未知文件樣本安全性鑒定的方法及裝置制造方法
【專利摘要】本發(fā)明是關(guān)于一種未知文件樣本安全性鑒定的方法及裝置。其中���,所述方法包括:接收客戶端上報的攜帶有未知文件樣本特征的上報信息�����,其中���,所述特征為所述客戶端從所述未知文件樣本中提取出的��;根據(jù)所述特征�����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�;若不在所述預(yù)設(shè)白名單中�,則根據(jù)所述特征,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定����,得出安全性鑒定結(jié)果。本發(fā)明實(shí)施例解決了現(xiàn)有技術(shù)中無法對未知文件進(jìn)行安全性鑒定的問題�����,且鑒定結(jié)果可靠性高��,能有效的降低未知文件對客戶端安全性威脅的影響����。
【專利說明】未知文件樣本安全性鑒定的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)安全領(lǐng)域,特別是涉及一種未知文件樣本安全性鑒定的方法及裝置���。
【背景技術(shù)】
[0002]惡意程序(通常稱為病毒)指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的程序�。惡意程序包括:計算機(jī)病毒、后門程序��、鍵盤記錄器���、密碼盜取者���、Word和Excel宏病毒、引導(dǎo)區(qū)病毒��、腳本病毒����、木馬、犯罪軟件�����、間諜軟件和廣告軟件等�。
[0003]現(xiàn)有云查殺技術(shù)大致如下:客戶端不用建立病毒庫��,而主要負(fù)責(zé)掃描和發(fā)現(xiàn)本地的未知文件樣本(即安全性不能確定的文件樣本)���;客戶端提取掃描出的未知文件樣本的特征����,并上傳至服務(wù)器端,通過查詢服務(wù)器端的病毒庫���,來確定所述未知文件樣本的安全性��。
[0004]現(xiàn)有云查殺技術(shù)�,由于服務(wù)器端的病毒庫有限�����,很有可能出現(xiàn)如下問題:服務(wù)器端根據(jù)客戶端上報的新文件特征通過查詢病毒庫也無法確定文件的安全性��。這些無法確定安全的可疑文件中��,可能是未知的木馬和病毒�,對客戶端會造成極大的安全威脅。
【發(fā)明內(nèi)容】
[0005]本發(fā)明的主要目的在于�����,提供一種未知文件樣本安全性鑒定的方法及裝置�,以使鑒定結(jié)果可靠性高��。
[0006]本發(fā)明第一個方面提供一種未知文件樣本安全性鑒定的方法�����,包括:
[0007]接收客戶端上報的攜帶有未知文件樣本特征的上報信息���,其中,所述特征為所述客戶端從所述未知文件樣本中提取出的���;
[0008]根據(jù)所述特征�,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�����;
[0009]若不在所述預(yù)設(shè)白名單中����,則根據(jù)所述特征,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定����,得出安全性鑒定結(jié)果��。
[0010]可選的,前述的未知文件樣本安全性鑒定的方法�,其中,所述特征包括:第一子特征和第二子特征����;相應(yīng)的,
[0011]所述根據(jù)所述特征�����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中����,具體為:
[0012]根據(jù)所述第一子特征,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中��;
[0013]所述根據(jù)所述特征��,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定��,得出安全性鑒定結(jié)果��,具體為:
[0014]根據(jù)所述第二子特征�,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定,得出安全性鑒定結(jié)果�。
[0015]可選的��,前述的未知文件樣本安全性鑒定的方法�,其中���,所述第一子特征包括:文件的消息摘要算法第5版MD5信息及文件的安全哈希算法SHAl信息��。
[0016]可選的��,前述的未知文件樣本安全性鑒定的方法���,其中,所述第二子特征包括:文件本身的內(nèi)容信息���、文件的環(huán)境功能信息�、文件的屬性信息���、文件的行為信息�、路徑���、文件特征FileDNA及圖標(biāo)特征IconDNA���。
[0017]可選的��,前述的未知文件樣本安全性鑒定的方法,其中��,所述安全性鑒定結(jié)果為鑒定分?jǐn)?shù)�����;相應(yīng)的���,
[0018]所述根據(jù)所述特征�����,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定�,得出安全性鑒定結(jié)果之后���,還包括:
[0019]判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)�����;
[0020]若大于或等于��,則所述未知文件樣本為安全文件�����;
[0021]否則��,所述未知文件為不安全文件����。
[0022]可選的,前述的未知文件樣本安全性鑒定的方法���,還包括:
