CN102750476A - 鉴定文件安全性的方法和*** - Google Patents
鉴定文件安全性的方法和*** Download PDFInfo
- Publication number
- CN102750476A CN102750476A CN2012101865796A CN201210186579A CN102750476A CN 102750476 A CN102750476 A CN 102750476A CN 2012101865796 A CN2012101865796 A CN 2012101865796A CN 201210186579 A CN201210186579 A CN 201210186579A CN 102750476 A CN102750476 A CN 102750476A
- Authority
- CN
- China
- Prior art keywords
- file
- liveness
- safety
- files
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
一种鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和***,可提高获得文件安全性的效率。此外,本发明还提供一种鉴定文件安全性的***。
Description
技术领域
本发明涉及互联网安全技术,特别是涉及鉴定文件安全性的方法和***。
背景技术
在互联网中,电脑病毒随处可见,电脑病毒可损坏用户的***,窃取用户的数据,对于网络安全构成严重的威胁。因此,鉴定可行执行文件的安全性在现有互联网领域中显得尤为重要。
传统鉴定文件安全性的流程如下:首先,在发现可疑的执行文件后,上传文件信息与可执行样本程序到安全中心。进行简单匹配,将文件特征与现有样本库中的特征码进行比对,若文件特征与现有的黑、白名单中特征码对应,直接判断黑白。若不能对应,则进行自动分析,进入木马分析流水线,经过文件特征,行为特征,智能启发进行再次分析判断。对于仍不能判断黑或白的文件,进行人工分析,采用定期回扫与人工分析解决。
然而,由于样本库中黑名单和白名单不够完备,文件的安全性往往不能根据简单匹配而确定,一般需要进行自动分析和人工分析后才能最终确定。自动分析和人工分析得到的结果虽然准确,但是,自动分析和人工分析耗时长、响应慢,并最终导致获得文件安全性的效率不高。
发明内容
基于此,有必要提供一种能够提高获得文件的安全性效率的鉴定文件安全性的方法。
一种鉴定文件安全性的方法,包括以下步骤:
获取文件的文件标识;
根据所述文件标识,获取所述文件的应用数据;
根据所述应用数据获得所述文件的活跃度;
根据所述活跃度判断所述文件安全性。
在其中一个实施例中,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
在其中一个实施例中,根据所述应用数据获得所述文件的活跃度的方式为:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、c、d为参数。
在其中一个实施例中,所述根据所述活跃度判断文件的安全性的步骤为:
获取至少一阈值;
将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
在其中一个实施例中,所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件,若根据所述活跃度判断所述文件为可疑文件时,所述方法还包括以下步骤中的至少一种:
验证所述文件的文件签名判断所述文件的安全性;
利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
对所述文件的文件信息进行自动分析,判断所述文件的安全性;
定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
在其中一个实施例中,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断的步骤包括:
当所述活跃度高于第二阈值时,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间时,则验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次执行以下步骤判断所述文件的安全性:
利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
对所述文件的文件信息进行自动分析,判断所述文件的安全性;
定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
在其中一个实施例中,所述方法还包括:
将判断为安全文件的所述文件的文件信息存储到样本库中。
在其中一个实施例中,所述方法还包括:
对应于文件标识,统计并上传每个文件的应用数据。
此外,本发明还提供一种鉴定文件安全性的***,所述***包括:
接收模块,用于获取文件的文件标识;
存取模块,用于根据所述文件标识,获取所述文件的应用数据;
处理模块,用于根据所述应用数据获得所述文件的活跃度;
鉴定模块,用于根据所述活跃度判断所述文件安全性。
在其中一个实施例中,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
在其中一个实施例中,所述处理模块获得所述文件的活跃度的方式为:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、c、d为参数。
在其中一个实施例中,所述鉴定模块用于:
获取至少一阈值;
将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
在其中一个实施例中,所述鉴定模块用于根据所述活跃度判断所述文件为安全文件或可疑文件,所述***还包括以下模块中的至少一种:
签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;
匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;
回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
在其中一个实施例中,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述***还包括:
签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;
匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;
回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性;
