專利名稱::文件類型的確定方法和裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,并且特別地����,涉及一種文件類型的確定方法和裝置。
背景技術(shù):
:近年來(lái)��,全球范圍內(nèi)的惡意程序數(shù)量呈幾何級(jí)增長(zhǎng)�,基于這種爆發(fā)式的增速�,用于查殺惡意程序的特征庫(kù)的生成與更新往往是存在滯后性��,也就是說(shuō),特征庫(kù)中惡意程序的特征碼的補(bǔ)充無(wú)法跟上層出不窮的未知惡意程序。隨著惡意程序制作者對(duì)免殺技術(shù)的應(yīng)用��,通過(guò)對(duì)惡意程序加殼或修改該惡意程序的特征碼的手法已經(jīng)出現(xiàn)��;另外�����,目前的許多木馬程序采用了更多以及更頻繁快速的自動(dòng)變形��。因此�,上述對(duì)惡意程序的處理,都會(huì)導(dǎo)致通過(guò)惡意行為和/或惡意特征對(duì)惡意程序進(jìn)行判定的難度越來(lái)越大���,從而增大對(duì)惡意程序進(jìn)行查殺或清理的難度�。可移植的執(zhí)行體(PortableExecute����,簡(jiǎn)稱為PE)文件是一種常見(jiàn)的文件�,例如��,EXE�、DLL����、OCX�、SYS、COM都是PE文件����,PE文件是微軟Windows操作系統(tǒng)上的程序文件(可能是間接被執(zhí)行的�����,如DLL)對(duì)于傳統(tǒng)殺毒軟件��,在對(duì)文件進(jìn)行掃描時(shí)�,其僅僅提取病毒特征����,無(wú)法提正常文件的屬性特征,并且�����,傳統(tǒng)殺毒軟件的提特征方式比較被動(dòng),發(fā)現(xiàn)一個(gè)特征提取一個(gè)特征����,而且提取的特征不一定是最流行的特征。并且�,由于提取的特征是特定惡意程序的特定特征��,因此���,傳統(tǒng)的提取可執(zhí)行文件的特征方式中��,一個(gè)特征只能解決小范圍內(nèi)的一類樣本�����,具有滯后性和片面性,從而導(dǎo)致確定文件類型的處理準(zhǔn)確度差��、效率低�����。針對(duì)相關(guān)技術(shù)中確定文件類型時(shí)處理準(zhǔn)確度差��、效率低的問(wèn)題���,目前尚未提出有效的解決方案����。
發(fā)明內(nèi)容針對(duì)相關(guān)技術(shù)中確定文件類型時(shí)處理準(zhǔn)確度差、效率低的問(wèn)題����,本發(fā)明提出一種文件類型的確定方法和裝置����,能夠根據(jù)待確定文件的屬性特征確定文件的類型����。本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的根據(jù)本發(fā)明的一個(gè)方面��,提供了一種文件類型的確定方法�,該方法包括提取待確定的文件的屬性特征信息;將提取的屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較��;將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型�����。其中,該方法進(jìn)一步包括對(duì)預(yù)先給定的多個(gè)文件的共有屬性特征進(jìn)行提取���,將提取的共有屬性特征的屬性特征信息作為預(yù)先給定的文件的類型所對(duì)應(yīng)的屬性特征信息并存儲(chǔ)至規(guī)則集中�����。并且,對(duì)預(yù)先給定的文件的共有屬性特征進(jìn)行提取包括對(duì)預(yù)先給定的多個(gè)文件�����,提取用戶指定的屬性特征���,并根據(jù)提取的屬性特征確定該多個(gè)文件的類型。在確定預(yù)先給定的多個(gè)文件是否屬于惡意文件類型時(shí)���,根據(jù)情況參照一條提取的屬性特征或多條屬性特征的組合進(jìn)行判斷�,該提取的屬性特征包括以下至少之一導(dǎo)入導(dǎo)出表和/或代碼段循環(huán)冗余校驗(yàn)碼CRC;在確定待確定的多個(gè)文件是否屬于普通文件類型時(shí)����,提取的屬性特征至少包括代碼段CRC。此外,規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征包括以下至少之一文件結(jié)構(gòu)�����、編譯器信息�、版本信息��、數(shù)字簽名�����、程序入口點(diǎn)值�、代碼段CRC�、導(dǎo)入導(dǎo)出表CRC,SectionCRC、附加數(shù)據(jù)偏移��、Tls值����、圖標(biāo)、作者開(kāi)發(fā)環(huán)境�����、制作CRC規(guī)則步驟及描述��。