一種安全文件的識(shí)別方法及裝置的制造方法
【專利說明】一種安全文件的識(shí)別方法及裝置 【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,尤其涉及一種安全文件的識(shí)別方法及裝置���。 【【背景技術(shù)】】
[0002] 隨著互聯(lián)網(wǎng)和通信技術(shù)在最近幾年的迅速發(fā)展,各種各樣的應(yīng)用在不斷地出現(xiàn)�����, 并快速的迭代更新�����,每天都會(huì)產(chǎn)生很多應(yīng)用的相關(guān)文件����。因此,安全系統(tǒng)會(huì)捕獲到很多未知 文件�,這些未知文件中既有安全文件,也有惡意文件���,因此需要從眾多的未知文件中識(shí)別出 安全文件�。
[0003] 現(xiàn)有技術(shù)中,是利用未知文件的數(shù)據(jù)簽名�����,在預(yù)設(shè)的白名單中進(jìn)行查找�。如果該未 知文件屬于白名單,則識(shí)別出該未知文件是安全文件��,反之則識(shí)別出該未知文件是非安全 文件��。然而��,應(yīng)用的新增速度以及更新速度非?��??����,使得相關(guān)文件也出現(xiàn)的很快且數(shù)量龐 大����,因此�����,利用現(xiàn)有技術(shù)中基于未知文件的數(shù)據(jù)簽名和白名單的方式,實(shí)現(xiàn)的安全文件的識(shí) 別技術(shù)將無法滿足目前安全文件的識(shí)別需求�,從而導(dǎo)致安全文件的識(shí)別率比較低。 【
【發(fā)明內(nèi)容】
】
[0004] 有鑒于此�����,本發(fā)明實(shí)施例提供了一種安全文件的識(shí)別方法及裝置����,用以解決現(xiàn)有 技術(shù)中安全文件的識(shí)別率比較低的問題。
[0005] 本發(fā)明實(shí)施例的一方面�,提供一種安全文件的識(shí)別方法�����,包括:
[0006] 根據(jù)待識(shí)別文件����,獲得與所述待識(shí)別文件相匹配的已知安全文件;
[0007] 獲得所述待識(shí)別文件與所述已知安全文件的相似度����;
[0008] 根據(jù)所述待識(shí)別文件與所述已知安全文件的相似度,識(shí)別所述待識(shí)別文件是否為 安全文件。
[0009] 如上所述的方面和任一可能的實(shí)現(xiàn)方式���,進(jìn)一步提供一種實(shí)現(xiàn)方式�����,所述根據(jù)待 識(shí)別文件���,獲得與所述待識(shí)別文件相匹配的已知安全文件,包括:
[0010] 根據(jù)所述待識(shí)別文件的詳細(xì)信息�����,在數(shù)據(jù)庫中進(jìn)行匹配��,以獲得與所述待識(shí)別文 件相匹配的已知安全文件�;其中,所述數(shù)據(jù)庫包含已知安全文件的詳細(xì)信息�。
[0011] 如上所述的方面和任一可能的實(shí)現(xiàn)方式,進(jìn)一步提供一種實(shí)現(xiàn)方式�,所述獲得所 述待識(shí)別文件與所述已知安全文件的相似度,包括:
[0012] 獲得所述待識(shí)別文件的代碼塊指紋�����;
[0013] 根據(jù)所述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指紋,獲得所述 待識(shí)別文件與所述已知安全文件的相似度���。
[0014] 如上所述的方面和任一可能的實(shí)現(xiàn)方式�����,進(jìn)一步提供一種實(shí)現(xiàn)方式�����,所述獲得所 述待識(shí)別文件的代碼塊指紋�,包括:
[0015] 對所述待識(shí)別文件進(jìn)行反編譯處理���,以獲得所述待識(shí)別文件的反編譯代碼���;
[0016] 獲得所述反編譯代碼所包含的至少一個(gè)代碼塊�;
[0017] 獲得每個(gè)所述代碼塊的指紋信息;
[0018] 根據(jù)每個(gè)所述代碼塊的指紋信息��,獲得所述待識(shí)別文件的代碼塊指紋����。
