CN103136477B - 文件样本的扫描方法和*** - Google Patents
文件样本的扫描方法和*** Download PDFInfo
- Publication number
- CN103136477B CN103136477B CN201310071272.6A CN201310071272A CN103136477B CN 103136477 B CN103136477 B CN 103136477B CN 201310071272 A CN201310071272 A CN 201310071272A CN 103136477 B CN103136477 B CN 103136477B
- Authority
- CN
- China
- Prior art keywords
- paper sample
- grey
- sample
- assessor
- dangerous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 60
- 241000700605 Viruses Species 0.000 claims description 179
- 230000006399 behavior Effects 0.000 claims description 45
- 238000000605 extraction Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 description 16
- 230000007123 defense Effects 0.000 description 9
- 230000002155 anti-virotic effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 239000000284 extract Substances 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 5
- 230000001960 triggered effect Effects 0.000 description 4
- 230000003612 virological effect Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 231100001261 hazardous Toxicity 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Landscapes
- Paper (AREA)
Abstract
本发明公开了一种文件样本的扫描方法和***,所述方法包括:对于文件样本中的灰文件样本,根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本;根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;使用所选取的鉴定器扫描待扫描的灰文件样本,并存储扫描结果,以在接收到查询文件样本是否安全的请求时,返回扫描结果;所述灰文件样本为安全性未知的文件样本。本发明能够节约进行扫描的设备的资源,加快扫描效率,提供扫描速度。
Description
技术领域
本发明涉及计算机网络安全领域,具体涉及一种文件样本的扫描方法和***。
背景技术
在网络安全领域中,通常需要进行病毒文件的查杀。病毒文件是一个概括性的术语,指任何故意创建用来执行未经授权并通常是有害行为的应用文件。例如,包括:计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马等。
现有技术中,病毒文件查杀所采用的方法主要依赖于特征库模式。特征库是由厂商收集到的病毒文件样本的特征码组成,而特征码则是分析工程师从病毒文件中找到和正当文件的不同之处,截取一段类似于“关键词”的文件代码,该文件代码为特征码。在查杀过程中,引擎会读取文件,与特征库中的所有特征码进行匹配,如果发现文件代码被命中,就可以判定该文件为病毒文件。
但是,随着病毒文件数量的增长,当前病毒文件数量呈几何级增长,基于这种爆发式的增速,特征库的生成与更新往往滞后,很多时候终端单独的查杀引擎无法查杀出未知的病毒文件。
因此,现有技术中产生了主动防御方法。在主动防御的方法中,基于文件行为自主分析判断,进行实时查杀,不以特征码作为判断病毒文件的依据,而是从文件的原始定义出发,直接将文件行为作为判断病毒文件的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截病毒文件的行为,从而在一定程度上达到保护终端的目的。
但是,上述本地主动防御方法也存在需要解决的问题。首先,本地主动防御容易对病毒文件造成免杀,例如,通过对病毒文件加壳即可以避开本地主动防御的特征库防杀模式;通过针对病毒行为,减少或替换病毒文件执行的相关行为,从而避免触发行为阈值防杀模式的启动上限。另外,本地主动防御还需要依赖于本地数据库的及时更新,如果数据库更新不及时,则造成病毒文件未被发现。
基于上述问题,现有技术中还具有基于云安全的主动防御方法,不依赖于本地数据库,并且将主动防御的分析比对操作放在服务器侧完成。
但是,对于云安全的主动防御方法,通常涉及的待查杀的文件样本达到上亿级。因为每个对文件样本进行查杀的鉴定器都会由专门的分析人员设定特征库,查杀过的文件样本可能会发生漏报或者误报的情况,特征库在不断升级,因此对文件样本进行重复扫描可以弥补之前的漏报,修复之前的误报。在每次进行扫描时,如果将所有文件样本都扫描一遍,则会耗费服务器侧的大量资源。
发明内容
鉴于上述问题,本发明提出了文件样本的扫描方法和***,以克服进行文件扫描时,耗费资源过多的问题。
根据本发明的一个方面,提供了一种文件样本的扫描方法,所述方法包括:
对于文件样本中的灰文件样本,根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本;
根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;
使用所选取的鉴定器扫描待扫描的灰文件样本,并存储扫描结果,以在接收到查询文件样本是否安全的请求时,返回扫描结果;
所述灰文件样本为安全性未知的文件样本。
其中,所述根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本具体包括:
根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。
其中,所述方法还包括:
对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器,所述危险文件样本为被鉴定器报告为病毒文件的文件样本;
使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
其中,所述确定报告危险文件样本为病毒文件的鉴定器后还包括:
根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系;
根据误报率从存储的危险文件样本中选取待扫描的危险文件样本;
所述使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本具体包括:
对于每个待扫描的危险文件样本,使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。
其中,所述方法还包括:
在接收到查询文件样本是否安全的请求时,在日志中记录接收到的请求;
根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
其中,所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括:
从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率;
所述根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本具体包括:
