專利名稱:檢測(cè)文件樣本安全性的方法、服務(wù)器和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,具體涉及一種檢測(cè)文件樣本安全性的方法、服務(wù)器和系統(tǒng)。
背景技術(shù):
現(xiàn)有技術(shù)中,為了快速地識(shí)別和清除終端內(nèi)惡意程序,使用云安全技術(shù)。其中,把終端中可疑的文件樣本的特征傳給云安全中心的服務(wù)器,由該服務(wù)器依據(jù)文件樣本的特征對(duì)文件樣本的安全性做出判定,然后終端根據(jù)云安全中心的服務(wù)器傳回的信息進(jìn)行查殺報(bào)
告和處理。文件樣本的特征包括:文件MD5 (消息摘要算法第五版)、SHA1 (安全哈希算法)、路徑、大小、執(zhí)行進(jìn)程、DNA (文件的特征信息)等信息。惡意程序是一個(gè)概括性的術(shù)語(yǔ),指任何故意創(chuàng)建用來(lái)執(zhí)行未經(jīng)授權(quán)并通常是有害行為的程序。惡意程序的舉例包括:計(jì)算機(jī)病毒、后門(mén)程序、鍵盤(pán)記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等。惡意程序?yàn)榱死@開(kāi)云安全中心的服務(wù)器的檢測(cè),通常會(huì)改變自身的一些特征信息,以達(dá)到不被檢測(cè)出來(lái)的目的。因此,云安全中心的服務(wù)器中檢測(cè)所用的規(guī)則需要相應(yīng)地進(jìn)行變化?,F(xiàn)有技術(shù)中,規(guī)則直接配置在服務(wù)器的病毒查殺操作的執(zhí)行內(nèi)核中,改變規(guī)則極其困難,耗費(fèi)大量時(shí)間,導(dǎo)致規(guī)則的變化速度無(wú)法跟上病毒的變種速度,進(jìn)而導(dǎo)致檢測(cè)中漏判惡意程序。
發(fā)明內(nèi)容
鑒于上述問(wèn)題,提出了本發(fā)明以便提供一種檢測(cè)文件樣本安全性的方法、服務(wù)器和系統(tǒng),以解決規(guī)則修正耗費(fèi)大量時(shí)間,修正速度無(wú)法跟上病毒的變種速度,進(jìn)而導(dǎo)致檢測(cè)中漏判惡意程序的問(wèn)題。依據(jù)本發(fā)明的一個(gè)方面,提供了 一種檢測(cè)文件樣本安全性的方法,所述方法包括:設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件;從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則;接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。其中,每個(gè)匹配規(guī)則包括至少一匹配條件組;每個(gè)匹配條件組包括至少一匹配條件;每個(gè)匹配條件包括至少一匹配操作符,所述匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。
其中,所述利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口具體包括:對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。其中,所述通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較后還包括:將匹配結(jié)果記錄到日志中;根據(jù)匹配結(jié)果添加規(guī)則;根據(jù)添加的規(guī)則更新規(guī)則管理接口。其中,所述根據(jù)匹配結(jié)果添加規(guī)則具體包括:通過(guò)輸入界面接收輸入的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。其中,所述根據(jù)添加的規(guī)則更新規(guī)則管理接口具體包括:對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。其中,所述規(guī)則管理接口中各個(gè)匹配規(guī)則還包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。其中,所述通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較具體包括:通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。其中,所述通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較具體包括:依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的各個(gè)文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較;和/ 或依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較;和/或按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中;和/ 或根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)則,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。根據(jù)本發(fā)明的另一方面,提供了一種檢測(cè)文件樣本安全性的服務(wù)器,所述服務(wù)器包括:編譯器,適于設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件;解析器,適于從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則;匹配器,適于接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。其中,所述規(guī)則組織結(jié)構(gòu)具體為:每個(gè)匹配規(guī)則包括至少一匹配條件組;每個(gè)匹配條件組包括至少一匹配條件;每個(gè)匹配條件包括至少一匹配操作符,所述匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。