[0019] 如上所述的方面和任一可能的實(shí)現(xiàn)方式�����,進(jìn)一步提供一種實(shí)現(xiàn)方式��,每個(gè)所述代 碼塊的指紋信息包括:
[0020] 每個(gè)所述代碼塊的指令結(jié)構(gòu)特征����;以及����,
[0021] 根據(jù)每個(gè)所述代碼塊中部分指令獲得的哈希值。
[0022] 如上所述的方面和任一可能的實(shí)現(xiàn)方式����,進(jìn)一步提供一種實(shí)現(xiàn)方式,所述獲得所 述待識(shí)別文件與所述已知安全文件的相似度�����,包括:
[0023] 利用如下公式獲得所述待識(shí)別文件與所述已知安全文件的相似度:
[0024]
[0025] 該公式中��,C表示所述待識(shí)別文件與所述已知安全文件的相似度����;所述A表示所述 待識(shí)別文件的代碼塊指紋���;所述B表示所述已知安全文件的代碼塊指紋;F(A η B)表示所 述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指紋的交集中代碼塊指紋的步 長的累加和���;F(Α η Β)表示所述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指 紋的并集中代碼塊指紋的步長的累加和�。
[0026] 如上所述的方面和任一可能的實(shí)現(xiàn)方式���,進(jìn)一步提供一種實(shí)現(xiàn)方式,所述根據(jù)所 述待識(shí)別文件與所述已知安全文件的相似度���,識(shí)別所述待識(shí)別文件是否為安全文件����,包 括:
[0027] 若所述待識(shí)別文件與所述已知安全文件的相似度大于預(yù)設(shè)的相似閾值�,識(shí)別出所 述待識(shí)別文件是安全文件。
[0028] 如上所述的方面和任一可能的實(shí)現(xiàn)方式�,進(jìn)一步提供一種實(shí)現(xiàn)方式,所述方法還 包括:
[0029] 若識(shí)別出所述待識(shí)別文件是安全文件�����,將所述待識(shí)別文件添加到所述數(shù)據(jù)庫����。
[0030] 本發(fā)明實(shí)施例的一方面����,提供一種安全文件的識(shí)別裝置,包括:
[0031] 文件查找單元����,用于根據(jù)待識(shí)別文件�����,獲得與所述待識(shí)別文件相匹配的已知安全 文件��;
[0032] 相似統(tǒng)計(jì)單元���,用于獲得所述待識(shí)別文件與所述已知安全文件的相似度��;
[0033] 文件識(shí)別單元����,用于根據(jù)所述待識(shí)別文件與所述已知安全文件的相似度�����,識(shí)別所 述待識(shí)別文件是否為安全文件����。
[0034] 如上所述的方面和任一可能的實(shí)現(xiàn)方式,進(jìn)一步提供一種實(shí)現(xiàn)方式��,所述文件查 找單元���,具體用于:
[0035] 根據(jù)所述待識(shí)別文件的詳細(xì)信息����,在數(shù)據(jù)庫中進(jìn)行匹配��,以獲得與所述待識(shí)別文 件相匹配的已知安全文件��;其中��,所述數(shù)據(jù)庫包含已知安全文件的詳細(xì)信息��。
[0036] 如上所述的方面和任一可能的實(shí)現(xiàn)方式,進(jìn)一步提供一種實(shí)現(xiàn)方式���,所述相似統(tǒng) 計(jì)單元,具體用于:
[0037] 獲得所述待識(shí)別文件的代碼塊指紋�;
[0038] 根據(jù)所述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指紋,獲得所述 待識(shí)別文件與所述已知安全文件的相似度�����。
[0039] 如上所述的方面和任一可能的實(shí)現(xiàn)方式�����,進(jìn)一步提供一種實(shí)現(xiàn)方式����,所述相似統(tǒng) 計(jì)單元用于獲得所述待識(shí)別文件的代碼塊指紋時(shí),具體用于:
[0040] 對所述待識(shí)別文件進(jìn)行反編譯處理����,以獲得所述待識(shí)別文件的反編譯代碼;
[0041] 獲得所述反編譯代碼所包含的至少一個(gè)代碼塊���;