从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
其中,所述确定报告危险文件样本为病毒文件的鉴定器具体包括:
从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器;
所述根据误报率从存储的危险文件样本中选取待扫描的危险文件样本具体包括:
从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本,以选取的危险文件样本为待扫描的危险文件样本。
其中,所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括:
根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率作为计算该灰文件样本的漏报率的参量。
其中,所述根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率具体包括:
根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
其中,所述根据各个鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器具体包括:
对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔;
根据扫描间隔选取用于扫描灰文件样本的鉴定器。
其中,所述根据各个鉴定器的更新记录选取用于扫描灰文件样本的鉴定器具体包括:
根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
其中,所述根据灰文件样本的属性得出灰文件样本的漏报率前还包括:
判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则检测出该灰文件样本的漏报率为0,如果否,则进行所述根据灰文件样本的属性得出灰文件样本的漏报率的操作。
根据本发明的另一个方面,本发明公开了一种文件样本的扫描***,所述***包括:样本存储装置、查杀引擎、扫描调度装置和包含多个鉴定器的样本扫描装置;
所述样本存储装置,适于存储文件样本;
所述扫描调度装置,适于对于文件样本中的灰文件样本,根据预设的策略从所述样本存储装置存储的灰文件样本中选取待扫描的灰文件样本,并根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;
所述样本扫描装置,适于从所述样本存储装置获取待扫描的灰文件样本,使用所述扫描调度装置选取的鉴定器扫描获取的待扫描的灰文件样本,并将扫描结果存储到查杀引擎;
所述查杀引擎,适于存储样本文件的扫描结果,并在接收到查询文件样本是否安全的请求时,返回扫描结果;
所述灰文件样本为安全性未知的文件样本。
其中,所述扫描调度装置,具体适于根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。
其中,所述扫描调度装置,还适于对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器,所述危险文件样本为被鉴定器报告为病毒文件的文件样本;
所述样本扫描装置,还适于从所述样本存储装置获取危险文件样本,使用所述扫描调度装置确定的鉴定器重新扫描获取的危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
其中,所述扫描调度装置,还适于在确定报告危险文件样本为病毒文件的鉴定器后,根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系,根据误报率从所述样本存储装置存储的危险文件样本中选取待扫描的危险文件样本;
所述样本扫描装置,具体适于对于每个待扫描的危险文件样本,使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。
其中,所述查杀引擎,还适于在接收到查询文件样本是否安全的请求时,在日志中记录接收到的请求;
所述扫描调度装置,还适于根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
其中,所述扫描调度装置,具体适于从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率,根据所得出的漏报率从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
其中,所述扫描调度装置,具体适于从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器,根据确定的鉴定器得出提取的危险文件样本的误报率,根据误报率从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本,以选取的危险文件样本为待扫描的危险文件样本。
其中,所述扫描调度装置,具体适于根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率为计算该灰文件样本的漏报率的参量。
其中,所述扫描调度装置,具体适于根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
其中,所述扫描调度装置,具体适于对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描灰文件样本的鉴定器。
其中,所述扫描调度装置,具体适于根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
其中,所述扫描调度装置,还适于在根据灰文件样本的属性得出灰文件样本的漏报率前,判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则检测出该灰文件样本的漏报率为0,如果否,则进行所述根据灰文件样本的属性得出灰文件样本的漏报率的操作。
根据本发明的文件样本扫描的技术方案,在对文件样本中的灰文件样本进行扫描时,根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本;根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;使用所选取的鉴定器扫描待扫描的灰文件样本,并存储扫描结果,以在接收到查询文件样本是否安全的请求时,返回扫描结果。
因为,在进行灰文件样本扫描时,依据预设的策略对灰文件样本进行了选取,并且根据鉴定器的更新记录和/或鉴定器的扫描记录对鉴定器进行了选取,所以在能够保证弥补漏报的同时,减少了扫描的工作量,由此解决了在扫描时需要将文件样本全部扫描,导致消耗资源量大的问题,取得了节约进行扫描的设备的资源,加快扫描效率,提供扫描速度的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的文件样本的扫描***的结构图;
图2示出了根据本发明一个实施例的文件样本的扫描方法的流程图;
图3示出了根据本发明一个实施例的依据漏报率选取灰文件样本的流程图;
图4示出了根据本发明一个实施例的文件样本的扫描方法中对危险文件样本进行扫描的流程图;
图5示出了根据本发明一个实施例的文件样本的扫描方法中对灰文件样本进行扫描的流程图;
图6示出了根据本发明一个实施例的文件样本的扫描方法中对危险文件样本进行扫描的流程图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参见图1,示出了根据本发明一个实施例的文件样本的扫描***。***包括:样本存储装置100、查杀引擎200、扫描调度装置300和包含多个鉴定器的样本扫描装置400。该***可以是***中各个装置位于同一个物理设备中,也可以是***中各个装置位于不同的物理设备中。
样本存储装置100,适于存储文件样本。