其中,所述解析器,具體適于對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。其中,所述服務(wù)器還包括:記錄器,適于在所述匹配器通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較后,將匹配結(jié)果記錄到日志中;所述編譯器,還適于根據(jù)匹配結(jié)果添加規(guī)則,所述解析器,還適于根據(jù)添加的規(guī)則更新規(guī)則管理接口。其中,所述編譯器,具體適于通過(guò)輸入界面接收輸入的添加的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。其中,所述解析器,具體適于對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則,提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件,確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中,將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中其中,所述規(guī)則管理接口中各個(gè)匹配規(guī)則還包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。其中,所述匹配器,具體適于通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。其中,所述匹配器,具體適于依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的各個(gè)文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較;和/ 或依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較;和/ 或按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中;和/ 或根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)則,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。根據(jù)本發(fā)明的另一方面,提供了一種檢測(cè)文件樣本安全性的系統(tǒng),所述系統(tǒng)包括:如前所述的服務(wù)器,以及客戶端,適于向服務(wù)器發(fā)送文件樣本的特征,并根據(jù)服務(wù)器返回的匹配結(jié)果確定文件樣本的安全性。根據(jù)本發(fā)明的技術(shù)方案,可以設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件;從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則;接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。在本發(fā)明中,依據(jù)源文件生成包含匹配規(guī)則的規(guī)則管理接口,通過(guò)規(guī)則管理接口進(jìn)行文件樣本的特征的匹配比較??梢?jiàn),本發(fā)明中提供了一種將原始的輸入規(guī)則轉(zhuǎn)換為檢測(cè)中應(yīng)用的匹配規(guī)則的技術(shù),因此將規(guī)則從檢測(cè)操作的執(zhí)行內(nèi)核中剝離出來(lái),便于規(guī)則的變化,解決了現(xiàn)有技術(shù)中改變檢測(cè)用規(guī)則困難,耗費(fèi)時(shí)間多,規(guī)則的變化速度無(wú)法跟上病毒的變種速度,檢測(cè)中漏判惡意程序的問(wèn)題;取得了方便規(guī)則變化,節(jié)約規(guī)則改變時(shí)間,使得規(guī)則的變化與病毒的變種同步,避免檢測(cè)中漏判惡意程序的有益效果。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式
。
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中,用相同的參考符號(hào)表示相同的部件。在附圖中:圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的服務(wù)器的結(jié)構(gòu)圖;圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的規(guī)則的輸入界面的示意圖;圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的規(guī)則組織結(jié)構(gòu)的示意圖;圖4示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的服務(wù)器的結(jié)構(gòu)圖;圖5示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的系統(tǒng)的結(jié)構(gòu)圖;圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的方法的流程圖;以及圖7示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的方法的流程圖。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi),并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。參見(jiàn)圖1,一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的服務(wù)器的結(jié)構(gòu)圖。該服務(wù)器100包括:編譯器110、解析器120和匹配器130。其中,編譯器110、解析器120和匹配器130可以位于同一物理設(shè)備中,也可以位于不同物理設(shè)備中,在此沒(méi)有特別限制。編譯器110,適于設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件。