zh) * 2017-02-07 2018-08-14 阿里巴巴集团控股有限公司 一种风险阈值确定的方法及装置
CN108399477B (zh) * 2017-02-07 2021-03-05 创新先进技术有限公司 一种风险阈值确定的方法及装置
CN114127718A (zh) * 2019-05-24 2022-03-01 赛诺菲 确定公差区间极限的方法、评估生产过程的方法和相应的计算装置

Also Published As

Publication number Publication date
US20170005801A1 (en) 2017-01-05
EP3109789B1 (en) 2018-03-07
WO2015139569A1 (zh) 2015-09-24
EP3109789A1 (en) 2016-12-28
EP3109789A4 (en) 2016-12-28
US10355866B2 (en) 2019-07-16
CN104933059B (zh) 2019-02-01

Similar Documents

Publication Publication Date Title
CN110995513B (zh) 物联网系统中的数据发送、接收方法、物联网设备及平台
CN103905447A (zh) 业务链路选择控制方法以及设备
CN104917586A (zh) 传输数据的校验方法、装置及系统
CN104050098A (zh) 优化的数据去重复的动态高速缓存模块选择的方法和系统
CN104239518A (zh) 重复数据删除方法和装置
CN105447113A (zh) 一种基于大数据的信息分析方法
CN104640092A (zh) 识别垃圾短信的方法、客户端、云端服务器和系统
CN107959715A (zh) 基于无线通讯的远程终端信息识别软件系统及识别方法
CN104933059A (zh) 文件信誉获取方法、网关设备和文件信誉服务器
CN103177368A (zh) 用于电子商务系统的对账方法和系统
CN103259797A (zh) 数据文件传输方法及平台
CN102938683A (zh) 一种数据处理的方法和装置
CN112035763A (zh) 信息处理的方法、装置及系统,电子设备及存储介质
CN104079623A (zh) 多级云存储同步控制方法及系统
CN103259818A (zh) 分散式数据存取系统及方法
Kim et al. Performance improvement of hybrid tag anti‐collision protocol for radio frequency identification systems
CN104751323A (zh) 一种电子账户数据转移方法及相关设备、系统
CN114338527B (zh) IPv6主动标识符处理方法及系统
CN113922972B (zh) 基于md5标识码的数据转发方法和装置
CN104573518A (zh) 文件扫描方法、装置、服务器及系统
CN114785805A (zh) 一种数据传输方法、装置、电子设备以及存储介质
EP3809675A1 (en) Big-data-based business logic learning method and protection method and apparatuses thereof
US11086822B1 (en) Application-based compression
CN109743188A (zh) 日志数据处理方法和装置
CN103685390A (zh) 基于用户标识的负载均衡方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190201

CF01 Termination of patent right due to non-payment of annual fee