扫描调度装置300,适于对于文件样本中的灰文件样本,根据预设的策略从样本存储装置100存储的灰文件样本中选取待扫描的灰文件样本,并根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。其中,鉴定器可以为用于检测文件样本安全性的杀毒应用,例如bitdefender(比特梵德,来自罗马尼亚的一种杀毒应用),以及QVM(奇虎支持向量机)提供的杀毒应用,以及云杀毒引擎等。灰文件样本为安全性未知的文件样本。
具体地,扫描调度装置300根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。
举例而言,扫描调度装置300根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率为计算该灰文件样本的漏报率的参量。
例如,扫描调度装置300对病毒文件的大小、路径、和/或行为进行统计,依据统计结果得出文件样本可能为病毒文件的概率。
扫描调度装置300根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率。
通常病毒文件为了传播,所以病毒文件比较小。对病毒文件进行统计,例如使用hadoop(一种分布式计算平台)进行统计,得出文件大小与报病毒率的一条关系曲线,依据曲线得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本大小得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。例如,漏报率阀值为0.001%,文件大小在10M以上的文件样本报病毒率为0.001%,则选择小于10M的灰文件样本为待扫描的灰文件样本。
扫描调度装置300根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率。
通过对病毒文件的路径的离线统计,例如使用hadoop(一种分布式计算平台)进行统计,可以得出文件路径与报病毒率的一条关系曲线,依据曲线得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本路径得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。
扫描调度装置300根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
危险操作行为列表中可以包括下列操作行为中的一种或多种:
写入注册表进行自动加载;
修改注册表;
修改***文件;
修改指定的应用文件;
执行进程间注入;
结束进程;
修改浏览器中网页内容;以及
记录键盘操作。
根据灰文件样本触发的危险操作行为数量,计算出该灰文件样本可能为病毒文件的概率。触发的危险操作行为越多,灰文件样本可能为病毒文件的概率越高。例如,获得灰文件样本触发危险操作行为的数量,将该数量除以危险操作行为列表中危险操作行为的总量,得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本触发的危险操作行为数量得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。
如果以上述得出的多个概率为计算漏报率的参量,则可以对应每个参量设置权重值,将参量加权求和得出灰文件样本的漏报率。
其中,在选择鉴定器时,可以根据各个鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。
扫描调度装置300对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描灰文件样本的鉴定器。其中,扫描的次数越多则扫描间隔越长。例如,采用公式T=(logN)×1.5+1计算扫描间隔。N为某个鉴定器扫描某个灰文件样本的扫描的次数,T为该灰文件样本对应于该鉴定器的扫描间隔。
其中,在选择鉴定器时,可以根据各个鉴定器的更新记录选取用于扫描灰文件样本的鉴定器。扫描调度装置300根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
也可以,根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。例如,先选取在上次扫描后进行过更新的鉴定器,然后从该选取的鉴定器中再按扫描间隔选取鉴定器。
样本扫描装置400,适于从样本存储装置100获取待扫描的灰文件样本,使用扫描调度装置300选取的鉴定器扫描获取的待扫描的灰文件样本,并将扫描结果存储到查杀引擎200。
查杀引擎200,适于存储样本文件的扫描结果,并在接收到查询文件样本是否安全的请求时,返回扫描结果。
本实施例在保证弥补漏报的同时,减少了扫描的工作量,由此解决了在扫描时需要将文件样本全部扫描,导致消耗资源量大的问题,取得了节约进行扫描的设备的资源,加快扫描速度,提供扫描效率的有益效果。
在一较佳的实施例中,扫描调度装置300,还适于在根据灰文件样本的属性得出灰文件样本的漏报率前,判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则检测出该灰文件样本的漏报率为0,如果否,则进行上述根据灰文件样本的属性得出灰文件样本的漏报率的操作。
因为,灰文件样本的发现时间越早,则其被漏报的可能性越小。当首次发现时间早于预设时间阀值时,则不再对该灰文件样本进行扫描,由此,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
在本发明的另一个实施例中,对文件样本中的危险文件样本进行扫描。危险文件样本为被鉴定器报告为病毒文件的文件样本。对于危险文件样本使用将其报告为病毒文件的鉴定器对该危险文件样本进行扫描,如果扫描后,该些鉴定器都确定该危险文件样本不为病毒文件,则对该危险文件样本进行去误报操作。本实施例的具体技术方案如下所述。
样本存储装置100,适于存储文件样本。
扫描调度装置300,还适于对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器。
样本扫描装置400,还适于从样本存储装置100获取危险文件样本,使用扫描调度装置300确定的鉴定器重新扫描获取的危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报的文件样本,对该危险文件样本进行去误报操作。
其中,去误报操作可以为删除该文件样本为病毒文件的记录,也可以为将该文件样本的记录由危险文件样本更新为灰文件样本或白文件样本。白文件样本为确定无危险的文件样本。
查杀引擎200,适于存储样本文件的扫描结果,并在接收到查询文件样本是否安全的请求时,返回扫描结果。
通过本实施例,对于危险文件样本,仅使用将其报告为病毒文件的鉴定器对该危险文件样本进行扫描,由此,在保证修正误报的同时,能够减少扫描操作,提高扫描效率。
进一步地,计算危险文件样本的误报率,根据误报率选择进行扫描的危险文件样本。由此进一步减少了被扫描的危险文件样本。
扫描调度装置300在确定报告危险文件样本为病毒文件的鉴定器后,根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系。所确定的鉴定器的数量越多,该危险文件样本的误报率越低。
扫描调度装置300还根据误报率从样本存储装置100存储的危险文件样本中选取待扫描的危险文件样本。
例如,对于将危险文件样本报告为病毒文件的鉴定器,可以对各个鉴定器设置对应该危险文件的准确率,将准确率相加得和值,用1减去和值得出危险文件样本的误报率,选取误报率大于预设的误报率阀值的危险文件样本为待扫描的危险文件样本。
在设置对应该危险文件的准确率时,如果是分析人员设置为病毒文件,则直接设置准确率为1。对于各个鉴定器,依据对该鉴定器的信任度和该鉴定器对危险文件的扫描次数设置准确率,扫描次数越高准确率越高。例如,对杀毒引擎A的信任度较高,则杀毒引擎A扫描次数大于扫描阀值后,确定杀毒引擎A对应该危险文件的准确率为1。
由此,根据误报率对危险文件样本进行选取,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
进一步地,对于确定的报告危险文件样本为病毒文件的鉴定器,根据鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