舉例而言,設(shè)置的規(guī)則的規(guī)則描述中可以包括:規(guī)則的類型、規(guī)則id、條件、以及條件匹配后的返回值。每個(gè)條件包含匹配字段、匹配值、和操作符。規(guī)則中同一組的條件間可以是與、或、非等組合關(guān)系。此外,每個(gè)規(guī)則還可以具有屬性,所述屬性可以包括:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽等。規(guī)則描述可以通過(guò)配置文件進(jìn)行設(shè)置,也可以通過(guò)如圖2所示的輸入界面進(jìn)行設(shè)置。在輸入界面中,通過(guò)接收輸入的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成規(guī)則描述。例如:組合后的規(guī)則描述可以為如下所述的形式。<business_type: 1>〈 rule _num:3408>〈 apply:1Xbypass:0><rule_id: dsid:1Xrand:OXhit—limit: lOOOOXreturn—levelsublevel: 30.3><pos: =,MjQ=XfiIe—levels ublevel: s=,MTAuMA==Xfofn: like, XmFsaWFwcGxvYWRlci51eGUk>解析器120,適于從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口。規(guī)則管理接口中包括多個(gè)匹配規(guī)則。舉例而言,設(shè)置的規(guī)則組織結(jié)構(gòu)如圖3所示,其中,每個(gè)匹配規(guī)則包括至少一匹配條件組;每個(gè)匹配條件組包括至少一匹配條件;每個(gè)匹配條件包括至少一匹配操作符。匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。此處,針對(duì)匹配中所用操作符設(shè)置對(duì)應(yīng)的匹配操作符,以便對(duì)匹配中所用各種操作符進(jìn)行統(tǒng)一的維護(hù)和管理。所述解析器120具體適于對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到匹配規(guī)則中。規(guī)則管理接口中各個(gè)匹配規(guī)則還可以包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。應(yīng)用比例,用于限制匹配規(guī)則所匹配的文件樣本比例。例如,應(yīng)用比例為1/10,則在每10個(gè)文件樣本中提取一個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。如果應(yīng)用比例為0,則表示沒(méi)有比例限制,對(duì)于每個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。命中限制,用于限制匹配規(guī)則所匹配的文件樣本的數(shù)量。例如,命中限制的值為200,則在該匹配規(guī)則與200個(gè)文件樣本的特征進(jìn)行完匹配比較后,不再使用該匹配規(guī)則進(jìn)行匹配比較。如果命中限制的值為0,則表示沒(méi)有比例限制,對(duì)于每個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。通過(guò)使用應(yīng)用比例和命中限制,使得匹配規(guī)則在一定范圍內(nèi)應(yīng)用,以限制錯(cuò)誤匹配規(guī)則的影響范圍。在進(jìn)行了一段時(shí)間的病毒文件的檢測(cè)操作后,確定匹配規(guī)則為錯(cuò)誤率較低或正確后,可以增加該匹配規(guī)則的應(yīng)用比例和命中限制,或?qū)?yīng)用比例和命中限制設(shè)置為不做限制。日志回傳比例,用于限制記錄的日志量,以避免記錄日志過(guò)多。分組標(biāo)簽,用于標(biāo)識(shí)匹配規(guī)則所屬分組,將同一分組中的文件樣本的特征與匹配特征相匹配,使得文件樣本的檢測(cè)更具有針對(duì)性,以提高文件樣本檢測(cè)的效率和準(zhǔn)確性。匹配器130,適于接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。舉例而言,接收到客戶端上傳文件樣本的特征后,得到一個(gè)key/value (鍵/值)對(duì)的hash_map (哈希圖)。通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較。具體地,文件樣本的特征可以包括:文件名、路徑、大小、FileDNA (文件特征)、IconDNA (圖標(biāo)特征)、MD5、IP (IP地址)。規(guī)則管理接口中各個(gè)匹配規(guī)則還可以包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。匹配器130具體適于通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。舉例而言,匹配器130具體適于進(jìn)行如下操作。依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較。按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中。根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)則,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。在本實(shí)施例中,依據(jù)源文件生成包含匹配規(guī)則的規(guī)則管理接口,通過(guò)規(guī)則管理接口進(jìn)行文件樣本的特征的匹配比較??梢?jiàn),本發(fā)明中提供了一種將原始的輸入規(guī)則轉(zhuǎn)換為檢測(cè)中應(yīng)用的匹配規(guī)則的技術(shù),因此將規(guī)則從檢測(cè)操作的執(zhí)行內(nèi)核中剝離出來(lái),便于規(guī)則的變化,解決了現(xiàn)有技術(shù)中改變檢測(cè)用規(guī)則困難,耗費(fèi)時(shí)間多,規(guī)則的變化速度無(wú)法跟上病毒的變種速度,檢測(cè)中漏判惡意程序的問(wèn)題;取得了方便規(guī)則變化,節(jié)約規(guī)則改變時(shí)間,使得規(guī)則的變化與病毒的變種同步,避免檢測(cè)中漏判惡意程序的有益效果。參見(jiàn)圖4,示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的服務(wù)器的結(jié)構(gòu)圖。服務(wù)器100包括:編譯器110、解析器120、匹配器130和記錄器140。編譯器110,適于設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件。