優(yōu)選地���,待確定的文件為可移植的執(zhí)行體文件���。優(yōu)選地����,待確定的文件為具有相同屬性特征信息的一類文件�����。根據(jù)本發(fā)明的另一個(gè)方面��,提供了一種文件類型的確定裝置���,該裝置包括提取模塊�,用于提取待確定的文件的屬性特征信息���;比較模塊���,用于將提取的屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較�;確定模塊����,用于將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型。并且����,規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征包括以下至少之一文件結(jié)構(gòu)��、編譯器信息、版本信息����、數(shù)字簽名、代碼段CRC��、導(dǎo)入導(dǎo)出表CRC、SectionCRC��、附加數(shù)據(jù)偏移�����、Tls值�、圖標(biāo)����、作者開(kāi)發(fā)環(huán)境�、制作CRC規(guī)則步驟及描述����。此外,可選地,待確定的文件為可移植的執(zhí)行體文件��。本發(fā)明通過(guò)提取待確定的文件的屬性特征信息����,將其與預(yù)先保存有每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息的規(guī)則集進(jìn)行比較����,根據(jù)屬性特征信息確定文件的類型,由于屬性特征信息是文件本身的屬性��,并非是文件的特定特征,因此��,通過(guò)屬性特征信息進(jìn)行文件類型的判斷并不需要借助最新的特征庫(kù),能夠避免惡意文件確定時(shí)的滯后性和不準(zhǔn)確性�����,并且文件的屬性特征的提取和比對(duì)較為容易��,因此����,能夠提高文件類型確定的效率�����,另外���,不僅能夠用于判斷惡意文件�,對(duì)于普通文件,同樣能夠采用本發(fā)明的方案來(lái)確定文件類型�。為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖��。圖I是根據(jù)本發(fā)明實(shí)施例的文件類型的確定方法的流程圖�;圖2是根據(jù)本發(fā)明實(shí)施例的文件類型的確定裝置的框圖���。具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述���,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����?����;诒景l(fā)明中的實(shí)施例��,本領(lǐng)域普通技術(shù)人員所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍��。根據(jù)本發(fā)明的實(shí)施例����,提供了一種文件類型的確定方法��。如圖I所示���,根據(jù)本發(fā)明實(shí)施例的文件類型的確定方法包括步驟SlOl�,提取待確定的文件的屬性特征信息�����;步驟S103,將提取的屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較;步驟S105��,將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型���。其中��,該方法進(jìn)一步包括預(yù)先確定規(guī)則集的步驟�。規(guī)則集中可以保存多個(gè)樣本,樣本來(lái)源是通過(guò)軟件的云計(jì)劃任務(wù)上傳的文件和人工收集及網(wǎng)絡(luò)上下載的文件���,還有通過(guò)監(jiān)控到某臺(tái)計(jì)算機(jī)上有需要更新的軟件��,這樣就可以去下載該軟件的升級(jí)包���,本發(fā)明實(shí)施例對(duì)如何獲得文件并沒(méi)有限制。只要能夠獲取到文件,即可應(yīng)用本發(fā)明實(shí)施例的技術(shù)方案。程序有專門提取模塊自動(dòng)提取每個(gè)待確定文件的所有屬性特征��。收集到一個(gè)新樣本后�����,會(huì)和已有的特征庫(kù)進(jìn)行匹配比較��,如果匹配成功則自動(dòng)置相應(yīng)級(jí)別。