其中,在将危险文件样本确定为病毒文件的鉴定器中,可以根据各个鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
扫描调度装置300对于每个确定的鉴定器、每个待扫描的危险文件样本,根据该鉴定器扫描该危险文件样本的次数,计算该危险文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描危险文件样本的鉴定器。其中,扫描的次数越多则扫描间隔越长。例如,采用公式T=(logN)×1.5+1计算扫描间隔。N为某个鉴定器扫描某个危险文件样本的扫描的次数,T为该危险文件样本对应于该鉴定器的扫描间隔。
其中,在将危险文件样本确定为病毒文件的鉴定器中,可以根据各个鉴定器的更新记录选取用于扫描危险文件样本的鉴定器。扫描调度装置300根据更新记录从鉴定器中选取在上次扫描后进行过更新的鉴定器。
也可以,根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描危险文件样本的鉴定器。例如,在将危险文件样本确定为病毒文件的鉴定器中,先选取在上次扫描后进行过更新的鉴定器,然后从该选取的鉴定器中再按扫描间隔选取鉴定器。
由此,根据鉴定器的更新记录和/或鉴定器的扫描记录对于鉴定器进行选取,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
在本发明的另一个实施例中,统计文件样本的查询的热度,从热度高的活跃文件样本中选取文件样本,进一步减少进行扫描的文件样本数量,提高了扫描效率。
查杀引擎200,还适于在接收查询文件样本是否安全的请求时,在日志中记录接收到的请求。
扫描调度装置300,还适于根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。活跃文件样本,为热度较高,被查询的频率大于预设门限值的文件样本。
由此,在灰文件样本进行扫描时,扫描调度装置300从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率,从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
在危险文件样本进行扫描时,扫描调度装置300从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器,根据确定的鉴定器得出提取的危险文件样本的误报率,从提取的危险文件样本中选取误报率大于预设误报率阀值的危险文件样本,以选取的危险文件样本为待扫描的危险文件样本。
以下结合一具体实例,对灰文件样本的扫描进行说明。
文件样本的扫描***包括:样本存储装置100、查杀引擎200、扫描调度装置300和包含多个鉴定器的样本扫描装置400。在该具体实例中,以文件样本的MD5(消息摘要算法第五版)值为文件样本的标识。此外,也可以以md5+sha1的40字节长度的字符串作为文件样本的唯一标识,以避免仅以md5为标识,造成的标识冲突,即对两个不同的文件样本算出的md5值相同时,该两个文件样本的标识冲突。扫描调度装置300存储有文件样本信息库,其中存储有各个文件样本的属性信息和其他相关信息,例如,对于每个文件样本,存储有文件样本的大小、路径、操作行为、以及文件样本是否为危险文件样本或灰文件样本,在文件样本为危险文件样本时,报告其为病毒文件的鉴定器等。
样本存储装置100存储文件样本。
查杀引擎200存储样本文件的扫描结果,在接收到查询文件样本是否安全的请求时,返回扫描结果;并且在接收查询文件样本是否安全的请求时,在日志中记录接收到的请求。接收的请求中包括文件样本的MD5值。
扫描调度装置300根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
扫描调度装置300从活跃文件样本中提取灰文件样本,根据该灰文件样本的MD5值从文件样本信息库中获得该灰文件样本的属性,根据获得的属性得出该灰文件样本的漏报率,从提取的灰文件样本中选取所得出的漏报率大于预设漏报率阀值的灰文件样本,以该选取的灰文件样本为待扫描的灰文件样本。
扫描调度装置300根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。
样本扫描装置400从样本存储装置100获取待扫描的灰文件样本,使用扫描调度装置300选取的鉴定器扫描获取的灰文件样本,并将扫描结果存储到查杀引擎200。
以下结合一具体实例,对危险文件样本的扫描进行说明。
样本存储装置100存储文件样本。
查杀引擎200存储文件样本的扫描结果,在接收到查询文件样本是否安全的请求时,返回扫描结果;并且在接收到查询文件样本是否安全的请求时,在日志中记录接收到的请求。接收的请求中包括文件样本的MD5值。
扫描调度装置300根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
扫描调度装置300从活跃文件样本中提取危险文件样本,根据该危险文件样本的MD5值读取信息库中信息,确定报告提取的危险文件样本为病毒文件的鉴定器,根据确定的鉴定器得出提取的危险文件样本的误报率,从提取的危险文件样本中选取所得出的误报率大于预设的误报率阀值的危险文件样本,以该选取的危险文件样本为待扫描的危险文件样本。
扫描调度装置300对于每个待扫描的危险文件样本,从确定的报告危险文件样本为病毒文件的鉴定器中,根据鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
样本扫描装置400从样本存储装置100获取待扫描的危险文件样本,对于每个待扫描的危险文件样本,使用扫描调度装置300确定的鉴定器重新扫描该危险文件样本,如果各个鉴定器的扫描结果都为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
以上对于本发明的文件扫描***进行了说明,该***能够保证弥补漏报和修正误报的同时,减少了扫描的工作量,由此解决了在扫描时需要将文件样本全部扫描,导致消耗资源量大的问题,取得了节约进行扫描的设备的资源,加快扫描效率,提供扫描速度的有益效果。
参见图2,示出了根据本发明一个实施例的文件样本的扫描方法。
步骤S210,对于文件样本中的灰文件样本,根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本。
具体地,在步骤S210中,根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。举例而言,根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率为计算该灰文件样本的漏报率的参量。
例如,对病毒文件的大小、路径、和/或行为进行统计,依据统计结果得出文件样本可能为病毒文件的概率。
根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率。
通常病毒文件为了传播,所以病毒文件比较小。对病毒文件进行统计,例如使用hadoop(一种分布式计算平台)进行统计,得出文件大小与报病毒率的一条关系曲线,依据曲线得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本大小得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。例如,漏报率阀值为0.001%,文件大小在10M以上的文件样本报病毒率为0.001%,则选择小于10M的灰文件样本为待扫描的灰文件样本。
根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率。
通过对病毒文件的路径的离线统计,例如使用hadoop(一种分布式计算平台)进行统计,可以得出文件路径与报病毒率的一条关系曲线,依据曲线得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本路径得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。