解析器120,適于從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口。規(guī)則管理接口中包括多個(gè)匹配規(guī)則。匹配器130,適于接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。記錄器140,適于在所述匹配器130通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較后,將匹配結(jié)果記錄到日志中。編譯器110,還適于根據(jù)匹配結(jié)果添加規(guī)則。舉例而言,通過(guò)如圖2所示的輸入界面添加規(guī)則。編譯器110通過(guò)輸入界面接收輸入的添加的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。解析器120,還適于根據(jù)添加的規(guī)則更新規(guī)則管理接口。舉例而言,解析器120對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則,提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件,確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中,將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中由此,能夠依據(jù)日志實(shí)時(shí)動(dòng)態(tài)的修改規(guī)則管理接口中匹配規(guī)則,使得規(guī)則的變化與病毒的變種同步??梢砸罁?jù)各種病毒文件的變化進(jìn)行動(dòng)態(tài)匹配,保證及時(shí)準(zhǔn)確的檢測(cè)出惡意程序。參見(jiàn)圖5,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的系統(tǒng)的結(jié)構(gòu)圖。系統(tǒng)包括:一個(gè)或多個(gè)客戶端200,適于向服務(wù)器100發(fā)送文件樣本的特征,并根據(jù)服務(wù)器100返回的匹配結(jié)果確定文件樣本的安全性。以及如前所述的服務(wù)器100。服務(wù)器100和客戶端200間可以直接連接也可以通過(guò)網(wǎng)絡(luò)連接,在此沒(méi)有特別限制。圖6示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的方法的流程圖。該方法中包括如下步驟。步驟S610,設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件。舉例而言,設(shè)置的規(guī)則的規(guī)則描述中可以包括:規(guī)則的類型、規(guī)則id、條件、以及條件匹配后的返回值。每個(gè)條件包含匹配字段、匹配值、和操作符。規(guī)則中同一組的條件間可以是與、或、非等組合關(guān)系。此外,每個(gè)規(guī)則還可以具有屬性,所述屬性可以包括:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽等。 規(guī)則描述可以通過(guò)配置文件進(jìn)行設(shè)置,也可以通過(guò)如圖2所示的輸入界面進(jìn)行設(shè)置。在輸入界面中,通過(guò)接收輸入的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成規(guī)則描述。例如:組合后的規(guī)則描述可以為如下所述的形式。<business_type: 1>〈 rule _num:3408>〈 apply:1Xbypass:0><rule_id: dsid:1Xrand:OXhit—limit: lOOOOXreturn—levelsublevel: 30.3><pos: =,MjQ=XfiIe—levels ublevel: s=,MTAuMA==Xfofn: like, XmFsaWFwcGxvYWRlci51eGUk>步驟S620,從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口。規(guī)則管理接口中包括多個(gè)匹配規(guī)則。舉例而言,設(shè)置的規(guī)則組織結(jié)構(gòu)如圖3所示,其中,每個(gè)匹配規(guī)則包括至少一匹配條件組;每個(gè)匹配條件組包括至少一匹配條件;每個(gè)匹配條件包括至少一匹配操作符。匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。此處,針對(duì)匹配中所用操作符設(shè)置對(duì)應(yīng)的匹配操作符,以便對(duì)匹配中所用各種操作符進(jìn)行統(tǒng)一的維護(hù)和管理。具體地,在步驟S620中對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到匹配規(guī)則中。規(guī)則管理接口中各個(gè)匹配規(guī)則還可以包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。應(yīng)用比例,用于限制匹配規(guī)則所匹配的文件樣本比例。例如,應(yīng)用比例為1/10,則在每10個(gè)文件樣本中提取一個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。如果應(yīng)用比例為0,則表示沒(méi)有比例限制,對(duì)于每個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。命中限制,用于限制匹配規(guī)則所匹配的文件樣本的數(shù)量。