CN107800673A - 一种白名单的维护方法及装置 - Google Patents
一种白名单的维护方法及装置 Download PDFInfo
- Publication number
- CN107800673A CN107800673A CN201610807383.2A CN201610807383A CN107800673A CN 107800673 A CN107800673 A CN 107800673A CN 201610807383 A CN201610807383 A CN 201610807383A CN 107800673 A CN107800673 A CN 107800673A
- Authority
- CN
- China
- Prior art keywords
- file
- white list
- sample
- characteristic information
- new samples
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种白名单的维护方法,当采集到新样本文件时,本发明能及时判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该样本文件的特征信息;当所提取的特征信息与初始白名单中的记录匹配时,再判断新样本文件是否为恶意文件,若为非恶意文件则保持该初始白名单不变,反之,则将该初始白名单中的相应记录删除,获得一更新的白名单。本发明实现了白名单的及时维护,利用该白名单维护方法有利于提高样本的检测效率、降低样本的误报率。本发明还公开了一种白名单的维护装置。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种白名单的维护方法及装置。
背景技术
信息安全技术领域,为了加快反病毒引擎处理速度,降低恶意软件误报率,通常会用到白名单技术,其具有提取信息快速、检测快、误报较低等优点。具体的,白名单本质上是一个集合,里面的记录是安全的,其基本原理是将样本文件提取的特征信息(如文件hash值,证书信息,包名等作为特征)和杀毒引擎的病毒库中的特征信息做比对,如果特征信息出现在病毒库的白名单里,则判定该样本为“白性”,不会再进行其他检验,检测结果会直接输出。可见,白名单的质量至关重要,若能否及时、准确的反应当前恶意代码发展状况下样本的可信赖情况,则能降低反病毒引擎的误报率和漏报率。
由于样本数量巨大,量级在千万以上,白名单列表也相应较大,手工维护较困难,因此一些自动化维护方法应运而生。现有技术中通过设置生存时间来对样本进行维护,即利用时间衰减函数来设置白名单中记录的生存时间,同时,利用记录在给定时间内的被查询次数调整对应记录的生存时间,根据生存时间来对样本进行维护。此方法主要缺点在于白名单的更新具有一定滞后性。例如当白名单的某条记录所对应的样本出现了恶意样本,该记录已经不再是“白性”,本该被删除掉,但是由于其生存时间尚未到设定阈值,所以依然存在于白名单中,导致恶意样本出现漏报。同时,该方法存在时间衰减函数、阈值不易设置的问题。
发明内容
本发明的目的在于提供一种白名单的维护方法及装置,使得白名单能及时、自动化更新护且该白名单对样本的检测效率高、误报率低。
本发明提供了一种白名单的维护方法,其包括以下内容:
预设一初始白名单及一样本集合,其中,所述样本集合为非恶意样本的集合,初始白名单中的各条记录为样本集合中各样本文件按照预设规则所提取的特征信息,初始白名单里的一条记录与一个样本文件或者多个样本文件相对应;
采集新样本文件;
判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该新样本文件的特征信息;
当所提取的特征信息与初始白名单中的记录匹配时,判断新样本文件是否为恶意文件;
若为恶意文件则将该初始白名单中的相应记录删除,获得一更新的白名单,反之,则保持该初始白名单不变。
进一步的,样本文件的特征信息包括样本文件的hash值、证书信息或包名。
进一步的,判断新样本文件是否为恶意文件的方法包括文件名检测、OpCode检测、行为检测或符号检测。
进一步的,若所提取的特征信息与初始白名单中的记录不匹配,则按照预设的规则对该新文件样本进行检测,若该新文件为非恶意样本,则将该新样本文件加入样本集合,并提取该新样本文件的特征信息,将该特征信息添加到初始白名单中,获得一更新的白名单。
本发明还提供了一种白名单的维护装置,其包括存储模块、采集模块、判断模块,其中:
所述存储模块用于保存及维护数据,所述数据至少包括一预设的初始白名单及一样本集合,其中,所述样本集合为非恶意样本的集合,初始白名单中的各条记录为样本集合中各样本文件按照预设规则所提取的特征信息,初始白名单里的一条记录与一个样本文件或者多个样本文件相对应,所述维护数据至少包括保持数据不变或对数据进行删减;
所述采集模块用于采集新样本文件;