根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
危险操作行为列表中可以包括下列操作行为中的一种或多种:
写入注册表进行自动加载;
修改注册表;
修改***文件;
修改指定的应用文件;
执行进程间注入;
结束进程;
修改浏览器中网页内容;以及
记录键盘操作。
根据灰文件样本触发的危险操作行为数量,计算出该灰文件样本可能为病毒文件的概率。触发的危险操作行为越多,灰文件样本可能为病毒文件的概率越高。例如,获得灰文件样本触发危险操作行为的数量,将该数量除以危险操作行为列表中危险操作行为的总量,得出灰文件样本可能为病毒文件的概率。
如果仅以依据灰文件样本触发的危险操作行为数量得出的概率为计算漏报率的参量,则以该概率为漏报率,选择漏报率大于预设的漏报率阀值的灰文件样本为待扫描的灰文件样本。
如果以上述得出的多个概率为计算漏报率的参量,则可以对应每个参量设置权重值,将参量加权求和得出灰文件样本的漏报率。
步骤S220,根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。
其中,鉴定器可以为用于检测文件样本安全性的杀毒应用,例如bitdefender(比特梵德,来自罗马尼亚的一种杀毒应用),以及QVM(奇虎支持向量机)提供的杀毒应用以及云杀毒引擎等。灰文件样本为安全性未知的文件样本。
具体地,在选择鉴定器时,可以根据各个鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。
对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描灰文件样本的鉴定器。其中,扫描的次数越多则扫描间隔越长。例如,采用公式T=(logN)×1.5+1计算扫描间隔。N为某个鉴定器扫描某个灰文件样本的扫描的次数,T为该灰文件样本对应于该鉴定器的扫描间隔。
其中,在选择鉴定器时,也可以根据各个鉴定器的更新记录选取用于扫描灰文件样本的鉴定器。具体地,根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
也可以,根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。例如,先选取在上次扫描后进行过更新的鉴定器,然后从该选取的鉴定器中再按扫描间隔选取鉴定器。
步骤S230,使用所选取的鉴定器扫描待扫描的灰文件样本,并存储扫描结果,以在接收到查询文件样本是否安全的请求时,返回扫描结果。
本实施例在保证弥补漏报的同时,减少了扫描的工作量,由此解决了在扫描时需要将文件样本全部扫描,导致消耗资源量大的问题,取得了节约进行扫描的设备的资源,加快扫描速度,提供扫描效率的有益效果。
在一较佳的实施例中,如图3所示,为根据本发明一个实施例的依据漏报率选取灰文件样本的流程图,所述步骤S210包括如下步骤。
步骤S2102,提取灰文件样本。
步骤S2104,判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则执行步骤S2106,如果否,则执行步骤S2108。
步骤S2106,检测出该灰文件样本的漏报率为0,执行步骤S2110。
步骤S2108,根据灰文件样本的属性得出灰文件样本的漏报率,执行步骤S2110。
步骤S2110,判断灰文件样本是否提取完,如果是,执行步骤S2112,否则,执行步骤S2102。
步骤S2112,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。
因为,灰文件样本的发现时间越早,则其被漏报的可能性越小。当首次发现时间早于预设时间阀值时,则不再对该灰文件样本进行扫描,由此,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
在本发明的另一个实施例中,对文件样本中的危险文件样本进行扫描。危险文件样本为被鉴定器报告为病毒文件的文件样本。对于危险文件样本使用将其报告为病毒文件的鉴定器对该危险文件样本进行扫描,如果扫描后,该些鉴定器都确定该危险文件样本不为病毒文件,则对该危险文件样本进行去误报操作。本实施例的具体技术方案如下所述。
参见图4,示出了根据本发明一个实施例的文件样本的扫描方法中对危险文件样本进行扫描的流程,包括如下步骤。
步骤S410,对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器。
步骤S420,使用报告危险文件样本为病毒文件的鉴定器重新扫描获取的危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
其中,去误报操作可以为删除该文件样本为病毒文件的记录,也可以为将该文件样本的记录由危险文件样本更新为灰文件样本或白文件样本。白文件样本为确定无危险的文件样本。
通过本实施例,对于危险文件样本,仅使用将其报告为病毒文件的鉴定器对该危险文件样本进行扫描,由此,在保证修正误报的同时,能够减少扫描操作,提高扫描效率。
进一步地,计算危险文件样本的误报率,根据误报率选择进行扫描的危险文件样本。由此进一步减少了被扫描的危险文件样本。
在步骤S410后包括:根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系,根据误报率从存储的危险文件样本中选取待扫描的危险文件样本。其中,所确定的鉴定器的数量越多,该危险文件样本的误报率越低。
例如,对于将危险文件样本报告为病毒文件的鉴定器,可以对各个鉴定器设置对应该危险文件的准确率,将准确率相加得和值,用1减去和值得出危险文件样本的误报率,选取误报率大于预设的误报率阀值的危险文件样本作为待扫描的危险文件样本。
在设置对应该危险文件的准确率时,如果是分析人员设置为病毒文件,则直接设置准确率为1。对于各个鉴定器,依据对该鉴定器的信任度和该鉴定器对危险文件的扫描次数设置准确率,扫描次数越高准确率越高。例如,对杀毒引擎A的信任度较高,则杀毒引擎A扫描次数大于扫描阀值后,确定杀毒引擎A对应该危险文件的准确率为1。
由此,根据误报率对危险文件样本进行选取,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
进一步地,步骤S410后还包括对于确定的报告危险文件样本为病毒文件的鉴定器,根据鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
其中,在将危险文件样本确定为病毒文件的鉴定器中,可以根据各个鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
对于每个确定的鉴定器、每个待扫描的危险文件样本,根据该鉴定器扫描该危险文件样本的次数,计算该危险文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描危险文件样本的鉴定器。其中,扫描的次数越多则扫描间隔越长。例如,采用公式T=(logN)×1.5+1计算扫描间隔。N为某个鉴定器扫描某个危险文件样本的扫描的次数,T为该危险文件样本对应于该鉴定器的扫描间隔。
其中,在将危险文件样本确定为病毒文件的鉴定器中,可以根据各个鉴定器的更新记录选取用于扫描危险文件样本的鉴定器。例如,根据更新记录从鉴定器中选取在上次扫描后进行过更新的鉴定器。
也可以,根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描危险文件样本的鉴定器。例如,在将危险文件样本确定为病毒文件的鉴定器中,先选取在上次扫描后进行过更新的鉴定器,然后从该选取的鉴定器中再按扫描间隔选取鉴定器。
由此,根据鉴定器的更新记录和/或鉴定器的扫描记录对于鉴定器进行选取,进一步减少了不必要的扫描操作,节约了扫描文件样本所用资源,提高了扫描效率。
在本发明的另一个实施例中,统计文件样本的查询的热度,从热度高的活跃文件样本中选取文件样本,进一步减少进行扫描的文件样本数量,提高了扫描效率。
所方法还包括:
在接收查询文件样本是否安全的请求时,在日志中记录接收到的请求。
根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。活跃文件样本,为热度较高,被查询的频率大于预设门限值的文件样本。