例如,命中限制的值為200,則在該匹配規(guī)則與200個(gè)文件樣本的特征進(jìn)行完匹配比較后,不再使用該匹配規(guī)則進(jìn)行匹配比較。如果命中限制的值為0,則表示沒(méi)有比例限制,對(duì)于每個(gè)文件樣本,將該文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。通過(guò)使用應(yīng)用比例和命中限制,使得匹配規(guī)則在一定范圍內(nèi)應(yīng)用,以限制錯(cuò)誤匹配規(guī)則的影響范圍。在進(jìn)行了一段時(shí)間的病毒文件的檢測(cè)操作后,確定匹配規(guī)則為錯(cuò)誤率較低或正確后,可以增加該匹配規(guī)則的應(yīng)用比例和命中限制,或?qū)?yīng)用比例和命中限制設(shè)置為不做限制。日志回傳比例,用于限制記錄的日志量,以避免記錄日志過(guò)多。分組標(biāo)簽,用于標(biāo)識(shí)匹配規(guī)則所屬分組,將同一分組中的文件樣本的特征與匹配特征相匹配,使得文件樣本的檢測(cè)更具有針對(duì)性,以提高文件樣本檢測(cè)的效率和準(zhǔn)確性。步驟S630,接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。舉例而言,接收到客戶端上傳文件樣本的特征后,得到一個(gè)key/value (鍵/值)對(duì)的hash_map (哈希圖)。通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較。具體地,文件樣本的特征可以包括:文件名、路徑、大小、FileDNA (文件特征)、IconDNA (圖標(biāo)特征)、MD5、IP (IP地址)。規(guī)則管理接口中各個(gè)匹配規(guī)則還可以包括下列屬性中至少一種:應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。具體地,在步驟S630中通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。舉例而言,在步驟S630中進(jìn)行如下操作。
依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較。依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較。按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中。根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)則,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。在本實(shí)施例中,依據(jù)源文件生成包含匹配規(guī)則的規(guī)則管理接口,通過(guò)規(guī)則管理接口進(jìn)行文件樣本的特征的匹配比較??梢?jiàn),本發(fā)明中提供了一種將原始的輸入規(guī)則轉(zhuǎn)換為檢測(cè)中應(yīng)用的匹配規(guī)則的技術(shù),因此將規(guī)則從檢測(cè)操作的執(zhí)行內(nèi)核中剝離出來(lái),便于規(guī)則的變化,解決了現(xiàn)有技術(shù)中改變檢測(cè)用規(guī)則困難,耗費(fèi)時(shí)間多,規(guī)則的變化速度無(wú)法跟上病毒的變種速度,檢測(cè)中漏判惡意程序的問(wèn)題;取得了方便規(guī)則變化,節(jié)約規(guī)則改變時(shí)間,使得規(guī)則的變化與病毒的變種同步,避免檢測(cè)中漏判惡意程序的有益效果。圖7示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的檢測(cè)文件樣本安全性的方法的流程圖。該方法包括如下步驟。步驟S710,設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件。步驟S720,從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口。規(guī)則管理接口中包括多個(gè)匹配規(guī)則。步驟S730,接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。步驟S740,將匹配結(jié)果記錄到日志中。步驟S750,根據(jù)匹配結(jié)果添加規(guī)則。舉例而言,通過(guò)如圖2所示的輸入界面添加規(guī)則。通過(guò)輸入界面接收輸入的添加的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。步驟S760,根據(jù)添加的規(guī)則更新規(guī)則管理接口。舉例而言,在步驟S760中,對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則,提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件,確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中,將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。之后,當(dāng)再接收到文件樣本的特征時(shí),使用更新后的規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較。由此,能夠依據(jù)日志實(shí)時(shí)動(dòng)態(tài)的修改規(guī)則管理接口中匹配規(guī)則,使得規(guī)則的變化與病毒的變種同步。可以依據(jù)各種病毒文件的變化進(jìn)行動(dòng)態(tài)匹配,保證及時(shí)準(zhǔn)確的檢測(cè)出惡意程序。在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的。此外,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言。應(yīng)當(dāng)明白,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說(shuō)明書(shū)中,說(shuō)明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對(duì)本說(shuō)明書(shū)的理解。類似地,應(yīng)當(dāng)理解,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè),在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例、圖、或者對(duì)其的描述中。然而,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說(shuō),如下面的權(quán)利要求書(shū)所反映的那樣,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征。因此,遵循具體實(shí)施方式