如果未匹配會(huì)通過(guò)提取模塊自動(dòng)提取文件的程序入口點(diǎn)等幾十處PE結(jié)構(gòu)里的信息以及編譯器信息����、版本信息、數(shù)字簽名���、包括代碼段在內(nèi)的各個(gè)節(jié)CRC�、導(dǎo)入導(dǎo)出表CRC、SectionCRC�、附加數(shù)據(jù)偏移、Tls值����、圖標(biāo)CRC、作者開(kāi)發(fā)環(huán)境等多種信息���。在制作規(guī)則集時(shí)�����,可以對(duì)預(yù)先給定的多個(gè)文件的共有屬性特征進(jìn)行提取�,將提取的共有屬性的屬性特征信息作為預(yù)先給定的文件的類型所對(duì)應(yīng)的屬性特征信息并存儲(chǔ)至規(guī)則集中,由此得到的規(guī)則集可以用于步驟S103和步驟S105的判斷����。在上述過(guò)程中�,這多個(gè)文件是通過(guò)自動(dòng)化程序根據(jù)某一共同特征歸為一類的文件,這時(shí)分析人員會(huì)根據(jù)經(jīng)驗(yàn)選擇性的找出這一類文件的共同特征,可以是一條也可以是多條共同特征�����。找到一條或多條共同特征后會(huì)在頁(yè)面選擇已找到的共同特征��,并在后臺(tái)匹配提取特征的所有樣本����,如果匹配出的結(jié)果是這多個(gè)文件的大部分都被命中則認(rèn)為是一類�,并根據(jù)分析經(jīng)驗(yàn)在頁(yè)面選擇相應(yīng)級(jí)別�。因此���,本申請(qǐng)所采用的規(guī)則集中實(shí)際上保存了文件類型與一種屬性特征/多種屬性特征的組合之間的對(duì)應(yīng)關(guān)系(對(duì)于屬性特征����,在規(guī)則集中以屬性特征信息的形式進(jìn)行保存)��。一旦對(duì)待確定的文件提取的屬性特征信息命中了規(guī)則集中一種文件類型對(duì)應(yīng)的屬性特征信息或多個(gè)屬性特征信息的組合,則確定該文件屬于這種屬性特征信息或?qū)傩蕴卣餍畔⒌慕M合所對(duì)應(yīng)的類型����。并且,在預(yù)先確定規(guī)則集時(shí)��,對(duì)預(yù)先給定的多個(gè)文件��,可以提取用戶指定的屬性特征����,并根據(jù)提取的屬性特征確定該多個(gè)文件的類型。而且��,在確定待確定的多個(gè)文件是否屬于惡意文件類型時(shí)��,提取的屬性特征可以根據(jù)實(shí)際情況而定��,即,可以提取一條屬性特征進(jìn)行判斷��,也可以提取多條屬性特征進(jìn)行判斷��,類似地,在確定待確定的多個(gè)文件是否屬于普通文件類型時(shí)����,同樣可以根據(jù)實(shí)際情況,提取一條或多條屬性特征進(jìn)行判斷�?���?蛇x地���,在判斷一個(gè)文件是否為惡意文件時(shí)����,提取的屬性特征至少可以包括導(dǎo)入導(dǎo)出表循環(huán)冗余碼校驗(yàn)(CyclicalRedundancyCheck,簡(jiǎn)稱為CRC)(病毒的CRC值存在較大類似甚至相同);注冊(cè)表開(kāi)發(fā)環(huán)境���。可選地�,在確定待確定的多個(gè)文件是否屬于普通文件類型時(shí)�����,提取的屬性特征至少包括代碼段CRC(可信任的文件的代碼段是應(yīng)當(dāng)完整的���,如果被修改���,就說(shuō)明存在風(fēng)險(xiǎn))�。此外�����,規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征包括以下至少之一文件結(jié)構(gòu)��、編譯器信息�����、版本信息、數(shù)字簽名��、程序入口點(diǎn)值�、代碼段CRC、導(dǎo)入導(dǎo)出表CRC,SectionCRC���、附加數(shù)據(jù)偏移、Tls值�����、圖標(biāo)�、作者開(kāi)發(fā)環(huán)境�����、制作CRC規(guī)則步驟及描述�。本申請(qǐng)考慮到相同作者�����、相同開(kāi)發(fā)環(huán)境、相同/相似CRC等的文件往往具有相同的類型����,因此,將已確定類型的文件的屬性特征(可以是上述屬性特征中的一個(gè)或多個(gè)屬性特征的組合)與未知文件的屬性特征進(jìn)行比對(duì)���,如果未知文件的屬性特征與已確定類型的文件進(jìn)行比對(duì)的屬性特征相同或相符,就能夠確定出未知文件的類型����。