由此,在扫描灰文件样本时,所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括:从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率。所述根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本具体包括:从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
在扫描危险文件样本时,所述确定报告危险文件样本为病毒文件的鉴定器具体包括:从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器。所述根据误报率从存储的危险文件样本中选取待扫描的危险文件样本具体包括:从提取的危险文件样本中选取误报率大于预设误报率阀值的危险文件样本,以选取的误文件样本为待扫描的危险文件样本。
以下结合一具体实例,对灰文件样本的扫描进行说明。
在该具体实例中,以文件样本的MD5(消息摘要算法第五版)值为文件样本的标识。此外,也可以以md5+sha1的40字节长度的字符串作为文件样本的唯一标识,以避免仅以md5为标识,造成的标识冲突,即对两个不同的文件样本算出的md5值相同时,该两个文件样本的标识冲突。在文件样本信息库中,存储有各个文件样本的属性信息和其他相关信息,例如,对于每个文件样本,存储有文件样本的大小、路径、操作行为、以及文件样本是否为黑或灰文件样本,报告其为病毒文件的鉴定器等。
参见图5,示出了根据本发明一个实施例的文件样本的扫描方法中对灰文件样本进行扫描的流程图。
步骤S510,接收查询文件样本是否安全的请求,返回存储的请求中文件样本的扫描结果,在日志中记录接收到的请求。
具体地,接收的请求中包括文件样本的MD5值,根据MD5值查找扫描结果,并按MD5值记录请求。
步骤S520,根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
步骤S530,从活跃文件样本中提取灰文件样本,根据该灰文件样本的MD5值从文件样本信息库中获得该灰文件样本的属性,根据获得的属性得出该灰文件样本的漏报率,从提取的灰文件样本中选择所得出的漏报率大于预设漏报率阀值的灰文件样本。
步骤S540,根据各个鉴定器的更新记录和鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器。
步骤S550,使用选取的鉴定器扫描获取的灰文件样本,并存储扫描结果。
以下结合一具体实例,对危险文件样本的扫描进行说明。
参见图6,示出了根据本发明一个实施例的文件样本的扫描方法中对危险文件样本进行扫描的流程图。
步骤S610,接收查询文件样本是否安全的请求,返回存储的请求中文件样本的扫描结果,在日志中记录接收到的请求。
具体地,接收的请求中包括文件样本的MD5值,根据MD5值查找扫描结果,并按MD5值记录请求。
步骤S620,根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
步骤S630,从活跃文件样本中提取危险文件样本,根据该危险文件样本的MD5值读取信息库中信息,确定报告提取的危险文件样本为病毒文件的鉴定器。
步骤S640,根据确定的鉴定器得出提取的危险文件样本的误报率,从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本作为待扫描的危险文件样本。
步骤S650,对于每个待扫描的危险文件样本,从确定的报告该危险文件样本为病毒文件的鉴定器中,根据鉴定器的更新记录和鉴定器的扫描记录选取用于扫描该危险文件样本的鉴定器。
步骤S660,对于每个待扫描的危险文件样本,使用选取的鉴定器重新扫描该危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报的文件样本,对该危险文件样本进行去误报操作。
以上对于本发明的文件扫描方法进行了说明,该方法能够保证弥补漏报和修正误报的同时,减少了扫描的工作量,由此解决了在扫描时需要将文件样本全部扫描,导致消耗资源量大的问题,取得了节约进行扫描的设备的资源,加快扫描效率,提供扫描速度的有益效果。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文件样本的扫描***中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (20)
1.一种文件样本的扫描方法,所述方法包括:
对于文件样本中的灰文件样本,根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本;
根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;
使用所选取的鉴定器扫描待扫描的灰文件样本,并存储扫描结果,以在接收到查询文件样本是否安全的请求时,返回扫描结果;
所述灰文件样本为安全性未知的文件样本;
其中,所述根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本具体包括:
根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本;
所述根据灰文件样本的属性得出灰文件样本的漏报率前还包括:
判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则检测出该灰文件样本的漏报率为0,如果否,则进行所述根据灰文件样本的属性得出灰文件样本的漏报率的操作。
2.根据权利要求1所述的方法,其中,
所述方法还包括:
对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器,所述危险文件样本为被鉴定器报告为病毒文件的文件样本;
使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
3.根据权利要求2所述的方法,其中,
所述确定报告危险文件样本为病毒文件的鉴定器后还包括:
根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系;
根据误报率从存储的危险文件样本中选取待扫描的危险文件样本;
所述使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本具体包括:
对于每个待扫描的危险文件样本,使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。
4.根据权利要求1至3任一项所述的方法,其中,
所述方法还包括:
在接收到查询文件样本是否安全的请求时,在日志中记录接收到的请求;
根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
5.根据权利要求4所述的方法,其中,
所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括:
从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率;
所述根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本具体包括:
从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
6.根据权利要求4所述的方法,其中,
所述确定报告危险文件样本为病毒文件的鉴定器具体包括:
从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器;
所述根据误报率从存储的危险文件样本中选取待扫描的危险文件样本具体包括:
从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本,以选取的危险文件样本为待扫描的危险文件样本。
7.根据权利要求1所述的方法,其中,
所述根据灰文件样本的属性得出灰文件样本的漏报率具体包括:
根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率作为计算该灰文件样本的漏报率的参量。
8.根据权利要求7所述的方法,其中,
所述根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率具体包括:
根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
9.根据权利要求1所述的方法,其中,
所述根据各个鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器具体包括:
对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔;
根据扫描间隔选取用于扫描灰文件样本的鉴定器。
10.根据权利要求1所述的方法,其中,
所述根据各个鉴定器的更新记录选取用于扫描灰文件样本的鉴定器具体包括:
根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
11.一种文件样本的扫描***,所述***包括:样本存储装置、查杀引擎、扫描调度装置和包含多个鉴定器的样本扫描装置;
所述样本存储装置,适于存储文件样本;
所述扫描调度装置,适于对于文件样本中的灰文件样本,根据预设的策略从所述样本存储装置存储的灰文件样本中选取待扫描的灰文件样本,并根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器;
所述样本扫描装置,适于从所述样本存储装置获取待扫描的灰文件样本,使用所述扫描调度装置选取的鉴定器扫描获取的待扫描的灰文件样本,并将扫描结果存储到查杀引擎;
所述查杀引擎,适于存储样本文件的扫描结果,并在接收到查询文件样本是否安全的请求时,返回扫描结果;
所述灰文件样本为安全性未知的文件样本;
其中,所述扫描调度装置,具体适于根据灰文件样本的属性得出灰文件样本的漏报率,根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本;
所述扫描调度装置,还适于在根据灰文件样本的属性得出灰文件样本的漏报率前,判断灰文件样本的首次发现时间是否早于预设时间阀值,如果是,则检测出该灰文件样本的漏报率为0,如果否,则进行所述根据灰文件样本的属性得出灰文件样本的漏报率的操作。
12.根据权利要求11所述的***,其中,
所述扫描调度装置,还适于对于文件样本中的危险文件样本,确定报告危险文件样本为病毒文件的鉴定器,所述危险文件样本为被鉴定器报告为病毒文件的文件样本;
所述样本扫描装置,还适于从所述样本存储装置获取危险文件样本,使用所述扫描调度装置确定的鉴定器重新扫描获取的危险文件样本,如果扫描结果为该危险文件样本不再为病毒文件,则确定该危险文件样本为被误报为病毒文件的文件样本,对该危险文件样本进行去误报操作。
13.根据权利要求12所述的***,其中,
所述扫描调度装置,还适于在确定报告危险文件样本为病毒文件的鉴定器后,根据确定的鉴定器得出危险文件样本的误报率,建立鉴定器数量和误报率的对应关系,根据误报率从所述样本存储装置存储的危险文件样本中选取待扫描的危险文件样本;
所述样本扫描装置,具体适于对于每个待扫描的危险文件样本,使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。
14.根据权利要求11至13任一项所述的***,其中,
所述查杀引擎,还适于在接收到查询文件样本是否安全的请求时,在日志中记录接收到的请求;
所述扫描调度装置,还适于根据日志中的记录,提取在预设时间内查询次数大于预设热度阀值的文件样本,提取的文件样本为活跃文件样本。
15.根据权利要求14所述的***,其中,
所述扫描调度装置,具体适于从活跃文件样本中提取灰文件样本,根据提取的灰文件样本的属性得出该灰文件样本的漏报率,根据所得出的漏报率从提取的灰文件样本中选取漏报率大于预设漏报率阀值的灰文件样本,以选取的灰文件样本为待扫描的灰文件样本。
16.根据权利要求14所述的***,其中,
所述扫描调度装置,具体适于从活跃文件样本中提取危险文件样本,确定报告提取的危险文件样本为病毒文件的鉴定器,根据确定的鉴定器得出提取的危险文件样本的误报率,根据误报率从提取的危险文件样本中选取误报率大于预设的误报率阀值的危险文件样本,以选取的危险文件样本为待扫描的危险文件样本。
17.根据权利要求11所述的***,其中,
所述扫描调度装置,具体适于根据对病毒文件的特征进行统计而得出的统计结果,以及灰文件样本的属性,计算出该灰文件样本可能为病毒文件的概率,以该概率为计算该灰文件样本的漏报率的参量。
18.根据权利要求17所述的***,其中,
所述扫描调度装置,具体适于根据对病毒文件的大小进行统计而得出的统计结果,以及灰文件样本的大小,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的路径进行统计而得出的统计结果,以及灰文件样本的路径,计算出该灰文件样本可能为病毒文件的概率;
和/或,
根据对病毒文件的操作行为进行统计而得出的危险操作行为列表,以及灰文件样本的操作行为,计算出该灰文件样本可能为病毒文件的概率。
19.根据权利要求11所述的***,其中,
所述扫描调度装置,具体适于对于每个鉴定器、每个待扫描的灰文件样本,根据该鉴定器扫描该灰文件样本的次数,计算该灰文件样本对应于该鉴定器的扫描间隔,根据扫描间隔选取用于扫描灰文件样本的鉴定器。
20.根据权利要求11所述的***,其中,
所述扫描调度装置,具体适于根据更新记录从各个鉴定器中选取在上次扫描后进行过更新的鉴定器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310071272.6A CN103136477B (zh) | 2013-03-06 | 2013-03-06 | 文件样本的扫描方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310071272.6A CN103136477B (zh) | 2013-03-06 | 2013-03-06 | 文件样本的扫描方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103136477A CN103136477A (zh) | 2013-06-05 |
| CN103136477B true CN103136477B (zh) | 2015-09-02 |
Family
ID=48496294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310071272.6A Active CN103136477B (zh) | 2013-03-06 | 2013-03-06 | 文件样本的扫描方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103136477B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103729593B (zh) * | 2013-12-31 | 2017-04-12 | 安一恒通(北京)科技有限公司 | 一种文件安全性的识别方法和*** |
| CN105095752B (zh) * | 2014-05-07 | 2019-01-08 | 腾讯科技(深圳)有限公司 | 病毒数据包的识别方法、装置及*** |
| CN104751058B (zh) * | 2015-03-16 | 2018-08-31 | 联想(北京)有限公司 | 一种文件扫描方法及电子设备 |
| CN105938533B (zh) * | 2016-03-03 | 2019-01-22 | 杭州迪普科技股份有限公司 | 一种***漏洞的扫描方法和扫描装置 |
| CN108334777B (zh) * | 2017-04-17 | 2020-04-24 | 北京安天网络安全技术有限公司 | 一种基于用户视角的样本分析方法及*** |