[0023]接收客戶端發(fā)送的更新數(shù)據(jù)包�����,并預(yù)加載所述更新數(shù)據(jù)包����;
[0024]采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略�����,對已知文件樣本進(jìn)行鑒定��,得出安全性鑒定結(jié)果;
[0025]若得到的所述安全性鑒定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同��,則力口載所述更新數(shù)據(jù)包���,以更新所述預(yù)設(shè)的鑒定策略��。
[0026]本發(fā)明第二個方面提供一種未知文件樣本安全性鑒定裝置,該裝置設(shè)置在服務(wù)器側(cè)�,其包括:
[0027]接收模塊,用于接收客戶端上報的攜帶有未知文件樣本特征的上報信息���,其中�,所述特征為所述客戶端從所述未知文件樣本中提取出的���;
[0028]查詢模塊�����,用于根據(jù)所述特征���,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中;
[0029]鑒定模塊���,用于當(dāng)未知文件樣本不在預(yù)設(shè)白名單中時��,根據(jù)所述特征��,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定�����,得出安全性鑒定結(jié)果���。
[0030]可選的�����,前述的未知文件樣本安全性鑒定裝置�����,其中����,所述特征包括:第一子特征和第二子特征�;相應(yīng)的,
[0031]所述查詢模塊�,具體用于根據(jù)所述第一子特征����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中���;
[0032]所述鑒定模塊�����,具體用于根據(jù)所述第二子特征���,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定�,得出安全性鑒定結(jié)果。
[0033]可選的���,前述的未知文件樣本安全性鑒定裝置���,其中,所述安全性鑒定結(jié)果為鑒定分?jǐn)?shù)��;相應(yīng)的�����,所述未知文件樣本安全性鑒定裝置還包括:
[0034]判斷模塊,用于判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)�,若大于或等于,則所述未知文件樣本為不安全文件�;否則,所述未知文件為安全文件����。
[0035]可選的,前述的未知文件樣本安全性鑒定裝置��,還包括:
[0036]預(yù)加載模塊�����,用于接收客戶端發(fā)送的更新數(shù)據(jù)包����,并預(yù)加載所述更新數(shù)據(jù)包;
[0037]所述鑒定模塊�����,還用于采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略��,對已知文件樣本進(jìn)行鑒定����,得出安全性鑒定結(jié)果����;
[0038]加載模塊���,用于當(dāng)?shù)玫降乃霭踩澡b定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同時�,加載所述更新數(shù)據(jù)包�����,以更新所述預(yù)設(shè)的鑒定策略�����。
[0039]借由上述技術(shù)方案�,本發(fā)明實(shí)施例提供的技術(shù)方案至少具有下列優(yōu)點(diǎn):[0040]本發(fā)明實(shí)施例通過獲取客戶端上報的未知文件樣本的特征��,先根據(jù)該特征查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�,以降低誤報率;再在未知文件樣本不在預(yù)設(shè)白名單中時�,根據(jù)所述未知文件樣本的特征采用預(yù)設(shè)的鑒定策略對其進(jìn)行安全性鑒定,解決了現(xiàn)有技術(shù)中無法對未知文件進(jìn)行安全性鑒定的問題����,且鑒定結(jié)果可靠性高�����,能有效的降低未知文件對客戶端安全性威脅的影響���。
[0041]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,并可依照說明書的內(nèi)容予以實(shí)施�,以下以本發(fā)明的較佳實(shí)施例并配合附圖詳細(xì)說明如后。
【專利附圖】
【附圖說明】
[0042]圖1為本發(fā)明實(shí)施例一提供的未知文件樣本安全性鑒定的方法的一種實(shí)現(xiàn)的流程不意圖�;
[0043]圖2為本發(fā)明實(shí)施例一提供的未知文件樣本安全性鑒定的方法的另一種實(shí)現(xiàn)的流程示意圖;
[0044]圖3本發(fā)明實(shí)施例一提供的未知文件樣本安全性鑒定的方法中包含的更新流程的流程示意圖�;
[0045]圖4為本發(fā)明實(shí)施例二提供的未知文件樣本安全性鑒定裝置的第一種實(shí)現(xiàn)的結(jié)構(gòu)示意圖;
[0046]圖5為本發(fā)明實(shí)施例二提供的未知文件樣本安全性鑒定裝置的第二種實(shí)現(xiàn)的結(jié)構(gòu)示意圖�;