所述判断模块用于判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该新样本文件的特征信息;当所提取的特征信息与初始白名单中的记录匹配时,判断新样本文件是否为恶意文件;若为恶意文件则通知该存储模块将该初始白名单中的相应记录删除,获得一更新的白名单,反之,则通知该存储模块保持该初始白名单不变。
进一步的,样本文件的特征信息包括样本文件的hash值、证书信息或包名。
进一步的,所述判断模块判断新样本文件是否为恶意文件的方法包括文件名检测、OpCode检测、行为检测或符号检测。
进一步的,所述判断模块判断所提取的特征信息与初始白名单中的记录是否匹配,若不匹配则按照预设的规则对该新文件样本进行检测,若该新文件为非恶意样本,则提取该新样本文件的特征信息,并将该新样本文件及其特征信息发送给所述存储模块,所述存储模块将该新样本文件加入样本集合中,得到一新的样本集合,并将该特征信息添加到初始白名单中,则获得一更新的白名单。
本发明与现有技术相比的有益效果:当采集到新样本文件时,本发明能及时判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该样本文件的特征信息;当所提取的特征信息与初始白名单中的记录匹配时,再判断新样本文件是否为恶意文件,若为非恶意文件则保持该初始白名单不变;若为恶意文件则将该初始白名单中的相应记录删除,获得一更新的白名单。本发明实现了白名单的及时维护,利用该白名单维护方法有利于提高样本的检测效率、降低样本的误报率。
附图说明
图1为本发明初始白名单及样本集合的对应关系图。
图2为本发明一种白名单维护方法的流程示意图。
图3为本发明一种白名单维护装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
本发明中的步骤虽然用标号进行了排列,但并不用于限定步骤的先后次序,除非明确说明了步骤的次序或者某步骤的执行需要其他步骤作为基础,否则步骤的相对次序是可以调整的。
在一些实施例中,结合图1、图2所示,本发明的白名单维护方法包括以下步骤:
S01,预设一初始白名单L及一样本集合M,样本集合M为非恶意样本集合,初始白名单L中的各条记录为样本集合M中各样本文件的特征信息,比如样本文件的hash值、证书信息或包名等等。初始白名单与样本文件的对应关系根据特征信息的不同而有所差别。例如,若将样本文件进行crc32计算的校验值作为特征信息,则由于该摘要信息较短可能造成多个样本文件与同一个特征信息相对应的情况,即如图1中,样本1、样本3、样本6均对应白记录2;若将样本文件进行sha256计算的值作为特征信息,则由于样本文件的hash值与该样本文件一一对应,因此一个样本文件唯一对应特征信息,即如图1中,样本7唯一对应白记录5,样本8唯一对应白记录k。
S02,采集新样本文件。
S03,判断所述新样本文件是否与样本集合M中的样本文件匹配,若不匹配则提取该新样本文件的特征信息。
若新样本文件与样本集合M中的样本文件一致,则其特征信息也必在初始白名单L。若新样本文件不在样本集合M中,则该新样本文件的特征信息可能不在初始白名单L中(可以理解的,若新样本文件是样本集合M中一样本文件的升级版本,而初始白名单L中保存的特征信息是样本文件的包名,该包名不变,则新样本文件的特征信息存在于初始白名单L中),因此需要提取该新样本文件的特征信息进行判断,以降低误报率。
S04,判断所提取的特征信息与初始白名单L中的记录是否匹配,若匹配则判断新样本文件是否为恶意文件。
若新样本文件的特征信息包含在初始白名单L,还需进一步检测该新样本文件是否为恶意文件,因此可以通过、文件名检测、OpCode检测、行为检测或符号检测等方式对新样本文件进行检测。
S05,若为恶意文件则将该初始白名单中的相应记录删除,获得一更新的白名单,反之,则保持该初始白名单不变。
若为恶意文件,则说明该白名单中的特征信息已为“非白性”,应该及时删除该初始白名单L中的相应记录,获得一更新的白名单,避免由于特征信息更新滞后而造成的恶意文件漏报情况。
若为非恶意文件,则说明该初始白名单L中的特征信息为“白性”,保持该初始白名单L不变即可。
本发明实现了白名单的及时维护,利用该白名单维护方法有利于提高样本的检测效率、降低样本的误报率。
在另一些实施例中,若新样本文件的特征信息与初始白名单L中的记录不匹配,则可以结合静态检测、动态检测的方式对新文件样本进行检测,判断该其件是否为恶意样本。若通过严格的多级检测,判断出新文件为非恶意样本,则将该新样本文件加入样本集合M中,得到一新的样本集合,并提取该新样本文件的特征信息,将该特征信息添加到初始白名单L中,则获得一更新的白名单。
本发明还提供了一种白名单的维护装置,如图3所示,其包括存储模块10、采集模块20、判断模块30,其中:
存储模块10用于保存及维护数据,结合图1所示,所述数据至少包括一预设的初始白名单L及一样本集合M,样本集合M为非恶意样本集合,初始白名单L中的各条记录为样本集合M中各样本文件的特征信息,比如样本文件的hash值、证书信息或包名等等。初始白名单与样本文件的对应关系根据特征信息的不同而有所差别。例如,若将样本文件进行crc32计算的校验值作为特征信息,则由于该摘要信息较短可能造成多个样本文件与同一个特征信息相对应的情况,即如图1中,样本1、样本3、样本6均对应白记录2;若将样本文件进行sha256计算的值作为特征信息,则由于样本文件的hash值与该样本文件一一对应,因此一个样本文件唯一对应特征信息,即如图1中,样本7唯一对应白记录5,样本8唯一对应白记录k。所述维护数据至少包括保持数据不变或对数据进行删减。
采集模块20用于采集新样本文件。
判断模块30用于判断所述新样本文件是否与样本集合M中的样本文件匹配,若不匹配则提取该新样本文件的特征信息。而后,该判断模块30判断所提取的特征信息与初始白名单L中的记录是否匹配,若匹配则通过、文件名检测、OpCode检测、行为检测或符号检测等方式对新样本文件进行检测,判断新样本文件是否为恶意文件。
若该新样本文件为非恶意文件,则通知所述存储模块10保持该初始白名单L不变,若为恶意文件则将通知所述存储模块10删除该初始白名单中的相应记录。如此设计能避免由于特征信息更新滞后而造成的恶意文件漏报情况。
在另一些实施例中,若新样本文件的特征信息与初始白名单L中的记录不匹配,则所述判断模块30还将结合静态检测、动态检测的方式对新文件样本进行检测,判断其是否为恶意样本。若通过严格的多级检测,判断出新文件为非恶意样本,则提取该新样本文件的特征信息,并将该新样本文件及其特征信息发送给所述存储模块10,该存储模块10会将该新样本文件加入样本集合M中,得到一新的样本集合,并将该特征信息添加到初始白名单L中,则获得一更新的白名单。
上述说明示出并描述了本发明的若干实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (8)
1.一种白名单的维护方法,其特征在于,所述白名单的维护方法包括以下内容:
预设一初始白名单及一样本集合,其中,所述样本集合为非恶意样本的集合,初始白名单中的各条记录为样本集合中各样本文件按照预设规则所提取的特征信息,初始白名单里的一条记录与一个样本文件或者多个样本文件相对应;
采集新样本文件;
判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该新样本文件的特征信息;
当所提取的特征信息与初始白名单中的记录匹配时,判断新样本文件是否为恶意文件;
若为恶意文件则将该初始白名单中的相应记录删除,获得一更新的白名单,反之,则保持该初始白名单不变。
2.如权利要求1所述的白名单的维护方法,其特征在于,所述样本文件的特征信息包括样本文件的hash值、证书信息或包名。
3.如权利要求1所述的白名单的维护方法,其特征在于,判断新样本文件是否为恶意文件的方法包括文件名检测、OpCode检测、行为检测或符号检测。
4.如权利要求1所述的白名单的维护方法,其特征在于,当所提取的特征信息与初始白名单中的记录不匹配时,按照预设的规则对该新文件样本进行检测,若该新文件为非恶意样本,则将该新样本文件加入样本集合,并提取该新样本文件的特征信息,将该特征信息添加到初始白名单中,获得一更新的白名单。
5.一种白名单的维护装置,其特征在于,所述白名单的维护装置包括存储模块、采集模块、判断模块,其中:
所述存储模块用于保存及维护数据,所述数据至少包括一预设的初始白名单及一样本集合,其中,所述样本集合为非恶意样本的集合,初始白名单中的各条记录为样本集合中各样本文件按照预设规则所提取的特征信息,初始白名单里的一条记录与一个样本文件或者多个样本文件相对应,所述维护数据至少包括保持数据不变或对数据进行删减;
所述采集模块用于采集新样本文件;
所述判断模块用于判断所述新样本文件是否与样本集合中的样本文件匹配,若不匹配则提取该新样本文件的特征信息;当所提取的特征信息与初始白名单中的记录匹配时,判断新样本文件是否为恶意文件;若为恶意文件则通知该存储模块将该初始白名单中的相应记录删除,获得一更新的白名单,反之,则通知该存储模块保持该初始白名单不变。
6.如权利要求5所述的白名单的维护装置,其特征在于,样本文件的特征信息包括样本文件的hash值、证书信息或包名。
7.如权利要求5所述的白名单的维护装置,其特征在于,所述判断模块判断新样本文件是否为恶意文件的方法包括文件名检测、OpCode检测、行为检测或符号检测。