的權(quán)利要求書(shū)由此明確地并入該具體實(shí)施方式
,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。本領(lǐng)域那些技術(shù)人員可以理解,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來(lái)代替。此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP )來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的檢測(cè)文件樣本安全性服務(wù)器和系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
權(quán)利要求
1.一種檢測(cè)文件樣本安全性的方法,所述方法包括: 設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件; 從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則; 接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。
2.根據(jù)權(quán)利要求1所述的方法,其中, 每個(gè)匹配規(guī)則包括至少一匹配條件組; 每個(gè)匹配條件組包括至少一匹配條件; 每個(gè)匹配條件包括至少一匹配操作符, 所述匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。
3.根據(jù)權(quán)利要求2所述的方法,其中, 所述利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口具體包括: 對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則; 提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件; 確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中; 將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。
4.根據(jù)權(quán)利要求2所述的方法,其中, 所述通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較后還包括: 將匹配結(jié)果記錄到日志中; 根據(jù)匹配結(jié)果添加規(guī)則; 根據(jù)添加的規(guī)則更新規(guī)則管理接口。
5.根據(jù)權(quán)利要求4所述的方法,其中, 所述根據(jù)匹配結(jié)果添加規(guī)則具體包括: 通過(guò)輸入界面接收輸入的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式, 將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。
6.根據(jù)權(quán)利要求4或5所述的方法,其中, 所述根據(jù)添加的規(guī)則更新規(guī)則管理接口具體包括: 對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則; 提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件; 確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中; 將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。
7.根據(jù)權(quán)利要求1所述的方法,其中, 所述規(guī)則管理接口中各個(gè)匹配規(guī)則還包括下列屬性中至少一種: 應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。
8.根據(jù)權(quán)利要求7所述的方法,其中,所述通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較具體包括: 通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。
9.根據(jù)權(quán)利要求8所述的方法,其中, 所述通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較具體包括: 依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的各個(gè)文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較; 和/或 依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較; 和/或 按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中; 和/或 根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)貝U,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。