所述鉴定模块用于:
当所述活跃度高于第二阈值时,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间时,调用所述签名验证模块验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次调用所述匹配模块、自动分析模块及回扫转送模块判断所述文件的安全性。
在其中一个实施例中,所述***还包括样本管理模块,所述样本管理模块用于将判断为安全文件的所述文件的文件信息存储到样本库中。
在其中一个实施例中,所述***还包括数据收集模块,所述数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。
上述鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和***,可提高获得文件安全性的效率。此外,本发明还提供一种鉴定文件安全性的***。
而且,将判断为安全的文件直接存入到样本库,可进一步完善样本库中的白名单,增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,进一步提高获得文件安全性的效率。
附图说明
图1为一个实施例中鉴定文件安全性的方法的流程示意图;
图2为另一个实施例中鉴定文件安全性的方法的流程示意图;
图3为一个实施例中鉴定文件安全性的***的模块示意图;
图4为另一个实施例中鉴定文件安全性的***的模块示意图。
具体实施方式
如图1所示,在一个实施例中,鉴定文件安全性的方法包括以下步骤:
步骤S110,获取文件的文件标识。
在一个实施例中,每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控,当发现可疑文件时,则发出鉴定指令,以判断该可疑文件是否为病毒。当获得鉴定指令后,便获取可疑文件的文件标识。文件标识为文件的唯一标示。在一个实施例中,文件标识为文件的信息摘要值(Md5值)。
步骤S120,根据文件标识,获取文件的应用数据。
在一个实施例中,应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。
其中,文件机器数表示安装有该文件的计算机数量;总机器数表示注册计算机数量,即安装有某款安全软件的计算机数量;文件机器周增长数表示一周内新增加装有该文件的计算机数量;文件增长前机器数指的是一周前注册计算机的数量,即一周前的总机器数;文件使用时长即运行该文件的时长;开机时长指安装有该文件的计算机处于开机状态的时长;文件周使用时长即一周内运行该文件的时长;开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。
需要指出的是,在其他实施例中,应用数据不限于上述数据,且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。
在一个实施例中,上述鉴定文件安全性的方法还包括对应于文件标识,统计并上传每个文件的应用数据的步骤。
具体的,客户端实时监控计算机上的文件,统计并上传每个文件的应用数据。服务器在获得上述应用数据后,将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后,根据文件标识查询对应的应用数据。若查询到相关记录,则更新应用数据并获取该应用数据;若未查找到相关的记录,则表示该文件为新文件,创建新的记录,并统计该文件的应用数据。
步骤S130,根据应用数据获得文件的活跃度。
活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度,可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中,使用该文件的用户所占的比例。例如,随机抽取5000个用户,其中有4000用户使用某一文件,则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少,以及增加或减少的速度。例如,随机抽取5000个用户,其中有4000用户使用某一文件,下一周统计时有4200个用户使用该文件,则该文件的趋势为增加,且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得,也可仅由覆盖率、使用频率和趋势中的一个或两个确定。
在一个实施例中,获得文件的应用数据后,可根据下列方式获得文件的活跃度:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。
其中,a、b、c、d均为参数,其数值可以根据实际情况进行选择。在一个实施例中,a为0.8;b为0.1;c为0.08;d为0.02。
需要指出的是,在其他实施例中,获得文件的活跃度不限于上述方式,文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且,参数不限于为上述数值。
步骤S140,根据活跃度判断文件安全性。
在一个实施例中,上述步骤S140为根据活跃度判断文件为安全文件或不安全文件。具体地,获取至少一阈值;将活跃度与阈值进行对比,对文件的安全性做判断。
在一个实施例中,阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验进行设定。当文件的活跃度低于该阈值时,则判断该文件为不安全文件。当文件的活跃度高于该阈值时,则判断该文件为安全文件。
在另一个实施例中,阈值为一个。当文件的活跃度低于该阈值时,则判断该文件为安全文件。当文件的活跃度低于该阈值时,判断该文件为可疑文件。如图2所示,在判断为可疑文件后,依据步骤S210至步骤S240中的任何一种或几种判断文件的安全性。
步骤S210,验证文件的文件签名判断文件的安全性。
当文件为可疑文件时,通过验证签名判断其安全性。具体的,由于被签名的文件不可更改,文件被修改时,其签名便失效。因此,当验证文件签名可信赖时,表示文件未被修改,没有被植入病毒的可能,故可判断该文件为安全文件。当验证文件签名不可信赖时,表示文件被修改过,存在被植入病毒的可能,故判断该文件为不安全文件或可疑文件。
步骤S220,利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性。
具体地,利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码,由反病毒公司制作,一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串,而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时,将文件的文件特征与黑、白名单中的特征码进行对比,若有对应的记录,则可直接判断出文件的安全性。
步骤S230,对文件的文件信息进行自动分析,判断文件的安全性。