[0047]圖6為本發(fā)明實(shí)施例二提供的未知文件樣本安全性鑒定裝置的第三種實(shí)現(xiàn)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0048]為使本發(fā)明實(shí)施例的目的�、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合本發(fā)明實(shí)施例中的附圖�����,對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚��、完整地描述,顯然��,所描述的實(shí)施例是本發(fā)明一部分實(shí)施例����,而不是全部的實(shí)施例?����;诒景l(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍��。
[0049]如圖1所示���,本發(fā)明實(shí)施例一提供的未知文件樣本安全性鑒定的方法的流程示意圖���。如圖1所示����,本實(shí)施例一所述的方法的執(zhí)行主體可以是云端服務(wù)器。例如�,所述云端服務(wù)器安裝有奇虎支持向量機(jī)(Qihoo Support Vector Machine,簡稱QVM)人工智能引擎。具體的�����,所述方法包括:
[0050]步驟101����、接收客戶端上報的攜帶有未知文件樣本特征的上報信息。
[0051]其中�����,所述特征為所述客戶端從所述未知文件樣本中提取出的�。所述特征可以具體包括:文件的消息摘要算法第五版MD5信息、文件的安全哈希算法SHAl信息�、文件本身的內(nèi)容信息、文件的環(huán)境功能信息�、文件的屬性信息、文件的行為信息�、文件特征FileDNA及圖標(biāo)特征IconDNA等等。
[0052]步驟102�、根據(jù)所述特征,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中��。
[0053]其中,所述預(yù)設(shè)白名單預(yù)存儲在所述云端服務(wù)器�。具體的,所述預(yù)設(shè)白名單中存儲有多個Key/Value (鍵/值)對���,其中Key包括MD5信息和SHAl信息���;Value包括:文件屬性信息,文件的分類�����、文件的安全性級別等����。所述文件的安全性級別中包含有文件的級別和子級別。
[0054]步驟103����、若不在所述預(yù)設(shè)白名單中,則根據(jù)所述特征��,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定��,得出安全性鑒定結(jié)果����。
[0055]這里需要說明的是:本發(fā)明中各實(shí)施例所述的未知文件樣本是采用現(xiàn)有云查殺技術(shù)無法獲取到對應(yīng)安全性級別的文件樣本。
[0056]本實(shí)施例通過獲取客戶端上報的未知文件樣本的特征�����,先根據(jù)該特征查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�����,以降低誤報率�����;再在未知文件樣本不在預(yù)設(shè)白名單中時�����,根據(jù)所述未知文件樣本的特征采用預(yù)設(shè)的鑒定策略對其進(jìn)行安全性鑒定����,解決了現(xiàn)有技術(shù)中無法對未知文件進(jìn)行安全性鑒定的問題,且鑒定結(jié)果可靠性高�,能有效的降低未知文件對客戶端安全性威脅的影響。
[0057]進(jìn)一步的,上述實(shí)施例中所述特征包括第一子特征和第二子特征��。相應(yīng)的���,上述實(shí)施例中所述步驟102具體為:根據(jù)所述第一子特征�����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�。所述步驟103具體為:根據(jù)所述第二子特征���,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定�����,得出安全性鑒定結(jié)果���。
[0058]實(shí)際應(yīng)用中,所述的第一子特征可具體包括:文件的MD5信息及文件的SHAl信息��。所述第二子特征可以為從所述未知文件樣本中抽取出的42K或20K大小的數(shù)據(jù)(該數(shù)據(jù)亦可以稱為Bolebuffer)�����。具體的,所述第二子特征可以具體包括:文件本身的內(nèi)容信息��、文件的環(huán)境功能信息���、文件的屬性信息、文件的行為信息�、路徑、文件特征FileDNA及圖標(biāo)特征IconDNA等等����。
[0059]進(jìn)一步的,上述實(shí)施例中所述的安全性鑒定結(jié)果為鑒定分?jǐn)?shù)�����。相應(yīng)的��,如圖2所示���,上述實(shí)施例中步驟103具體為:若不在所述預(yù)設(shè)白名單中����,則根據(jù)所述特征��,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定,得出鑒定分?jǐn)?shù)����。并且,上述步驟103之后,還包括:
[0060]步驟104�����、判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)���,若大于或等于����,則所述未知文件樣本為不安全文件��;否則����,所述未知文件為安全文件。
[0061]其中�����,所述預(yù)設(shè)分?jǐn)?shù)為一個經(jīng)驗(yàn)值����,即通過對多個已知安全性的文件采用所述預(yù)設(shè)的鑒定策略進(jìn)行安全性鑒定��,并根據(jù)得出的各鑒定分?jǐn)?shù)及對應(yīng)文件的已知安全性�,統(tǒng)計分析出的一個經(jīng)驗(yàn)值����。例如����,云端服務(wù)器的QVM人工智能引擎根據(jù)從所述未知文件樣本中提取出的特征,對所述位置文件樣本進(jìn)行安全性鑒定�,得出的安全性鑒定結(jié)果為鑒定分?jǐn)?shù)100。假設(shè)預(yù)設(shè)分?jǐn)?shù)為520�����,則該未知文件樣本為安全文件��。