優(yōu)選地���,待確定的文件為可移植的執(zhí)行體文件。優(yōu)選地�,待確定的文件為具有相同屬性特征信息的一類文件�����。通常情況下�����,由于同一個(gè)廠商制作的一類樣本���、同一種工具釋放生成的文件����、或者同一個(gè)作者制作的程序(這里的樣本��、文件���、程序包括木馬等�、普通文件等多種類型的文件)很大程度上都有相同的屬性特性��。如果以上文件在屬性特征上有共同特點(diǎn)會(huì)出現(xiàn)在屬性特征的TOP排序列表中,比如代碼段一樣就會(huì)出現(xiàn)在代碼段TOP列表中����,圖標(biāo)CRC—樣會(huì)出現(xiàn)在圖標(biāo)CRC的TOP列表中,導(dǎo)入表CRC—樣會(huì)出現(xiàn)在導(dǎo)入表CRC的TOP列表中等等���。當(dāng)然這些TOP排序列表可根據(jù)用戶數(shù)量和信任次數(shù)來(lái)排序���。也就是說(shuō)如果沒(méi)有共同的屬性特征就不會(huì)出現(xiàn)在TOP列表中�����。在做實(shí)際業(yè)務(wù)時(shí)分析人員點(diǎn)擊TOP列表中的某一項(xiàng)�,就會(huì)列出符合該屬性特征的所有文件���,分析人員通過(guò)經(jīng)驗(yàn)尋找這類樣本的其他公共特征��,選擇性的挑選公共特征后繼續(xù)由分析人員來(lái)判斷是惡意還是正?����;蚴菦](méi)有意義的樣本�。也就是說(shuō)程序會(huì)根據(jù)某類特征準(zhǔn)確分類,分析人員來(lái)判斷符合這些共同特征的一類樣本的黑白(例如��,判斷一類文件是否是惡意文件或可信任的文件)�。因此,從這一類樣本文件中提取PE結(jié)構(gòu)�、編譯器�����、版本�����、數(shù)字簽名等共同特性��,綜合以上共性制作特定規(guī)則(即�,對(duì)應(yīng)于上述的規(guī)則集),以便批量判斷一類文件樣本是否為惡意程序(即����,判斷文件樣本是否為惡意程序,黑文件樣本即為惡意程序)��。對(duì)于新的需要進(jìn)行文件類型確定的文件,如果該文件符合上述制作的規(guī)則��,不需要人工干預(yù)即可自動(dòng)識(shí)別文件的是否是惡意文件或可信任的文件����。在實(shí)際應(yīng)用中,文件的屬性可以包括PE結(jié)構(gòu)以及其他綜合信息,其數(shù)量可以超過(guò)60條,其中�,比較重要屬性特征包括程序入口點(diǎn)值、代碼段CRC���、導(dǎo)入導(dǎo)出表CRC�、SectionCRC、附加數(shù)據(jù)偏移�、Tls值、圖標(biāo)制作CRC規(guī)則步驟及描述等��。在首次判斷時(shí)�����,需要人為制作規(guī)則���,S卩�,生成上述規(guī)則集��。例如�����,對(duì)于一批未知類型的樣本,操作人員可以選定一個(gè)或多個(gè)屬性特征���,以便系統(tǒng)根據(jù)所選定的屬性特征對(duì)這些樣本進(jìn)行排序并通過(guò)列表展示排序的結(jié)果�����,而根據(jù)排序的結(jié)果��,操作人員就能夠確定哪些樣本具有相同的屬性特征(提取的屬性特征)�����;之后��,操作人員能夠?qū)Σ糠謽颖具M(jìn)行人工判斷(人工干預(yù))���,確定其類型���,進(jìn)而也就相當(dāng)于確定了具有相同屬性特征的該類所有樣本的類型,從而有效提聞了判斷的效率���。在實(shí)際應(yīng)用中,可以通過(guò)列表的方式將文件的屬性特征顯示出來(lái)�,例如��,在表格中可以包括以下表項(xiàng)=Value列(代碼段CRC),count列(具有對(duì)應(yīng)上述代碼段CRC的樣本數(shù)量)��,weight(信任總次數(shù))��,peinfo(編譯器信息)等���。用戶可以進(jìn)行樣本統(tǒng)計(jì),并開(kāi)始制作規(guī)則�����,此時(shí)����,可以顯示出該代碼段CRC對(duì)應(yīng)的所有MD5及級(jí)別分布。通過(guò)MD5值進(jìn)行匹配時(shí)能大大減少匹配時(shí)間�,保證快速的對(duì)比匹配����,同時(shí)也保證了文件的安全性。其中���,級(jí)別的設(shè)置方法包括多種�����,例如�,級(jí)別可以分布有白文件、黑文件�����、高風(fēng)險(xiǎn)�、以及外掛私服這4種。