| CN108920956B (zh) * | 2018-07-03 | 2021-05-14 | 亚信科技(成都)有限公司 | 基于情景感知的机器学习方法及*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和*** |
| US7823205B1 (en) * | 2006-06-29 | 2010-10-26 | Symantec Corporation | Conserving computing resources while providing security |
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN102594809A (zh) * | 2012-02-07 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和*** |
| CN102609653A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和*** |
| CN102867148A (zh) * | 2011-07-08 | 2013-01-09 | 北京金山安全软件有限公司 | 一种电子设备的安全防护方法及装置 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7043757B2 (en) * | 2001-05-22 | 2006-05-09 | Mci, Llc | System and method for malicious code detection |
| US20060026687A1 (en) * | 2004-07-31 | 2006-02-02 | Cyrus Peikari | Protecting embedded devices with integrated permission control |
| US8832828B2 (en) * | 2009-03-26 | 2014-09-09 | Sophos Limited | Dynamic scanning based on compliance metadata |
-
2013
- 2013-03-06 CN CN201310071272.6A patent/CN103136477B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7823205B1 (en) * | 2006-06-29 | 2010-10-26 | Symantec Corporation | Conserving computing resources while providing security |
| CN101685486A (zh) * | 2008-09-23 | 2010-03-31 | 联想(北京)有限公司 | 多杀毒引擎的杀毒方法和*** |
| CN102867148A (zh) * | 2011-07-08 | 2013-01-09 | 北京金山安全软件有限公司 | 一种电子设备的安全防护方法及装置 |
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN102594809A (zh) * | 2012-02-07 | 2012-07-18 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和*** |
| CN102609653A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和*** |
Non-Patent Citations (2)
| Title |
|---|
| "云安全"检测技术安全性分析;许蓉等;《计算机工程与设计》;20120930;全文 * |
| 参观金山公司见闻及感想总结;wd19880427;《爱毒霸社区》;20100426;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103136477A (zh) | 2013-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103136477B (zh) | 文件样本的扫描方法和*** | |
| US10885190B2 (en) | Identifying web pages in malware distribution networks | |
| Jain et al. | Towards detection of phishing websites on client-side using machine learning based approach | |
| US9614862B2 (en) | System and method for webpage analysis | |
| Jain et al. | Two-level authentication approach to protect from phishing attacks in real time | |
| US8943588B1 (en) | Detecting unauthorized websites | |
| CN102254111B (zh) | 恶意网站检测方法及装置 | |
| US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| CN102982284A (zh) | 用于恶意程序查杀的扫描设备、云端管理设备及方法和*** | |
| CN103077353A (zh) | 主动防御恶意程序的方法和装置 | |
| US20090287641A1 (en) | Method and system for crawling the world wide web | |
| CN104025107A (zh) | 模糊列入白名单反恶意软件***及方法 | |
| CN103617395A (zh) | 一种基于云安全拦截广告程序的方法、装置和*** | |
| CN103207970A (zh) | 病毒文件扫描方法及装置 | |
| CN102833258A (zh) | 网址访问方法及*** | |
| CN103685308A (zh) | 一种钓鱼网页的检测方法及***、客户端、服务器 | |
| CN102982121A (zh) | 一种文件扫描方法、文件扫描装置及文件检测*** | |
| CN103491543A (zh) | 通过无线终端检测恶意网址的方法、无线终端 | |
| CN103390130A (zh) | 基于云安全的恶意程序查杀的方法、装置和服务器 | |
| CN103034808A (zh) | 扫描方法、设备和***以及云端管理方法和设备 | |
| CN104168293A (zh) | 结合本地内容规则库识别可疑钓鱼网页的方法及*** | |
| US20200336498A1 (en) | Method and apparatus for detecting hidden link in website | |
| CN103279707A (zh) | 一种用于主动防御恶意程序的方法、设备及*** | |
| EP3745292A1 (en) | Hidden link detection method and apparatus for website | |
| CN102982281A (zh) | 程序状况检测方法和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220720 Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015 Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park) Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Patentee before: Qizhi software (Beijing) Co.,Ltd. |