[0062]再進(jìn)一步的�����,由于網(wǎng)絡(luò)中總是有新的病毒出現(xiàn)��,因此隨著病毒的不斷更新和發(fā)展,云端服務(wù)器也應(yīng)不斷的更新其用于鑒定文件樣本安全性的所述預(yù)設(shè)的鑒定策略�。具體的,所述預(yù)設(shè)的鑒定策略可以表現(xiàn)為具有自學(xué)習(xí)能力的程序���。由此�,如圖3所示���,上述實(shí)施例所述的方法除包括上述各步驟外�����,還包括如下更新流程:
[0063]步驟201�、接收客戶端發(fā)送的更新數(shù)據(jù)包���,并預(yù)加載所述更新數(shù)據(jù)包�����。
[0064]步驟202�、采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略��,對已知文件樣本進(jìn)行鑒定����,得出安全性鑒定結(jié)果���。
[0065]步驟203、若得到的所述安全性鑒定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同���,則加載所述更新數(shù)據(jù)包��,以更新所述預(yù)設(shè)的鑒定策略���。
[0066]這里需要補(bǔ)充的是:為了后續(xù)正確判斷出是否加載所述更新數(shù)據(jù)包�����,進(jìn)行鑒定的所述已知文件樣本應(yīng)該具有一定的數(shù)量(例如幾十或上百個)����,且這些已知文件樣本中包括安全文件及不安全文件。
[0067]需要說明的是:對于前述的各方法實(shí)施例�����,為了簡單描述�����,故將其都表述為一系列的動作組合,但是本領(lǐng)域技術(shù)人員應(yīng)該知悉��,本發(fā)明并不受所描述的動作順序的限制�����,因?yàn)橐罁?jù)本發(fā)明����,某些步驟可以采用其他順序或者同時進(jìn)行。其次��,本領(lǐng)域技術(shù)人員也應(yīng)該知悉�����,說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例�,所涉及的動作和模塊并不一定是本發(fā)明所必須的。
[0068]本領(lǐng)域普通技術(shù)人員可以理解:實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成�����,前述的程序可以存儲于一計算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時�����,執(zhí)行包括上述方法實(shí)施例的步驟��;而前述的存儲介質(zhì)包括:R0M�、RAM、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�����。
[0069]如圖4所示�,本發(fā)明實(shí)施例二提供的未知文件樣本安全性鑒定裝置的結(jié)構(gòu)示意圖。本實(shí)施例二所述的裝置可設(shè)置在服務(wù)器側(cè)����,具體的���,所述未知文件樣本安全性鑒定裝置可設(shè)置在云端服務(wù)器中�����。如圖4所示�����,本實(shí)施例所述的裝置包括:接收模塊1���、查詢模塊2和鑒定模塊3�。其中���,所述接收模塊I用于接收客戶端上報的攜帶有未知文件樣本特征的上報信息��,所述特征為所述客戶端從所述未知文件樣本中提取出的��。所述查詢模塊2用于根據(jù)所述特征��,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中���。所述鑒定模塊3用于當(dāng)未知文件樣本不在預(yù)設(shè)白名單中時,根據(jù)所述特征��,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定����,得出安全性鑒定結(jié)果。
[0070]本發(fā)明實(shí)施例通過獲取客戶端上報的未知文件樣本的特征��,先根據(jù)該特征查詢所述未知文件樣本是否在預(yù)設(shè)白名單中,以降低誤報率����;再在未知文件樣本不在預(yù)設(shè)白名單中時,根據(jù)所述未知文件樣本的特征采用預(yù)設(shè)的鑒定策略對其進(jìn)行安全性鑒定�����,解決了現(xiàn)有技術(shù)中無法對未知文件進(jìn)行安全性鑒定的問題�,且鑒定結(jié)果可靠性高,能有效的降低未知文件對客戶端安全性威脅的影響���。
[0071]進(jìn)一步的�����,上述實(shí)施例中所述的從所述未知文件樣本中提取出的特征包括第一子特征和第二子特征��。具體的���,所述第一子特征包括:文件的MD5信息及文件的SHAl信息����。第二子特征包括:文件本身的內(nèi)容信息、文件的環(huán)境功能信息、文件的屬性信息���、文件的行為信息����、路徑�、文件特征Fi IeDNA及圖標(biāo)特征IconDNA。相應(yīng)的��,上述實(shí)施例中所述的查詢模塊����,具體用于根據(jù)所述第一子特征,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中���;所述鑒定模塊�����,具體用于根據(jù)所述第二子特征����,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定�����,得出安全性鑒定結(jié)果。