[0042] 獲得每個(gè)所述代碼塊的指紋信息���;
[0043] 根據(jù)每個(gè)所述代碼塊的指紋信息���,獲得所述待識(shí)別文件的代碼塊指紋。
[0044] 如上所述的方面和任一可能的實(shí)現(xiàn)方式�,進(jìn)一步提供一種實(shí)現(xiàn)方式,每個(gè)所述代 碼塊的指紋信息包括:
[0045] 每個(gè)所述代碼塊的指令結(jié)構(gòu)特征����;以及,
[0046] 根據(jù)每個(gè)所述代碼塊中部分指令獲得的哈希值���。
[0047] 如上所述的方面和任一可能的實(shí)現(xiàn)方式��,進(jìn)一步提供一種實(shí)現(xiàn)方式����,所述相似統(tǒng) 計(jì)單元用于獲得所述待識(shí)別文件與所述已知安全文件的相似度時(shí)��,具體用于:
[0048] 利用如下公式獲得所述待識(shí)別文件與所述已知安全文件的相似度:
[0049] C=(F(AnB)V(F(AUB))XK)O
[0050] 該公式中�,C表示所述待識(shí)別文件與所述已知安全文件的相似度;所述A表示所述 待識(shí)別文件的代碼塊指紋�����;所述B表示所述已知安全文件的代碼塊指紋;F(A η B)表示所 述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指紋的交集中代碼塊指紋的步 長的累加和�����;F(Α η Β)表示所述待識(shí)別文件的代碼塊指紋與所述已知安全文件的代碼塊指 紋的并集中代碼塊指紋的步長的累加和�。
[0051] 如上所述的方面和任一可能的實(shí)現(xiàn)方式����,進(jìn)一步提供一種實(shí)現(xiàn)方式,所述文件識(shí) 別單元�����,具體用于:
[0052] 若所述待識(shí)別文件與所述已知安全文件的相似度大于預(yù)設(shè)的相似閾值�,識(shí)別出所 述待識(shí)別文件是安全文件。
[0053] 如上所述的方面和任一可能的實(shí)現(xiàn)方式����,進(jìn)一步提供一種實(shí)現(xiàn)方式,所述裝置還 包括:
[0054] 文件添加單元�����,用于若識(shí)別出所述待識(shí)別文件是安全文件�,將所述待識(shí)別文件添 加到所述數(shù)據(jù)庫。
[0055] 由以上技術(shù)方案可以看出,本發(fā)明實(shí)施例具有以下有益效果:
[0056] 本發(fā)明實(shí)施例提供的技術(shù)方案中�����,利用已知安全文件與待識(shí)別文件的相似度��,來 識(shí)別待識(shí)別文件是否為安全文件�,相當(dāng)于通過對待識(shí)別文件與已知安全文件是否屬于同源 文件的判別,來識(shí)別出待識(shí)別文件是否為安全文件�����,因此����,能夠快速識(shí)別出安全文件。與現(xiàn) 有技術(shù)中判斷未知文件是否屬于白名單的識(shí)別方式相比���,本發(fā)明實(shí)施例能夠識(shí)別出更多的 安全文件����,滿足目前安全文件的識(shí)別需求�,提高了安全文件的識(shí)別率,因此解決了現(xiàn)有技術(shù) 中安全文件的識(shí)別率比較低的問題���,從而可以減少用戶側(cè)不必要的彈窗數(shù)量���,提升用戶體 驗(yàn)��。 【【附圖說明】】
[0057] 為了更清楚地說明本發(fā)明實(shí)施例的技術(shù)方案�,下面將對實(shí)施例中所需要使用的附 圖作簡單地介紹���,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對于本領(lǐng)域 普通技術(shù)人員來講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下���,還可以根據(jù)這些附圖獲得其它的附 圖��。
[0058] 圖1是本發(fā)明實(shí)施例所提供的安全文件的識(shí)別方法的流程示意圖�����;
[0059] 圖2是本發(fā)明實(shí)施例所提供的利用已知安全文件對待識(shí)別文件進(jìn)行識(shí)別的示例 圖��;
[0060] 圖3是本發(fā)明實(shí)