10.一種檢測(cè)文件樣本安全性的服務(wù)器,所述服務(wù)器包括: 編譯器,適于設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件; 解析器,適于從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則; 匹配器,適于接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。
11.根據(jù)權(quán)利要求10所述的服務(wù)器,其中, 所述規(guī)則組織結(jié)構(gòu)具體為: 每個(gè)匹配規(guī)則包括至少一匹配條件組; 每個(gè)匹配條件組包括至少一匹配條件; 每個(gè)匹配條件包括至少一匹配操作符, 所述匹配操作符為對(duì)應(yīng)于各種匹配運(yùn)行而設(shè)置的操作符。
12.根據(jù)權(quán)利要求11所述的服務(wù)器,其中, 所述解析器,具體適于對(duì)于每個(gè)規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)則;提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件;確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中;將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。
13.根據(jù)權(quán)利要求11所述的服務(wù)器,其中, 所述服務(wù)器還包括: 記錄器,適于在所述匹配器通過(guò)規(guī)則管理接口將文件樣本與匹配規(guī)則進(jìn)行匹配比較后,將匹配結(jié)果記錄到日志中; 所述編譯器,還適于根據(jù)匹配結(jié)果添加規(guī)則,所述解析器,還適于根據(jù)添加的規(guī)則更新規(guī)則管理接口。
14.根據(jù)權(quán)利要求13所述的服務(wù)器,其中, 所述編譯器,具體適于通過(guò)輸入界面接收輸入的添加的規(guī)則的條件表達(dá)式以及匹配后返回值的表達(dá)式,將輸入的條件表達(dá)式和返回值的表達(dá)式生按預(yù)設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。
15.根據(jù)權(quán)利要求13或14所述的服務(wù)器,其中, 所述解析器,具體適于對(duì)于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對(duì)應(yīng)的匹配規(guī)貝U,提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對(duì)應(yīng)的匹配條件,確定提取的條件中操作符所對(duì)應(yīng)的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中,將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。
16.根據(jù)權(quán)利要求10所述的服務(wù)器,其中, 所述規(guī)則管理接口中各個(gè)匹配規(guī)則還包括下列屬性中至少一種: 應(yīng)用比例、命中限制、日志回傳比例、以及分組標(biāo)簽。
17.根據(jù)權(quán)利要求16所述的服務(wù)器,其中, 所述匹配器,具體適于通過(guò)規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進(jìn)行匹配比較。
18.根據(jù)權(quán)利要求17所述的服務(wù)器,其中, 所述匹配器,具體適于 依據(jù)匹配規(guī)則的應(yīng)用比例,在輸入特征的各個(gè)文件樣本中進(jìn)行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進(jìn)行匹配比較; 和/或 依據(jù)匹配規(guī)則的命中限制,當(dāng)應(yīng)用該匹配規(guī)則進(jìn)行匹配比較的數(shù)量達(dá)到該命中限制的值時(shí),不再使用該匹配規(guī)則與文件樣本的特征進(jìn)行匹配比較; 和/或 按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中; 和/或 根據(jù)文件樣本的分組標(biāo)簽和匹配規(guī)則的分組標(biāo)簽,確定文件樣本所屬分組中匹配規(guī)貝U,將文件樣本的特征與分組中匹配規(guī)則進(jìn)行匹配比較。
19.一種檢測(cè)文件樣本安全性的系統(tǒng),所述系統(tǒng)包括: 如權(quán)利要求10至18任一項(xiàng)所述的服務(wù)器,以及 客戶端,適于向服務(wù)器發(fā)送文件樣本的特征,并根據(jù)服務(wù)器返回的匹配結(jié)果確定文件樣本的安全性。
全文摘要
本發(fā)明公開(kāi)了一種檢測(cè)文件樣本安全性的方法、服務(wù)器和系統(tǒng),所述方法包括設(shè)置規(guī)則的規(guī)則描述,生成包含各個(gè)規(guī)則描述的源文件;從源文件中解析出各個(gè)規(guī)則,利用解析出的各個(gè)規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個(gè)匹配規(guī)則;接收到輸入的文件樣本的特征,通過(guò)規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進(jìn)行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。本發(fā)明能夠解決現(xiàn)有技術(shù)中改變檢測(cè)用規(guī)則困難,耗費(fèi)時(shí)間多,規(guī)則的變化速度無(wú)法跟上病毒的變種速度,造成檢測(cè)中漏判惡意程序的問(wèn)題。
文檔編號(hào)H04L29/06GK103152356SQ201310090740
公開(kāi)日2013年6月12日 申請(qǐng)日期2013年3月20日 優(yōu)先權(quán)日2013年3月20日
發(fā)明者魏自立, 王志超 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司