[0072]通過采用上述第一子特征進(jìn)行白名單的查詢��,采用第二子特征進(jìn)行安全性的鑒定����,可有效的避免現(xiàn)有技術(shù)中惡意程序?yàn)槔@開云查殺中心的服務(wù)器的檢測,通過會改變自身的一些特征信息�����,已達(dá)到不被檢測出來的目的�����,進(jìn)而會出現(xiàn)檢測中漏判惡意程序的問題��,進(jìn)而提高了文件樣本安全性鑒定的正確率���。
[0073]再進(jìn)一步的�����,上述實(shí)施例中所述的安全性鑒定結(jié)果可以是鑒定分?jǐn)?shù)�����。相應(yīng)的����,如圖5所示�����,所述未知文件樣本安全性鑒定裝置還包括:判斷模塊4����。具體的,所述判斷模塊4用于判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)���,若大于或等于����,則所述未知文件樣本為不安全文件�;否則,所述未知文件為安全文件���。
[0074]如圖6所示��,上述實(shí)施例所述的未知文件樣本安全性鑒定裝置還包括:預(yù)加載模塊5和加載模塊6���。其中�,所述預(yù)加載模塊5用于接收客戶端發(fā)送的更新數(shù)據(jù)包����,并預(yù)加載所述更新數(shù)據(jù)包。相應(yīng)的���,上述實(shí)施例所述的鑒定模塊3還用于采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略�,對已知文件樣本進(jìn)行鑒定���,得出安全性鑒定結(jié)果�����。所述加載模塊6用于當(dāng)?shù)玫降乃霭踩澡b定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同時���,力口載所述更新數(shù)據(jù)包,以更新所述預(yù)設(shè)的鑒定策略��。
[0075]在上述實(shí)施例中��,對各個實(shí)施例的描述都各有側(cè)重,某個實(shí)施例中沒有詳述的部分���,可以參見其他實(shí)施例的相關(guān)描述��。
[0076]可以理解的是,上述方法及交換機(jī)中的相關(guān)特征可以相互參考�。另外,上述實(shí)施例中的“第一”����、“第二”等是用于區(qū)分各實(shí)施例,而并不代表各實(shí)施例的優(yōu)劣���。
[0077]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�,為描述的方便和簡潔����,上述描述的系統(tǒng),裝置和單元的具體工作過程�����,可以參考前述方法實(shí)施例中的對應(yīng)過程�,在此不再贅述����。
[0078]在本發(fā)明所提供的幾個實(shí)施例中�,應(yīng)該理解到,所揭露的系統(tǒng)����,裝置和方法,可以通過其它的方式實(shí)現(xiàn)���。例如�����,以上所描述的裝置實(shí)施例僅僅是示意性的�����,例如��,所述單元的劃分�,僅僅為一種邏輯功能劃分��,實(shí)際實(shí)現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)��,或一些特征可以忽略���,或不執(zhí)行�。另一點(diǎn)����,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口���,裝置或單元的間接耦合或通信連接����,可以是電性���,機(jī)械或其它的形式�����。
[0079]所述作為分離部件說明的單元可以是或者也可以不是物理上分開的���,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個網(wǎng)絡(luò)單元上�����?�?梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的����。
[0080]最后應(yīng)說明的是:以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制��;盡管參照前述實(shí)施例對本發(fā)明進(jìn)行了詳細(xì)的說明��,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解:其依然可以對前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換��,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精神和范圍�。
【權(quán)利要求】
1.一種未知文件樣本安全性鑒定的方法,其特征在于��,包括: 接收客戶端上報的攜帶有未知文件樣本特征的上報信息����,其中,所述特征為所述客戶端從所述未知文件樣本中提取出的; 根據(jù)所述特征����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中; 若不在所述預(yù)設(shè)白名單中���,則根據(jù)所述特征���,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定,得出安全性鑒定結(jié)果����。