8.如权利要求5所述的白名单的维护装置,其特征在于,所述判断模块判断所提取的特征信息与初始白名单中的记录是否匹配,若不匹配则按照预设的规则对该新文件样本进行检测,若该新文件为非恶意样本,则提取该新样本文件的特征信息,并将该新样本文件及其特征信息发送给所述存储模块;所述存储模块将该新样本文件加入样本集合中,得到一新的样本集合,并将该特征信息添加到初始白名单中,则获得一更新的白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610807383.2A CN107800673A (zh) | 2016-09-07 | 2016-09-07 | 一种白名单的维护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610807383.2A CN107800673A (zh) | 2016-09-07 | 2016-09-07 | 一种白名单的维护方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107800673A true CN107800673A (zh) | 2018-03-13 |
Family
ID=61529996
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610807383.2A Pending CN107800673A (zh) | 2016-09-07 | 2016-09-07 | 一种白名单的维护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107800673A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109413063A (zh) * | 2018-10-23 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种基于大数据的白名单更新方法、装置及电子设备 |
| CN109670309A (zh) * | 2018-12-21 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测文件的方法及装置 |
| CN110020940A (zh) * | 2019-04-02 | 2019-07-16 | 中电科大数据研究院有限公司 | 信用名单的处理方法、装置、设备及存储介质 |
| CN110555304A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 恶意包名检测方法、恶意应用检测方法及相应装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101150535A (zh) * | 2007-06-15 | 2008-03-26 | 腾讯科技(深圳)有限公司 | 一种电子邮件的过滤方法、装置及设备 |
| CN103825900A (zh) * | 2014-02-28 | 2014-05-28 | 广州云宏信息科技有限公司 | 网站访问方法及装置、过滤表单下载和更新方法及系统 |
| US20150288634A1 (en) * | 2003-11-22 | 2015-10-08 | Radix Holdings, Llc | Removal From a Whitelist Based On an Extracted Email Address |
| CN105488408A (zh) * | 2014-12-31 | 2016-04-13 | 中国信息安全认证中心 | 一种基于特征的恶意样本类型识别的方法与系统 |
| CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
-
2016
- 2016-09-07 CN CN201610807383.2A patent/CN107800673A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150288634A1 (en) * | 2003-11-22 | 2015-10-08 | Radix Holdings, Llc | Removal From a Whitelist Based On an Extracted Email Address |
| CN101150535A (zh) * | 2007-06-15 | 2008-03-26 | 腾讯科技(深圳)有限公司 | 一种电子邮件的过滤方法、装置及设备 |
| CN103825900A (zh) * | 2014-02-28 | 2014-05-28 | 广州云宏信息科技有限公司 | 网站访问方法及装置、过滤表单下载和更新方法及系统 |
| CN105488408A (zh) * | 2014-12-31 | 2016-04-13 | 中国信息安全认证中心 | 一种基于特征的恶意样本类型识别的方法与系统 |