具体地,文件信息中还包含文件的行为特征。自动分析即对文件的文件特征、行为特征进行智能启发分析判断,从而得到文件的安全性。
步骤S240,定期回扫文件,并将其转送至人工分析判断所述文件的安全性。
具体地,对于不确定其安全性的文件,需要定期进行扫描,监控其运行状态,并将该文件转送到人工处理平台。因此,工作人员便可对被发送至人工处理平台的文件进行人工分析,进而得到该文件的安全性。
需要指出的是,上述步骤S210~S240可以依次执行,也可选择其中任意几种步骤执行,还可以选择其中任意一种执行。当选择其中任意一种执行时,直接判断文件为安全文件或不安全文件。
在一个实施例中,阈值可包括第一阈值及第二阈值,且第一阈值小于第二阈值。具体地,在一个实施例中,第一阈值为60%,第二阈值为90%。需要指出的是,在其他实施例中,第一阈值和第二阈值是可变化的,可根据活跃度的计算方式和参数的不同而进行调整。
当活跃度高于第二阈值时,则判断文件为安全文件。即在一个实施例中活跃度高于90%。则表示该文件的覆盖率广、使用频率高,这种文件一般为***文件。因此,可直接通过活跃度判断该文件为安全文件。
当活跃度介于第一阈值与第二阈值之间时,即在一个实施例中介于60%与90%之间。则表示该文件有一定的覆盖率和使用频率,这样的文件一般为装机流行软件。此时,单凭活跃度不能确定其安全性,需要验证其文件签名。若文件签名可信赖,则判断文件为安全文件。
当活跃度低于第一阈值时,即在一个实施例中活跃度低于60%。则表示该文件为非常见的软件,或当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖时,依次执行如下步骤判断文件的安全性:利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性;针对通过简单匹配不能判断其安全性的文件,对文件的文件信息进行自动分析,判断文件的安全性;针对自动分析不能判断其安全性的文件,定期回扫文件,并将其转送至人工分析判断文件的安全性。
在一个实施例中,鉴定文件安全性的方法还包括:将判断为安全文件的文件的文件信息存储到样本库中。
在传统的鉴定文件安全性的方法中,不能根据简单匹配快速判断文件的安全性的原因是:样本库中黑、白名单不够完备。本发明通过获得文件的活跃度,并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中,因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,从而不需要经过自动分析和人工分析。
如图3所示,本发明还提供一种鉴定文件安全性的***,该***包括接收模块110、存取模块120、存取模块130及鉴定模块140。其中:
接收模块110用于获取文件的文件标识。
在一个实施例中,每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控,当发现可疑文件时,则发出鉴定指令,以判断该可疑文件是否为病毒。当接收模块110获得鉴定指令后,便获取可疑文件的文件标识。文件标识为文件的唯一标示。在一个实施例中,文件标识为文件的信息摘要值(Md5值)。
存取模块120用于根据文件标识,获取文件的应用数据。
在一个实施例中,应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。
其中,文件机器数表示安装有该文件的计算机数量;总机器数表示注册计算机数量,即安装有某款安全软件的计算机数量;文件机器周增长数表示一周内新增加装有该文件的计算机数量;文件增长前机器数指的是一周前注册计算机的数量,即一周前的总机器数;文件使用时长即运行该文件的时长;开机时长指安装有该文件的计算机处于开机状态的时长;文件周使用时长即一周内运行该文件的时长;开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。
需要指出的是,在其他实施例中,应用数据不限于上述数据,且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。
在一个实施例中,上述鉴定文件安全性的***还包括数据收集模块,数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。
具体的,数据收集模块实时监控计算机上的文件,统计并上传每个文件的应用数据。服务器在获得上述应用数据后,将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后,根据文件标识查询对应的应用数据。若查询到相关记录,则更新应用数据并获取该应用数据;若未查找到相关的记录,则表示该文件为新文件,创建新的记录,并统计该文件的应用数据。
处理模块130用于根据应用数据获得文件的活跃度。
活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度,可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中,使用该文件的用户所占的比例。例如,随机抽取5000个用户,其中有4000用户使用某一文件,则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少,以及增加或减少的速度。例如,随机抽取5000个用户,其中有4000用户使用某一文件,下一周统计时有4200个用户使用该文件,则该文件的趋势为增加,且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得,也可仅由覆盖率、使用频率和趋势中的一个或两个确定。
在一个实施例中,存取模块120获得文件的应用数据后,处理模块130可根据下列方式获得文件的活跃度:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。
其中,a、b、c、d均为参数,其数值可以根据实际情况进行选择。在一个实施例中,a为0.8;b为0.1;c为0.08;d为0.02。
需要指出的是,在其他实施例中,处理模块130获得文件的活跃度不限于上述方式,文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且,参数不限于为上述数值。
鉴定模块140用于根据活跃度判断文件安全性。
在一个实施例中,鉴定模块140用于根据活跃度判断文件为安全文件或不安全文件。具体地,鉴定模块140获取至少一阈值;将活跃度与阈值进行对比,对文件的安全性做判断。
在一个实施例中,阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验进行设定。当文件的活跃度低于该阈值时,鉴定模块140则判断该文件为不安全文件。当文件的活跃度高于该阈值时,鉴定模块140则判断该文件为安全文件。