通過(guò)上述列表的方式,就能夠?qū)⒁慌鷺颖疚募膶傩蕴卣鬟M(jìn)行顯示��,以便操作人員進(jìn)行首次判斷���,即���,制作判斷的規(guī)則�����。例如�����,對(duì)于PE結(jié)構(gòu)��,進(jìn)行提取和用于判斷文件類型的屬性可以包括但不限于以下屬性sections,crc:節(jié)名字符串CRC�����;Modules,crc:導(dǎo)入模塊CRCApis,crc:導(dǎo)入APICRCSymbols,crc:導(dǎo)出表CRCIcon,crc:圖標(biāo)CRCOverlay,offset:附加數(shù)據(jù)偏移Tls.exists:是否存在tls值Tls.crc:通過(guò)tls值算出CRCFile,size:文件大小·text,.data,.rsrc:各個(gè)節(jié)CRCPDB:作者開(kāi)發(fā)環(huán)境InternalName,FileVersion,CompanyName,Productname,ProductVersion,OriginalFIlename:版本信息Peinfo:編譯器信息Sign_corp:數(shù)字簽名操作人員可以根據(jù)經(jīng)驗(yàn)進(jìn)行主觀判斷,勾選規(guī)則中的選項(xiàng)并保存�����,這樣�,之后新出現(xiàn)的樣本只要符合勾選的規(guī)則會(huì)自動(dòng)置相應(yīng)級(jí)別的文件類型(即也可以理解為�����,確定其類型文件的級(jí)別)���。此外�,對(duì)于已有規(guī)則���,還可以設(shè)置搜索頁(yè)面�����,根據(jù)輸入的搜索條件可以搜索已制作過(guò)的所有規(guī)則;另外����,還可以設(shè)置統(tǒng)計(jì)規(guī)則���,以便將某個(gè)時(shí)間段為條件����,搜索該時(shí)間段內(nèi)規(guī)則匹配的新樣本個(gè)數(shù)�。通過(guò)這個(gè)頁(yè)面可以知道某個(gè)時(shí)間段內(nèi)每條已做規(guī)則匹配的樣本個(gè)數(shù),通過(guò)匹配的樣本個(gè)數(shù)可知某個(gè)時(shí)間段內(nèi)流行的樣本是什么���。根據(jù)本發(fā)明的實(shí)施例,提供了一種文件類型的確定裝置�。如圖2所示,跟據(jù)本發(fā)明實(shí)施例的文件類型的確定裝置包括顯示模塊(未示出)����,根據(jù)某一屬性特征顯示最近流行樣本的TOP列表。該屬性特征可以是PE結(jié)構(gòu)的各種屬性及包含代碼段在內(nèi)的SectionCRC�����、導(dǎo)入導(dǎo)出表CRC���、圖標(biāo)CRC等等所有屬性特征中的部分或者全部�����;提取模塊1,用于提取待確定的文件的屬性特征信息���;比較模塊2����,用于將提取的屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較�����;確定模塊3���,用于將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型�。結(jié)果展示模塊5���,每個(gè)特征或某個(gè)特征在某一時(shí)間段內(nèi)匹配樣本個(gè)數(shù)及流行度,也可通過(guò)某個(gè)MD5判斷是否命中了已有的規(guī)則�����;回掃模塊(未示出)�,每天晚上用已提的所有規(guī)則回掃已有的所有樣本,把所有命中的規(guī)則的樣本置相應(yīng)準(zhǔn)確級(jí)別����。具體的文件是保存在云服務(wù)器中����,具體特征及每條特征命中的MD5是保存在設(shè)計(jì)的數(shù)據(jù)庫(kù)中的。其中�,通過(guò)編寫的程序自動(dòng)識(shí)別PE文件并提取所述PE類文件的文件屬性信息�。文件屬性信息包括文件結(jié)構(gòu)、編譯器信息��、文件的大小、版本信息�、數(shù)字簽名、代碼段CRCj入導(dǎo)出表CRC�、SectionCRC、附加數(shù)據(jù)偏移、Tls值��、圖標(biāo)CRC�、作者編譯環(huán)境,制作CRC規(guī)則步驟及描述�。并且,規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征包括以下至少之一文件結(jié)構(gòu)��、編譯器信息�、版本信息、數(shù)字簽名����、代碼段CRC、導(dǎo)入導(dǎo)出表CRC、SectionCRC��、附加數(shù)據(jù)偏移����、Tls值、圖標(biāo)��、制作CRC規(guī)則步驟及描述��。