2.根據(jù)權(quán)利要求1所述的方法����,其特征在于,所述特征包括:第一子特征和第二子特征��;相應(yīng)的�����, 所述根據(jù)所述特征�����,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中,具體為: 根據(jù)所述第一子特征���,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中���; 所述根據(jù)所述特征,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定����,得出安全性鑒定結(jié)果,具體為: 根據(jù)所述第二子特征�,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定,得出安全性鑒定結(jié)果�����。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述第一子特征包括:文件的消息摘要算法第5版MD5信息及文 件的安全哈希算法SHAl信息���。
4.根據(jù)權(quán)利要求2所述的方法�,其特征在于����,所述第二子特征包括:文件本身的內(nèi)容信息�、文件的環(huán)境功能信息��、文件的屬性信息��、文件的行為信息�����、路徑�����、文件特征FileDNA及圖標(biāo)特征IconDNA���。
5.根據(jù)權(quán)利要求1~3中任一所述的方法����,其特征在于�����,所述安全性鑒定結(jié)果為鑒定分?jǐn)?shù)��;相應(yīng)的��, 所述根據(jù)所述特征���,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定�����,得出安全性鑒定結(jié)果之后����,還包括: 判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)���; 若大于或等于����,則所述未知文件樣本為安全文件�; 否則,所述未知文件為不安全文件��。
6.根據(jù)權(quán)利要求1~3中任一所述的方法,其特征在于,還包括: 接收客戶端發(fā)送的更新數(shù)據(jù)包����,并預(yù)加載所述更新數(shù)據(jù)包����; 采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略�,對已知文件樣本進(jìn)行鑒定,得出安全性鑒定結(jié)果�����; 若得到的所述安全性鑒定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同�����,則加載所述更新數(shù)據(jù)包�,以更新所述預(yù)設(shè)的鑒定策略。
7.一種未知文件樣本安全性鑒定裝置��,其特征在于����,設(shè)置在服務(wù)器側(cè),其包括: 接收模塊����,用于接收客戶端上報的攜帶有未知文件樣本特征的上報信息���,其中����,所述特征為所述客戶端從所述未知文件樣本中提取出的; 查詢模塊��,用于根據(jù)所述特征���,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中�; 鑒定模塊��,用于當(dāng)未知文件樣本不在預(yù)設(shè)白名單中時�,根據(jù)所述特征,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行安全性鑒定�,得出安全性鑒定結(jié)果。
8.根據(jù)權(quán)利要求7所述的裝置�,其特征在于,所述特征包括:第一子特征和第二子特征�����;相應(yīng)的��, 所述查詢模塊��,具體用于根據(jù)所述第一子特征,查詢所述未知文件樣本是否在預(yù)設(shè)白名單中����; 所述鑒定模塊,具體用于根據(jù)所述第二子特征���,采用預(yù)設(shè)的鑒定策略對所述未知文件樣本進(jìn)行鑒定�,得出安全性鑒定結(jié)果����。
9.根據(jù)權(quán)利要求7或8所述的裝置,其特征在于���,所述安全性鑒定結(jié)果為鑒定分?jǐn)?shù)����;相應(yīng)的�,所述未知文件樣本安全性鑒定裝置還包括: 判斷模塊,用于判斷所述鑒定分?jǐn)?shù)是否大于或等于預(yù)設(shè)分?jǐn)?shù)����,若大于或等于,則所述未知文件樣本為不安全文件;否則�����,所述未知文件為安全文件��。
10.根據(jù)權(quán)利要求7或8所述的裝置���,其特征在于,還包括: 預(yù)加載模塊��,用于接收客戶端發(fā)送的更新數(shù)據(jù)包����,并預(yù)加載所述更新數(shù)據(jù)包; 所述鑒定模塊�����,還用于采用預(yù)加載所述更新數(shù)據(jù)包后的所述預(yù)設(shè)的鑒定策略����,對已知文件樣本進(jìn)行鑒定,得出安全性鑒定結(jié)果�����; 加載模塊,用于當(dāng)?shù)玫降乃霭踩澡b定結(jié)果與所述已知文件樣本的已知安全性結(jié)果相同時���,加載所述更新數(shù) 據(jù)包�,以更新所述預(yù)設(shè)的鑒定策略���。
【文檔編號】H04L29/06GK103997490SQ201410199165
【公開日】2014年8月20日 申請日期:2014年5月12日 優(yōu)先權(quán)日:2014年5月12日
【發(fā)明者】楊康, 王志超, 魏自立, 李振博 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司