在另一个实施例中,阈值为一个。当文件的活跃度低于该阈值时,鉴定模块140则判断该文件为安全文件。当文件的活跃度低于该阈值时,鉴定模块140判断该文件为可疑文件。如图4所示,鉴定文件安全性的***还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。其中:
签名验证模块150用于验证文件的文件签名判断文件的安全性。
当文件为可疑文件时,签名验证模块150通过验证签名判断其安全性。具体的,由于被签名的文件不可更改,文件被修改时,其签名便失效。因此,当验证文件签名可信赖时,表示文件未被修改,没有被植入病毒的可能,故签名验证模块150可判断该文件为安全文件。当验证文件签名不可信赖时,表示文件被修改过,存在被植入病毒的可能,故签名验证模块150判断该文件为不安全文件或可疑文件。
匹配模块160用于利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性。
具体地,匹配模块160利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码,由反病毒公司制作,一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串,而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时,将文件的文件特征与黑、白名单中的特征码进行对比,若有对应的记录,则匹配模块160可直接判断出文件的安全性。
自动分析模块170用于对文件的文件信息进行自动分析,判断文件的安全性。
具体地,文件信息中还包含文件的行为特征。自动分析模块170对文件的文件特征、行为特征进行智能启发分析判断,从而得到文件的安全性。
回扫转送模块180用于定期回扫文件,并将其转送至人工分析判断文件的安全性。
具体地,对于不确定其安全性的文件,回扫转送模块180需要定期进行扫描,监控其运行状态,并将该文件转送到人工处理平台。因此,工作人员便可对被发送至人工处理平台的文件进行人工分析,进而得到该文件的安全性。
需要指出的是,在其他实施例中,可仅包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180中的任意一种或几种。
在一个实施例中,阈值可包括第一阈值及第二阈值,且第一阈值小于第二阈值。具体地,在一个实施例中,第一阈值为60%,第二阈值为90%。需要指出的是,在其他实施例中,第一阈值和第二阈值是可变化的,可根据活跃度的计算方式和参数的不同而进行调整。
鉴定文件安全性的***还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。鉴定模块140用于当活跃度高于第二阈值时,则判断文件为安全。当活跃度介于第一阈值与第二阈值之间时,调用签名验证模块150验证所述文件签名,若文件签名可信赖,则判断文件为安全。当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖或活跃度低于第一阈值时,依次调用匹配模块160、自动分析模块170及回扫转送模块180判断文件的安全性。
在一个实施例中,鉴定文件安全性的***还包括样本管理模块,样本管理模块用于将判断为安全文件的文件的文件信息存储到样本库中。
传统的鉴定文件安全性的***不能根据匹配模块160快速判断文件的安全性的原因是:样本库中黑、白名单不够完备。本发明通过获得文件的活跃度,并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中,因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过匹配模块160进行简单匹配得到文件的安全性的概率,从而不需要经过自动分析和人工分析。
上述鉴定文件安全性的方法和***,上述鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和***,可提高获得文件安全性的效率。
而且,将判断为安全的文件直接存入到样本库,可进一步完善样本库中的白名单,增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,进一步提高获得文件安全性的效率。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种鉴定文件安全性的方法,包括以下步骤:
获取文件的文件标识;
根据所述文件标识,获取所述文件的应用数据;
根据所述应用数据获得所述文件的活跃度;
根据所述活跃度判断所述文件安全性。
2.根据权利要求1所述的鉴定文件安全性的方法,其特征在于,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
3.根据权利要求2所述的鉴定文件安全性的方法,其特征在于,根据所述应用数据获得所述文件的活跃度的方式为:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、c、d为参数。
4.根据权利要求1所述的鉴定文件安全性的方法,其特征在于,所述根据所述活跃度判断文件的安全性的步骤为:
获取至少一阈值;
将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
5.根据权利要求4所述的鉴定文件安全性的方法,其特征在于,所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件,若根据所述活跃度判断所述文件为可疑文件时,所述方法还包括以下步骤中的至少一种:
验证所述文件的文件签名判断所述文件的安全性;
利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
对所述文件的文件信息进行自动分析,判断所述文件的安全性;
定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
6.根据权利要求4所述的鉴定文件安全性的方法,其特征在于,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断的步骤包括:
当所述活跃度高于第二阈值时,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间时,则验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次执行以下步骤判断所述文件的安全性:
利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
对所述文件的文件信息进行自动分析,判断所述文件的安全性;
定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
7.根据权利要求1所述的鉴定文件安全性的方法,其特征在于,所述方法还包括:
将判断为安全文件的所述文件的文件信息存储到样本库中。
8.根据权利要求1所述的鉴定文件安全性的方法,其特征在于,所述方法还包括:
对应于文件标识,统计并上传每个文件的应用数据。
9.一种鉴定文件安全性的***,其特征在于,包括:
接收模块,用于获取文件的文件标识;
存取模块,用于根据所述文件标识,获取所述文件的应用数据;
处理模块,用于根据所述应用数据获得所述文件的活跃度;
鉴定模块,用于根据所述活跃度判断所述文件安全性。
10.根据权利要求9所述的鉴定文件安全性的***,其特征在于,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
11.根据权利要求10所述的鉴定文件安全性的***,其特征在于,所述处理模块获得所述文件的活跃度的方式为:
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、c、d为参数。
12.根据权利要求9所述的鉴定文件安全性的***,其特征在于,所述鉴定模块用于:
获取至少一阈值;
将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
13.根据权利要求12所述的鉴定文件安全性的***,其特征在于,所述鉴定模块用于根据所述活跃度判断所述文件为安全文件或可疑文件,所述***还包括以下模块中的至少一种:
签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;
匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;
回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
14.根据权利要求12所述的鉴定文件安全性的***,其特征在于,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述***还包括:
签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;
匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;
回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性;
所述鉴定模块用于:
当所述活跃度高于第二阈值时,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间时,调用所述签名验证模块验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全;
当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次调用所述匹配模块、自动分析模块及回扫转送模块判断所述文件的安全性。
15.根据权利要求9所述的鉴定文件安全性的***,其特征在于,所述***还包括样本管理模块,所述样本管理模块用于将判断为安全文件的所述文件的文件信息存储到样本库中。
16.根据权利要求9所述的鉴定文件安全性的***,其特征在于,所述***还包括数据收集模块,所述数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210186579.6A CN102750476B (zh) | 2012-06-07 | 2012-06-07 | 鉴定文件安全性的方法和*** |
| PCT/CN2013/076883 WO2013182073A1 (zh) | 2012-06-07 | 2013-06-06 | 鉴定文件安全性的方法、***及存储介质 |
| US14/560,016 US20150089662A1 (en) | 2012-06-07 | 2014-12-04 | Method and system for identifying file security and storage medium |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210186579.6A CN102750476B (zh) | 2012-06-07 | 2012-06-07 | 鉴定文件安全性的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102750476A true CN102750476A (zh) | 2012-10-24 |
| CN102750476B CN102750476B (zh) | 2015-04-08 |
Family
ID=47030649
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210186579.6A Active CN102750476B (zh) | 2012-06-07 | 2012-06-07 | 鉴定文件安全性的方法和*** |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20150089662A1 (zh) |
| CN (1) | CN102750476B (zh) |
| WO (1) | WO2013182073A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013182073A1 (zh) * | 2012-06-07 | 2013-12-12 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法、***及存储介质 |
| CN103632093A (zh) * | 2013-09-17 | 2014-03-12 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN103632093B (zh) * | 2013-09-17 | 2016-11-30 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN106934276A (zh) * | 2015-12-30 | 2017-07-07 | 北京金山安全软件有限公司 | 一种检测移动终端***安全性的方法、装置及移动终端 |
| CN112181908A (zh) * | 2020-09-04 | 2021-01-05 | 北京灵汇数融科技有限公司 | 基于统计的电子文件鉴定方法及*** |
| CN116471123A (zh) * | 2023-06-14 | 2023-07-21 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10911452B2 (en) * | 2016-11-22 | 2021-02-02 | Synergex Group (corp.) | Systems, methods, and media for determining access privileges |