其中���,待確定的文件可以為可移植的執(zhí)行體文件(PE文件)。本發(fā)明的上述技術(shù)方案能夠通過(guò)CRC規(guī)則判斷文件類型��,不僅可以抓黑樣本(惡意文件)���,還可以抓可信任的樣本(普通文件)�����。此外���,本申請(qǐng)的方案能夠采用代碼段CRC����、導(dǎo)入導(dǎo)出表CRC����、SectionCRC��、制作CRC規(guī)則步驟及描述等屬性特征作為依據(jù)判斷文件類型����,由于相同類型的CRC計(jì)算后能夠得到相同的CRC值,通過(guò)CRC值進(jìn)行比的方案對(duì)具有較高的準(zhǔn)確性����,因此��,這種采用CRC規(guī)則進(jìn)行文件類型確定的方案能夠消除誤報(bào)的可能(對(duì)未知樣本���,如果該樣本流行��,對(duì)于代碼段CRC、導(dǎo)入導(dǎo)出表CRC���、SectionCRC可分別排序�,可以對(duì)該樣本進(jìn)行檢查)��。采用CRC規(guī)則后���,可以主動(dòng)發(fā)現(xiàn)流行的黑樣本與可信任的樣本,從而先解決最流行的樣本�����。例如����,如果在TOP列表中發(fā)現(xiàn)病毒�����,說(shuō)明最近比較流行���;如果發(fā)現(xiàn)可信任的文件,所以這類軟件最近比較流行�����,而當(dāng)前的可信任的名單尚未收集到�。此外���,可以自動(dòng)回掃所有的歷史樣本,將歷史上遺漏的樣本置準(zhǔn)確級(jí)別�����。針對(duì)新出現(xiàn)的樣本只要符合規(guī)則,不經(jīng)過(guò)分析人員自動(dòng)置級(jí)別�����,減少分析壓力的同時(shí)提高實(shí)時(shí)性����。本發(fā)明的方案的實(shí)現(xiàn)可以借助于TOP列表����,TOP列表是根據(jù)某一個(gè)特征匹配的樣本個(gè)數(shù)及通過(guò)所有MD5的用戶信任總次數(shù)做出的從多到少的排序列表。從多到少的排序相當(dāng)于樣本的流行度排序��。自動(dòng)回掃歷史樣本是在規(guī)定時(shí)間(例如�,每天晚上)通過(guò)回掃模塊用已提的所有規(guī)則回掃所有已有的歷史樣本,命中規(guī)則的所有樣本自動(dòng)置相應(yīng)級(jí)別�����。綜上所述�����,借助于本發(fā)明的上述技術(shù)方案�����,通過(guò)提取待確定的文件的屬性特征信息,將其與預(yù)先保存有每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息的規(guī)則集進(jìn)行比較�����,根據(jù)屬性特征信息確定文件的類型�����,由于屬性特征信息是文件本身的屬性�����,并非是文件的特定特征���,因此,通過(guò)屬性特征信息進(jìn)行文件類型的判斷并不需要借助最新的特征庫(kù)��,能夠避免惡意文件確定時(shí)的滯后性和不準(zhǔn)確性�����,并且文件的屬性特征的提取和比對(duì)較為容易�,因此,能夠提高文件類型確定的效率��,另外,不僅能夠用于判斷惡意文件�����,對(duì)于普通文件�,同樣能夠采用本發(fā)明的方案來(lái)確定文件類型。以上所述僅為本發(fā)明的較佳實(shí)施例而已�,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)�����,所作的任何修改�、等同替換、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。權(quán)利要求1.一種文件類型的確定方法,其特征在于�����,包括提取待確定的文件的屬性特征信息���;將提取的所述屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較���;將所述規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為所述待確定的文件的類型。2.根據(jù)權(quán)利要求I所述的確定方法���,其特征在于����,進(jìn)一步包括對(duì)預(yù)先給定的多個(gè)文件的共有屬性特征進(jìn)行提取���,將提取的共有屬性特征的屬性特征信息作為所述預(yù)先給定的文件的類型所對(duì)應(yīng)的屬性特征信息并存儲(chǔ)至所述規(guī)則集中�����。