| CN105553948A (zh) * | 2015-12-08 | 2016-05-04 | 国云科技股份有限公司 | 一种基于虚拟机的弹性防攻击方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110555304A (zh) * | 2018-05-31 | 2019-12-10 | 武汉安天信息技术有限责任公司 | 恶意包名检测方法、恶意应用检测方法及相应装置 |
| CN109413063A (zh) * | 2018-10-23 | 2019-03-01 | 中国平安人寿保险股份有限公司 | 一种基于大数据的白名单更新方法、装置及电子设备 |
| CN109413063B (zh) * | 2018-10-23 | 2022-01-18 | 中国平安人寿保险股份有限公司 | 一种基于大数据的白名单更新方法、装置及电子设备 |
| CN109670309A (zh) * | 2018-12-21 | 2019-04-23 | 北京天融信网络安全技术有限公司 | 一种检测文件的方法及装置 |
| CN110020940A (zh) * | 2019-04-02 | 2019-07-16 | 中电科大数据研究院有限公司 | 信用名单的处理方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9864956B1 (en) | Generation and use of trained file classifiers for malware detection | |
| CN109359439B (zh) | 软件检测方法、装置、设备及存储介质 | |
| CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
| Smutz et al. | Malicious PDF detection using metadata and structural features | |
| KR101162051B1 (ko) | 문자열 비교 기법을 이용한 악성코드 탐지 및 분류 시스템 및 그 방법 | |
| CN109190372B (zh) | 一种基于字节码的JavaScript恶意代码检测方法 | |
| US11797668B2 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| WO2015120752A1 (zh) | 网络威胁处理方法及设备 | |
| CN105718795B (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| CN107800673A (zh) | 一种白名单的维护方法及装置 | |
| JP2012027710A (ja) | ソフトウェア検出方法及び装置及びプログラム | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| Li et al. | FEPDF: a robust feature extractor for malicious PDF detection | |
| EP3905084A1 (en) | Method and device for detecting malware | |
| WO2020014663A1 (en) | Systems and methods for detecting obfuscated malware in obfuscated just-in-time (jit) compiled code | |
| CN105791250B (zh) | 应用程序检测方法及装置 | |
| CN105809034A (zh) | 一种恶意软件识别方法 | |
| CN117521068B (zh) | Linux主机恶意软件检测方法、系统、设备及介质 | |
| KR20160099159A (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
| US20240004964A1 (en) | Method for reducing false-positives for identification of digital content | |
| KR101327865B1 (ko) | 악성코드에 감염된 홈페이지 탐지 장치 및 방법 | |
| US20080155264A1 (en) | Anti-virus signature footprint | |
| WO2020194449A1 (ja) | 警告装置、制御方法、及びプログラム | |
| KR101604985B1 (ko) | 압축파일내의 파일에 대한 해쉬 값을 활용한 상세검사를 수행하는 방법 | |
| CN113032783B (zh) | 一种基于非代码特征的病毒检测方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180313 |