| US11055426B2 (en) | 2018-07-16 | 2021-07-06 | Faro Technologies, Inc. | Securing data acquired by coordinate measurement devices |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
| CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
| CN101827096A (zh) * | 2010-04-09 | 2010-09-08 | 潘燕辉 | 一种基于云计算的多用户协同安全防护***和方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4404246B2 (ja) * | 2003-09-12 | 2010-01-27 | 株式会社日立製作所 | データ特性に基づくバックアップシステム及び方法 |
| US8713418B2 (en) * | 2004-04-12 | 2014-04-29 | Google Inc. | Adding value to a rendered document |
| US9002328B2 (en) * | 2004-08-23 | 2015-04-07 | At&T Intellectual Property I, L.P. | Electronic calendar for automatically scheduling a plurality of events based on a scheduling request and obtained additional information |
| US8135638B2 (en) * | 2005-04-29 | 2012-03-13 | International Business Machines Corporation | Summarizing risk ratings to facilitate an analysis of risks |
| US20070033445A1 (en) * | 2005-08-02 | 2007-02-08 | Hirsave Praveen P K | Method, apparatus, and program product for autonomic patch risk assessment |
| JP2008186176A (ja) * | 2007-01-29 | 2008-08-14 | Canon Inc | 画像処理装置、文書結合方法および制御プログラム |
| JP4398988B2 (ja) * | 2007-03-26 | 2010-01-13 | 株式会社東芝 | 構造化文書を管理する装置、方法およびプログラム |
| US8078909B1 (en) * | 2008-03-10 | 2011-12-13 | Symantec Corporation | Detecting file system layout discrepancies |
| US20090292930A1 (en) * | 2008-04-24 | 2009-11-26 | Marano Robert F | System, method and apparatus for assuring authenticity and permissible use of electronic documents |
| US9135442B1 (en) * | 2008-05-30 | 2015-09-15 | Symantec Corporation | Methods and systems for detecting obfuscated executables |
| US8726391B1 (en) * | 2008-10-10 | 2014-05-13 | Symantec Corporation | Scheduling malware signature updates in relation to threat awareness and environmental safety |
| US8769695B2 (en) * | 2009-04-30 | 2014-07-01 | Bank Of America Corporation | Phish probability scoring model |
| US8621233B1 (en) * | 2010-01-13 | 2013-12-31 | Symantec Corporation | Malware detection using file names |
| CN102446259B (zh) * | 2010-09-30 | 2014-12-31 | 联想(北京)有限公司 | 组件访问控制方法及电子设备 |
| US8590047B2 (en) * | 2011-01-04 | 2013-11-19 | Bank Of America Corporation | System and method for management of vulnerability assessment |
| US9009819B1 (en) * | 2011-01-20 | 2015-04-14 | Symantec Corporation | Method and system for detecting rogue security software that displays frequent misleading warnings |
| CN102346828A (zh) * | 2011-09-20 | 2012-02-08 | 海南意源高科技有限公司 | 一种基于云安全的恶意程序判断方法 |
| US20130179215A1 (en) * | 2012-01-10 | 2013-07-11 | Bank Of America Corporation | Risk assessment of relationships |
| CN102750476B (zh) * | 2012-06-07 | 2015-04-08 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法和*** |
-
2012
- 2012-06-07 CN CN201210186579.6A patent/CN102750476B/zh active Active
-
2013
- 2013-06-06 WO PCT/CN2013/076883 patent/WO2013182073A1/zh active Application Filing