3.根據(jù)權(quán)利要求2所述的確定方法,其特征在于���,對(duì)預(yù)先給定的文件的共有屬性特征進(jìn)行提取包括對(duì)預(yù)先給定的多個(gè)文件,提取用戶指定的屬性特征�����,并根據(jù)提取的屬性特征確定該多個(gè)文件的類型����。4.根據(jù)權(quán)利要求3所述的確定方法,其特征在于�,在確定預(yù)先給定的多個(gè)文件是否屬于惡意文件類型時(shí)�����,根據(jù)情況參照一條提取的屬性特征或多條屬性特征的組合進(jìn)行判斷���,該提取的屬性特征包括以下至少之一導(dǎo)入導(dǎo)出表和/或代碼段循環(huán)冗余校驗(yàn)碼CRC��;在確定待確定的多個(gè)文件是否屬于普通文件類型時(shí)����,提取的屬性特征至少包括代碼段CRC。5.根據(jù)權(quán)利要求1-4所述的確定方法�����,其特征在于��,所述規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息包括以下至少之一文件結(jié)構(gòu)��、編譯器信息���、版本信息����、數(shù)字簽名�����、代碼段CRC��、導(dǎo)入導(dǎo)出表CRC、SectionCRC���、附加數(shù)據(jù)偏移���、Tls值、圖標(biāo)�、作者開(kāi)發(fā)環(huán)境、制作CRC規(guī)則步驟及描述��。6.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的確定方法,其特征在于�����,待確定的文件為可移植的執(zhí)行體文件����。7.根據(jù)權(quán)利要求1-4中任一項(xiàng)所述的確定方法�����,其特征在于�,所述待確定的文件為具有相同屬性特征的一類文件�。8.一種文件類型的確定裝置����,其特征在于,包括提取模塊����,用于提取待確定的文件的屬性特征信息;比較模塊���,用于將提取的所述屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較��;確定模塊��,用于將所述規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為所述待確定的文件的類型�。9.根據(jù)權(quán)利要求8所述的確定裝置,其特征在于����,所述規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息包括以下至少之一文件結(jié)構(gòu)、編譯器信息���、版本信息、數(shù)字簽名�、作者開(kāi)發(fā)環(huán)境、代碼段CRC�����、導(dǎo)入導(dǎo)出表CRC�、SectionCRC��、附加數(shù)據(jù)偏移����、Tls值����、圖標(biāo)、制作CRC規(guī)則步驟及描述����。10.根據(jù)權(quán)利要求8或9所述的確定裝置,其特征在于���,待確定的文件為可移植的執(zhí)行體文件�。全文摘要本發(fā)明公開(kāi)了一種文件類型的確定方法和裝置�����,該方法包括提取待確定的文件的屬性特征信息�;將提取的屬性特征信息與規(guī)則集中預(yù)先保存的每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息進(jìn)行比較����;將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型�����。本發(fā)明通過(guò)提取待確定的文件的屬性特征信息��,將其與預(yù)先保存有每個(gè)類型的文件所對(duì)應(yīng)的屬性特征信息的規(guī)則集進(jìn)行比較,并將規(guī)則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對(duì)應(yīng)的類型確定為待確定的文件的類型��,能夠根據(jù)待確定文件的屬性特征信息確定文件的類型�。文檔編號(hào)G06F17/30GK102867038SQ20121031711公開(kāi)日2013年1月9日申請(qǐng)日期2012年8月30日優(yōu)先權(quán)日2012年8月30日發(fā)明者金正虎,陳添,梁志文申請(qǐng)人:北京奇虎科技有限公司,奇智軟件(北京)有限公司