-
2014
- 2014-12-04 US US14/560,016 patent/US20150089662A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1900941A (zh) * | 2006-04-28 | 2007-01-24 | 傅玉生 | 一种基于软件身份认证技术的计算机安全保护方法 |
| CN101350049A (zh) * | 2007-07-16 | 2009-01-21 | 珠海金山软件股份有限公司 | 鉴定病毒文件的方法、装置及网络设备 |
| CN101827096A (zh) * | 2010-04-09 | 2010-09-08 | 潘燕辉 | 一种基于云计算的多用户协同安全防护***和方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013182073A1 (zh) * | 2012-06-07 | 2013-12-12 | 腾讯科技(深圳)有限公司 | 鉴定文件安全性的方法、***及存储介质 |
| CN103632093A (zh) * | 2013-09-17 | 2014-03-12 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN103632093B (zh) * | 2013-09-17 | 2016-11-30 | 中国人民解放军61599部队计算所 | 木马检测方法 |
| CN106934276A (zh) * | 2015-12-30 | 2017-07-07 | 北京金山安全软件有限公司 | 一种检测移动终端***安全性的方法、装置及移动终端 |
| CN106934276B (zh) * | 2015-12-30 | 2020-02-28 | 北京金山安全软件有限公司 | 一种检测移动终端***安全性的方法、装置及移动终端 |
| CN112181908A (zh) * | 2020-09-04 | 2021-01-05 | 北京灵汇数融科技有限公司 | 基于统计的电子文件鉴定方法及*** |
| CN116471123A (zh) * | 2023-06-14 | 2023-07-21 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
| CN116471123B (zh) * | 2023-06-14 | 2023-08-25 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150089662A1 (en) | 2015-03-26 |
| WO2013182073A1 (zh) | 2013-12-12 |
| CN102750476B (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102750476B (zh) | 鉴定文件安全性的方法和*** | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及*** | |
| CN116488939B (zh) | 计算机信息安全监测方法、***及存储介质 | |
| CN102624677B (zh) | 一种网络用户行为监控方法及服务器 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、***及计算机可读存储介质 | |
| CN102945349B (zh) | 未知文件处理方法与装置 | |
| CN102945348B (zh) | 文件信息收集方法与装置 | |
| US20100275252A1 (en) | Software management apparatus and method, and user terminal controlled by the apparatus and management method for the same | |
| US20120185936A1 (en) | Systems and Methods for Detecting Fraud Associated with Systems Application Processing | |
| CN103379099A (zh) | 恶意攻击识别方法及*** | |
| CN104462978A (zh) | 一种应用程序权限管理的方法和装置 | |
| CN103927485A (zh) | 基于动态监控的Android应用程序风险评估方法 | |
| CN104850780A (zh) | 一种高级持续性威胁攻击的判别方法 | |
| CN102638617A (zh) | 用于安卓手机的基于入侵检测的主动响应*** | |
| CN104580133A (zh) | 恶意程序防护方法与***及其过滤表格更新方法 | |
| CN101923609A (zh) | 一种计算机网络的安全保护方法及*** | |
| CN108011767B (zh) | 一种非侵入的可配置运维*** | |
| CN107463839A (zh) | 一种管理应用程序的***和方法 | |
| CN103530559A (zh) | 一种Android***的完整性保护*** | |
| Esquivel-Vargas et al. | Automatic deployment of specification-based intrusion detection in the BACnet protocol | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及*** | |
| CN111046415A (zh) | 一种涉密文件的智能分级预警***及其方法 | |
| CN101719846A (zh) | 安全监控方法、装置及*** | |
| CN109460638A (zh) | 一种用于管控可执行程序的方法和装置 | |
| CN114338105B (zh) | 一种基于零信任信创堡垒机*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230713 Address after: 518057 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: 2, 518044, East 403 room, SEG science and Technology Park, Zhenxing Road, Shenzhen, Guangdong, Futian District Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |