下載文件的管理方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種下載文件的管理方法及裝置�,該方法包括:監(jiān)測到文件下載完成后���,根據(jù)下載路徑獲取下載文件�����;對所述下載文件進行掃描����,以確定所述下載文件的安全等級���;根據(jù)所述下載文件的安全等級�����,為所述下載文件設置與該安全等級對應的管理操作入口��。由此實現(xiàn)了既能夠識別出惡意文件��,又能夠?qū)ヂ?lián)網(wǎng)上下載的各類文件進行有效管理的技術效果���。
【專利說明】下載文件的管理方法及裝置
【技術領域】
[0001]本發(fā)明涉及網(wǎng)絡通信【技術領域】,具體涉及一種下載文件的管理方法及裝置��。
【背景技術】
[0002]隨著互聯(lián)網(wǎng)的廣泛應用�����,越來越多的用戶習慣于通過互聯(lián)網(wǎng)來獲取所需的各類文件���。
[0003]但是�����,一方面���,由于網(wǎng)絡病毒以及網(wǎng)絡欺詐的大肆傳播��,導致從互聯(lián)網(wǎng)上獲取的文件很可能是帶有病毒或欺詐內(nèi)容的惡意文件����,從而致使用戶計算機中毒或致使用戶蒙受金錢上的損失���。另一方面���,由于從互聯(lián)網(wǎng)上獲取的文件數(shù)量和類型多種多樣,導致用戶想要對某一下載文件進行查閱或管理時����,必須按照手動查找的方式查找到要管理的某一下載文件之后,然后才能對該下載文件執(zhí)行必要的管理操作���。
[0004]由此可見���,目前缺少一種既能夠識別出惡意文件,又能夠?qū)ヂ?lián)網(wǎng)上下載的各類文件進行有效管理的方法�����。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的下載文件的管理方法及裝置�。
[0006]依據(jù)本發(fā)明的一個方面,提供了一種下載文件的管理方法���,包括:監(jiān)測到文件下載完成后,根據(jù)下載路徑獲取下載文件�����;對所述下載文件進行掃描�����,以確定所述下載文件的安全等級�;根據(jù)所述下載文件的安全等級,為所述下載文件設置與該安全等級對應的管理操作入口�。
[0007]依據(jù)本發(fā)明的另一方面,提供了一種下載文件的管理裝置����,包括:獲取模塊,適于在監(jiān)測到文件下載完成后����,根據(jù)下載路徑獲取下載文件;掃描模塊,適于對所述下載文件進行掃描���,以確定所述下載文件的安全等級�;管理模塊��,適于根據(jù)所述下載文件的安全等級��,為所述下載文件設置與該安全等級對應的管理操作入口��。
[0008]在本發(fā)明提供的下載文件的管理方法及裝置中�����,每當監(jiān)測到文件下載完成后��,就會根據(jù)下載路徑獲取到剛剛下載完的下載文件�����,并對該下載文件進行掃描�����,以便確定出該下載文件的安全等級�����,從而能夠識別出惡意文件。然后��,在本方法及裝置中�,還會進一步根據(jù)確定出的下載文件的安全等級,為該下載文件設置與其安全等級相對應的管理操作入口����,用戶直接通過這些管理操作入口就可以對下載文件進行管理���,從而簡化了管理操作的復雜度����,為用戶提供了便利��。由此實現(xiàn)了既能夠識別出惡意文件����,又能夠?qū)ヂ?lián)網(wǎng)上下載的各類文件進行有效管理的技術效果。
[0009]上述說明僅是本發(fā)明技術方案的概述����,為了能夠更清楚了解本發(fā)明的技術手段�����,而可依照說明書的內(nèi)容予以實施����,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點能夠更明顯易懂���,以下特舉本發(fā)明的【具體實施方式】���。【專利附圖】
【附圖說明】
[0010]通過閱讀下文優(yōu)選實施方式的詳細描述�,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的�����,而并不認為是對本發(fā)明的限制�����。而且在整個附圖中,用相同的參考符號表示相同的部件�����。在附圖中:
[0011]圖1示出了本發(fā)明實施例提供的下載文件的管理方法的流程圖����;
[0012]圖2示出了本發(fā)明另一具體實施例提供的下載文件的管理方法的流程圖;
[0013]圖3示出了不同安全等級的下載文件所對應的管理操作入口的示意圖���;
[0014]圖4示出了圖2中的步驟S230所包含的各個子步驟的流程圖;以及
[0015]圖5示出了本發(fā)明實施例提供的下載文件的管理裝置的結構圖���。
【具體實施方式】
[0016]下面將參照附圖更詳細地描述本公開的示例性實施例�����。雖然附圖中顯示了本公開的示例性實施例�,然而應當理解����,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反���,提供這些實施例是為了能夠更透徹地理解本公開��,并且能夠?qū)⒈竟_的范圍完整的傳達給本領域的技術人員���。
[0017]本發(fā)明實施例提供了一種下載文件的管理方法及裝置����,用以解決現(xiàn)有技術中缺少一種既能夠識別出惡意文件�����,又能夠?qū)ヂ?lián)網(wǎng)上下載的各類文件進行有效管理的方法的問題����。
[0018]圖1示出了本發(fā)明實施例提供的下載文件的管理方法的流程圖。如圖1所示�,該方法包括如下步驟:
[0019]步驟SllO:監(jiān)測到文件下載完成后,根據(jù)下載路徑獲取下載文件��。
[0020]其中�����,每當監(jiān)測到有文件下載完成之后�,步驟SllO就將被觸發(fā)并執(zhí)行��,通過步驟SllO的執(zhí)行�,能夠根據(jù)下載文件的下載路徑獲取到剛剛下載完成的一個或多個文件�����。
[0021]步驟S120:對獲取的下載文件進行掃描�����,以確定該下載文件的安全等級��。
[0022]其中���,對下載文件進行掃描時,可以靈活選用多種掃描方法進行掃描�����,例如掃描URL地址�����、掃描文件頭和/或掃描文件名后綴等多種方式�,只要能夠根據(jù)掃描結果確定出剛剛下載完的文件的安全等級即可��。其中���,下載文件的安全等級可以包括:安全級、未知級和危險級���。
[0023]步驟S130:根據(jù)該下載文件的安全等級�,為該下載文件設置與該安全等級對應的管理操作入口��。
[0024]其中�����,如果下載文件為安全級�,則其對應的管理操作入口包括打開入口,以便用戶能夠直接打開該安全級下載文件���,而不必擔心中毒或受騙���;如果下載文件為危險級,則該下載文件將被直接刪除���,因此��,其對應的管理操作入口包括恢復入口��,以便用戶能夠在必要時對已刪除的危險下載文件進行恢復���;如果下載文件為未知級��,則其對應的管理操作入口包括隔離打開入口����,以便用戶能夠隔離打開該未知級下載文件��,從而將用戶計算機中毒的風險降至最低���。
[0025]由此可見��,在上述的下載文件管理方法中����,每當監(jiān)測到有文件下載完成時�����,就會獲取該下載文件并對該下載文件進行掃描����,以便確定出該下載文件的安全等級,因而能夠在第一時間發(fā)現(xiàn)攜帶病毒或欺詐內(nèi)容的惡意文件���,將用戶蒙受損失的風險降至最低����。另外����,在上述的下載文件管理方法中,還會進一步根據(jù)下載文件的安全等級����,為其設置相應的管理操作入口,從而方便用戶管理下載文件���。
[0026]圖2示出了本發(fā)明另一具體實施例提供的下載文件的管理方法的流程圖�。如圖2所示���,該方法包括如下步驟:
[0027]步驟S210:監(jiān)測到文件下載完成后���,根據(jù)下載路徑獲取下載文件��。
[0028]具體地�,每當有文件下載完成時��,步驟S210及其后續(xù)步驟就將被觸發(fā)����。下面給出步驟S210的一種可能的實現(xiàn)方式如下:預先通過編程的方式設置一個用于監(jiān)控是否有文件下載完成的監(jiān)控模塊(例如可以通過動態(tài)庫等形式來實現(xiàn)該監(jiān)控模塊),將該監(jiān)控模塊注入到客戶端所安裝的各個下載工具中�����,以便監(jiān)控各個下載工具是否執(zhí)行并完成了一次下載操作�。具體注入時,可以通過全局的CBT HOOK (鉤子)來實現(xiàn)�。或者���,也可以由各個下載工具調(diào)用預設的Windows API來加載該監(jiān)控模塊���,以便實現(xiàn)該監(jiān)控模塊的注入。例如�,在本實施例中,可以將該監(jiān)控模塊分別注入到客戶端上安裝的MSN���、聊天室等聊天軟件��,以及360瀏覽器或遨游瀏覽器等各類瀏覽器��,以及迅雷下載�����、360下載等各類下載軟件上�����,以便能夠監(jiān)控到通過任何途徑下載的文件���。這樣一來,每當有某一下載工具完成了一個下載行為時��,就會被上述的監(jiān)控模塊捕獲到這一行為��,繼而觸發(fā)本方法中的后續(xù)操作步驟�����。也就是說,在本實施例中���,只要監(jiān)測到了下載文件下載完成這一下載行為就會觸發(fā)步驟S210及其后續(xù)步驟����,不需要去訪問各個下載工具的注冊表等相關信息���。
[0029]除了上述實現(xiàn)方式之外�����,本領域技術人員也可以通過其他的方式來實現(xiàn)步驟S210的操作���,例如,可以在下載保鏢等安全防護軟件的基礎上實現(xiàn)本發(fā)明����,每當下載保鏢等安全防護軟件識別到下載文件后就啟用本發(fā)明中的方法進行管理,總之�,本發(fā)明對步驟S210的實現(xiàn)方式不作限定。
[0030]步驟S220:確定上述下載文件的下載信息�,將下載信息保存到預設的下載日志中。
[0031]具體地�����,在步驟S210中根據(jù)下載路徑獲取到下載文件之后,還需要在步驟S220中進一步獲取該下載文件的各項下載信息����,這些下載信息可以包括以下信息中的一項或多項:文件名��、文件類型�����、對應的下載工具�����、存儲位置以及下載時間��。其中�����,文件名可以直接根據(jù)下載文件本身的名稱得到�,文件類型可以根據(jù)下載文件的文件名后綴等信息得到(也通過其他的類型分析方式得到),對應的下載工具即為該下載文件在下載時所采用的下載工具�����,存儲位置可以根據(jù)下載路徑得到,下載時間可以根據(jù)下載文件下載完成時的系統(tǒng)時間得到����。
[0032]為了能夠更加準確地獲取到這些下載信息,可選地��,在本方法中��,還可以預先設置并存儲一個下載工具特征庫��,在該下載工具特征庫中存儲有各個下載工具在下載文件時的行為特征���,例如�����,在下載工具特征庫中存儲的下載工具A的行為特征包括:下載完文件之后�,對下載到的文件執(zhí)行“重命名”的操作�����;在下載工具特征庫中存儲的下載工具B的行為特征包括:下載完文件之后�����,對下載到的文件執(zhí)行“另存為”的操作;在下載工具特征庫中存儲的下載工具C的行為特征包括:下載完文件之后��,對下載到的文件執(zhí)行“打開”的操作等���。由此可見,通過查詢下載工具特征庫���,就可以清楚地了解各個下載工具在下載完成之后可能執(zhí)行的操作步驟���,從而能夠更加準確地獲取下載文件的上述下載信息。例如���,對于由下載工具A下載到的文件�,由于下載工具A在下載到文件之后要執(zhí)行重命名操作�����,因此����,在獲取文件名時需要區(qū)分獲取到的文件名是重命名之前的文件名還是重命名之后的文件名�����,只有重命名之前的文件名才是該下載文件最原始的文件名�����。
[0033]在步驟S220中獲取的下載文件的下載信息除了上面描述的信息之外�,還可以包括其他的信息���,例如�,下載文件的文件大小(字節(jié)數(shù))�、內(nèi)容概要、主題名稱等各類信息���。
[0034]另外����,在步驟S220中獲取到上述下載信息之后��,還要進一步將這些下載信息保存到預設的下載日志中����,以便于在后續(xù)過程中進行查詢����。在下載日志中存儲這些下載信息時�,可以將一個下載文件對應的下載信息存儲為一條存儲條目,在該條存儲條目中�,將每項下載信息分別作為該條存儲條目中的一個信息項。在后續(xù)查詢時���,可以按照各個信息項進行查詢����。
[0035]步驟S230:對上述下載文件進行掃描����,以確定下載文件的安全等級�。
[0036]其中,對下載文件進行掃描時��,主要是判斷該下載文件是否屬于病毒文件或欺詐文件�,具體的判斷方式可采用多種方式,由于具體的掃描細節(jié)會涉及到多種情況����,因此����,為了描述的緊湊性��,本文將在該實施例的最后部分集中介紹一種可能的掃描方式����,此處暫時略去對掃描細節(jié)的描述。
[0037]另外���,在步驟S230中����,還可以進一步將確定出的安全等級作為一個信息項存儲到步驟S220中提到的下載日志中�����。
[0038]步驟S240:根據(jù)下載文件的安全等級�����,為下載文件設置與該安全等級對應的管理操作入口�。
[0039]其中,下載文件的安全等級可以包括安全級、未知級����、可疑/高度可疑級、以及危險級等多種等級��。具體地�����,可以根據(jù)文件的綜合得分來確定其安全等級�,例如可以設置得分在10-29之間的文件為安全級(該等級的文件為白文件),得分在30-49之間的文件為未知級(該等級的文件為灰文件)����,得分在50-69之間的文件為可疑/高度可疑級(該等級的文件為可疑文件),得分大于或等于70的文件為危險級(該等級的文件為惡意文件)�。當然��,還可以設置其他形式的安全等級�����,本發(fā)明對此并不加以限制���。具體實現(xiàn)時���,可以由服務器預先將各個安全等級的劃分規(guī)則下發(fā)給客戶端����,客戶端再依據(jù)服務器下發(fā)的劃分規(guī)則來確定下載文件的安全等級��。
[0040]具體地���,安全級對應的管理操作入口包括打開入口���、備份入口和刪除入口等;未知級對應的管理操作入口包括隔離打開入口�、備份入口和刪除入口等;危險級對應的管理操作入口包括恢復入口����、備份入口和刪除入口等。由此可見����,備份入口和刪除入口是各個安全等級都具備的管理操作入口,也就是說�����,無論下載文件屬于安全級還是危險級,都可以通過本方法中提供的相應管理操作入口方便地對其執(zhí)行備份操作或刪除操作����。其中,備份入口既可以是將下載文件備份到客戶端本地����,也可以是將下載文件進一步備份到云端服務器上,以便在客戶端故障時也能查詢到該下載文件��,并且備份到云端服務器上還可以實現(xiàn)下載文件的共享操作��。
[0041]對于安全級的下載文件來說��,其獨有的管理操作入口為打開入口�,通過該入口可以直接打開下載文件,由于已經(jīng)判斷出下載文件是安全的����,因此此處提供的打開入口并不會對用戶的計算機造成任何威脅�����。對于未知級的下載文件來說,其獨有的管理操作入口為隔離打開入口��,通過該入口可以對下載文件進行隔離打開���,在隔離打開的過程中�,即使文件本身攜帶病毒也不會傳染給用戶的計算機����,因此能夠顯著降低未知文件對用戶計算機的威脅。對于危險級的下載文件來說�����,其獨有的管理操作入口為恢復入口���,具體原因在于:在本方法中���,如果掃描出下載文件屬于危險級,則會直接將其刪除��,以便最大程度地保護用戶計算機�,在下載文件被刪除之后,用戶還可以通過恢復入口找回已刪除的下載文件�,從而實現(xiàn)防止誤操作的目的���。
[0042]由此可見,為每個下載文件設置管理操作入口時����,是根據(jù)下載文件的安全等級來確定要設置的管理操作入口的類型和數(shù)量的,從而能夠滿足各種安全等級的文件的不同需求��。
[0043]圖3示出了不同安全等級的下載文件所對應的管理操作入口的示意圖����。如圖3所示,第一個下載文件為危險級��,因而其對應的管理操作入口包括“打開恢復區(qū)”這一恢復入口 ����;第二個和第三個下載文件為未知級,因而其對應的管理操作入口包括“隔離打開”入口 ���;第四個至第六個下載文件為安全級���,因而其對應的管理操作入口包括“打開” A 口。
[0044]另外����,參見圖3可知,在步驟S240中��,還可以進一步顯示步驟S220中保存在下載日志中的各項下載信息���,以便用戶全面了解該下載文件的具體情況�����。例如����,在圖3中�����,對于每個下載文件�,還分別顯示出了該下載文件所對應的下載工具以及下載時間等下載信息。
[0045]上述的步驟S210至步驟S240中的操作可以在每次下載完文件之后執(zhí)行�����,以便顯示出剛剛下載完的文件的相關信息���,并便于用戶通過管理操作入口來管理剛剛下載完的文件�。
[0046]另外,為了便于用戶對所有已下載的文件進行統(tǒng)一管理��,本發(fā)明實施例中的方法還可以進一步包括下述的步驟S250��,該步驟S250可以是一個預先執(zhí)行的步驟�,其目的在于對當前所有的已下載文件進行統(tǒng)一管理。
[0047]步驟S250:設置按下載信息顯示各個下載文件及每個下載文件的管理操作入口的功能選項����。其中,上述功能選項進一步包括:按文件類型顯示選項��、按下載工具顯示選項��、以及按下載時間顯示選項�����。
[0048]通俗地說����,步驟S250的作用在于:在用戶計算機的顯示界面上設置一個或多個功能選項,當用戶點擊這些功能選項時,就可以通過這些功能選項來統(tǒng)一管理當前所有的已下載文件����。例如,圖3示出了 “按下載時間整理”�����、“按文件類型整理”以及“按下載工具整理”這三個功能選項�����。假設用戶執(zhí)行了點擊“按下載時間整理”的功能選項的動作��,該動作將觸發(fā)該功能選項向后臺程序發(fā)送一個按照下載時間來顯示各個下載文件以及每個下載文件的管理操作入口的指令����,后臺程序接收到該指令之后�����,則會查詢步驟S220中存儲的下載日志��,并在下載日志中按照“下載時間”這一信息項對所有的存儲條目進行排序�����,然后根據(jù)排序后的結果來顯示各個下載文件以及每個下載文件的管理操作入口。這樣���,用戶就可以按照下載時間從新到舊(或從舊到新)的順序來瀏覽所有的已下載文件���,從而便于用戶按照時間順序來查找某個已下載文件。并且�,由于顯示出的每個已下載文件都對應著相應的管理操作入口,例如���,對于一個安全級的下載文件來說�,其對應著打開入口�����、備份入口以及刪除入口等入口 �����;對于一個未知級的下載文件來說���,其對應著隔離打開入口����、備份入口以及刪除入口等入口,因此��,用戶還可以方便地對查找到的已下載文件執(zhí)行管理操作����。
[0049]由此可見,步驟S250是一個預先設置好的步驟�����,該步驟的作用在于向用戶提供按照下載信息來查詢所有已下載文件的功能�。每當用戶點擊步驟S250中設置的功能選項時����,相應的功能就將被啟用。在本發(fā)明中�����,對用戶點擊步驟S250中設置的功能選項的時機不作限定����,用戶可以根據(jù)自身的需求在任何時候點擊相應的功能選項,以便啟用對應的查詢功倉泛。
[0050]通過本發(fā)明提供的下載文件的管理方法�,能夠首先確定出下載文件的安全等級,以便杜絕惡意文件對用戶造成的損害�����;其次���,還可以為各個下載文件分別設置與其安全等級對應的管理操作入口�,以便于用戶即時管理剛剛下載完的文件�����;另外��,在本發(fā)明中�����,還提供了多個功能選項���,以便按照下載信息的類型來查詢并管理已下載文件�。由此可見����,用戶通過本發(fā)明提供的方法����,可以實現(xiàn)對所有已下載文件(無論其屬于安全級文件還是危險級文件)進行管理的功能�,從而為用戶提供了便利。
[0051]最后���,集中介紹一下本發(fā)明實施例中的步驟S230的一種可能的實現(xiàn)方式�����。圖4示出了在該種實現(xiàn)方式中����,步驟S230所包含的下述各個子步驟:
[0052]步驟S231:掃描并獲取與下載文件的文件內(nèi)容相對應的文件特征信息�。
[0053]步驟S232:查詢預設的本地特征信息庫���,根據(jù)預設規(guī)則(例如正則表達式規(guī)則和/或字符串匹配規(guī)則等)判定文件內(nèi)容對應的文件特征信息是否與該本地特征信息庫中存儲的信息項匹配��。
[0054]其中��,步驟S231中提到的文件特征信息可以包含多種實現(xiàn)方式��,相應地����,步驟S232中提到的本地特征信息庫中存儲的信息項的具體內(nèi)容是與文件特征信息的實現(xiàn)方式相對應的。下面就給出文件特征信息的下述三種實現(xiàn)方式:
[0055]在第一種實現(xiàn)方式中�,下載文件的文件內(nèi)容所對應的文件特征信息是指:該文件內(nèi)容對應的URL地址。這里�,對于MHT格式的網(wǎng)頁文件來說,文件內(nèi)容對應的URL地址通常是指在文件內(nèi)容(即網(wǎng)頁文件的文件正文)中所包含的一個或多個URL地址����,這些URL地址既可以采用可點擊的超鏈接形式實現(xiàn),也可以采用能夠被復制的文本形式實現(xiàn)��。對于其他的網(wǎng)頁文件來說,文件內(nèi)容對應的URL地址除了包括文件內(nèi)容中所包含的一個或多個URL地址之外��,還可以包括該網(wǎng)頁文件本身的URL地址(即出現(xiàn)在該網(wǎng)頁文件的地址欄中的URL地址�,通過該地址能夠打開該網(wǎng)頁文件)。相應地�,本地特征信息庫中存儲的信息項包括:多個安全等級的URL信息項。其中��,安全等級至少包括危險級和安全級�����。優(yōu)選地,還可以對安全等級進行更多層次的劃分����,以便準確地確定出某一下載文件的危險指數(shù)。例如�,可以將安全等級按照危險指數(shù)從高到低的順序進一步劃分為危險級、可疑級�、未知級和安全級四個等級(具體參見步驟S240中的描述),每個等級分別對應一個或多個URL信息項�����。其中���,每個等級所對應的各個URL信息項既可以是完整的URL地址��,也可以是URL地址中所包含的部分片段��。具體地,在獲取每個等級所對應的URL信息項時��,可以通過機器學習算法對預設數(shù)量的樣本進行分析得到�。
[0056]在第二種實現(xiàn)方式中,下載文件的文件內(nèi)容所對應的文件特征信息是指:該文件內(nèi)容中包含的明文字符串����。例如�,文件內(nèi)容中包含的以明文形式出現(xiàn)的中文字詞�、英文單詞等均可以作為明文字符串。具體地��,在獲取這些明文字符串時����,只需對文件內(nèi)容進行分詞處理即可。相應地��,本地特征信息庫中存儲的信息項包括:多個安全等級的明文字符串集合����。其中,安全等級可直接參照上面的劃分方式進行劃分��,每個等級分別對應一個或多個明文字符串集合����。例如,由“幸運用戶”和“中獎”這兩個明文字符串所構成的集合就可以作為危險級所對應的一個明文字符串集合���,如果一個下載文件中包含該明文字符串集合�,則很可能表示該下載文件為“釣魚文件”。所謂“釣魚文件”是指不法分子利用各種手段��,仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容���,或者利用真實網(wǎng)站服務器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼�����,以此來騙取用戶銀行或信用卡賬號���、密碼等私人資料。具體地�,在獲取每個等級所對應的明文字符串集合時,也可以通過機器學習算法對預設數(shù)量的樣本進行分析得到�。
[0057]在第三種實現(xiàn)方式中,下載文件的文件內(nèi)容所對應的文件特征信息是指:文件內(nèi)容對應的文件頁面元素��。這里提到的文件頁面元素主要包括:圖片��、文本特征和網(wǎng)頁鏈接等內(nèi)容����。第三種實現(xiàn)方式與第二種實現(xiàn)方式的主要區(qū)別在于:文件頁面元素的概念與明文字符串的概念相比����,前者所涵蓋的內(nèi)容更多更豐富����,因而能夠更全面地體現(xiàn)出文件的特征���。例如��,在本實施例中�,可以通過文檔對象模型DOM樹來表示上述的文件頁面元素�����。通過DOM樹能夠清楚地反映出一篇文檔的頁面結構和頁面內(nèi)容�。在介紹DOM樹的結構之前,先介紹一下網(wǎng)頁文件的常見結構:在網(wǎng)頁文件上包括多塊內(nèi)容��,例如顯示的文本內(nèi)容(如關于該網(wǎng)頁主題的文字表述),URL內(nèi)容���、顯示的圖片內(nèi)容���、視頻內(nèi)容等。每塊內(nèi)容對應一個頁面組件,各頁面組件有各自不同的數(shù)據(jù)內(nèi)容��,數(shù)據(jù)內(nèi)容記載了該頁面組件在頁面上展示的結構和樣式�。以圖片內(nèi)容為例,其對應的頁面組件的數(shù)據(jù)內(nèi)容中包含在頁面上展示的圖片大小�����、圖片標題相對于圖片的位置�、圖片標題的文本格式,該文本格式包括字體大小��、顏色�����、字體類型等����。模塊列表中包含了各頁面組件模塊的數(shù)據(jù)內(nèi)容,數(shù)據(jù)內(nèi)容包括超文本標記語言(HTML, Hyper Text Mark-up Language)���、層疊樣式表(CSS, Cascading Style Sheet)和javascript組裝腳本等表現(xiàn)方式�����;模塊列表中的頁面組件模塊可采用表格方式排列��,也可采用圖形方式表示各頁面組件模塊�。DOM樹就是一種通過樹狀結構來描述上述的網(wǎng)頁文件結構的方式�。在構建DOM樹時,需要對文檔進行分析��,獲取其中的根元素以及各個元素����,據(jù)此明確整篇文檔的結構,其中�����,根元素可以通過html標識����,元素可以通過head、b0dy���、title等字節(jié)來標識�����;然后���,還要獲取各個元素對應的文本內(nèi)容��,該文本內(nèi)容包括圖片����、鏈接等����,據(jù)此明確整篇文檔所表述的內(nèi)容。由此可見��,通過DOM樹表示文件頁面元素的方式能夠全面地反應出一篇文檔所包含的內(nèi)容�����,因而不會遺漏任何釣魚內(nèi)容等惡意信息�,達到全面掃描的目的。
[0058]相應地�����,在第三種實現(xiàn)方式中�,本地特征信息庫中存儲的信息項包括:多個安全等級的頁面元素模板�����。其中�,安全等級可以參照前兩種實現(xiàn)方式中的劃分方式進行劃分���。這里,頁面元素模板也可以通過DOM樹來表示�����。例如�����,可以將危險級的文件所對應的DOM樹作為一個危險級的頁面元素模板����,將安全級的文件所對應的DOM樹作為一個安全級的頁面元素模板。具體地��,在獲取每個等級所對應的頁面元素模板時��,也可以通過機器學習算法對預設數(shù)量的樣本進行分析得到��。
[0059]上述的三種實現(xiàn)方式既可以單獨使用,也可以進行任意組合后使用�����。優(yōu)選地�����,為了實現(xiàn)更好地查殺效果��,可以在本實施例中同時使用上述的三種方式����,相應地,在本地特征信息庫中同時包含上述三種形式的信息項����。
[0060]下面以上述的第二種實現(xiàn)方式為例,詳細介紹一下通過機器學習的方式來確定出本地特征信息庫中的各個等級所對應的明文字符串集合的各個步驟:
[0061]第一步:預先獲取各個安全等級的樣本���,提取每個樣本的明文字符串集合�����。
[0062]本步驟中預先收集多個已確定出不同的安全等級的網(wǎng)頁作為樣本���。具體收集時�,既可以在網(wǎng)絡側(cè)通過網(wǎng)絡蜘蛛來抓取安全網(wǎng)頁或惡意網(wǎng)頁���,也可以在客戶端側(cè)收集用戶或技術人員提交的安全網(wǎng)頁或惡意網(wǎng)頁��。其中�����,網(wǎng)絡蜘蛛通過網(wǎng)頁的鏈接地址來尋找網(wǎng)頁,可以預置一些安全網(wǎng)頁的網(wǎng)址���,網(wǎng)絡蜘蛛從已知的安全網(wǎng)站的某一個頁面(通常是首頁)開始��,讀取網(wǎng)頁的內(nèi)容�,提取該網(wǎng)頁中的其它鏈接地址��,然后通過這些鏈接地址尋找下一個網(wǎng)頁�,這樣一直循環(huán)下去,直到把這個網(wǎng)站所有的網(wǎng)頁都抓取完為止���。收集到上述網(wǎng)頁之后����,分別從每個網(wǎng)頁的文件內(nèi)容中提取明文字符串。例如��,針對文件內(nèi)容中的某個語句“hello恭喜您中獎了”��,可以拆分為如下的十個明文字符串:
[0063]Hello
[0064]恭喜喜您您中中獎獎了
[0065]恭喜您喜您中您中獎中獎了
[0066]在具體的實現(xiàn)中���,每個明文字符串中所包含的字符個數(shù)可以依據(jù)具體的需要設定��。
[0067]第二步:合并符合預設相似條件的明文字符串�。
[0068]由于每個網(wǎng)頁都包含大量的明文字符串���,其中���,有很多冗余的信息,例如:恭喜和恭喜您���,含義相近����,其表征作用相近,可以做合并處理�。具體合并時,可采用如下方式合并:首先�,針對任意兩個明文字符串,提取這兩個明文字符串的最長公共子串����;然后,若該最長公共子串的字符個數(shù)符合第一預設范圍����,且這兩個明文字符串在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)的差值符合第二預設范圍,則刪除在各個安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)較小的明文字符串�。例如,“中華人民共和國”和“人民共和時代”的最長公共子串為“人民共和”�。提取最長公共子串后,進一步判斷����,這兩個明文字符串的最長公共子串的字符個數(shù)是否符合第一預設范圍�����,并且���,這兩個明文字符串在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)的差值符合第二預設范圍�。具體而言,第一預設范圍是指最長公共子串的字符個數(shù)�,不超過兩個明文字符串中任意一個的字符個數(shù)的預設比例(例如2/3),例如��,“人民共和”包含4個字符��,未超過“中華人民共和國”或“人民共和時代”的字符個數(shù)的2/3���。第二預設范圍是指��,兩個明文字符串在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)的差值�,小于較高出現(xiàn)次數(shù)的預設比例(例如1/10)����。例如,“中華人民共和國”在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)為100次��,“人民共和時代”在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)為50次��,兩者次數(shù)的差值為50次���,較高出現(xiàn)次數(shù)為100次的預設比例1/10為10次����,因此,差值50次超過了預設比例�����。若兩個明文字符串滿足如上的條件��,則刪除在安全網(wǎng)頁和危險網(wǎng)頁中總共出現(xiàn)的次數(shù)較小的一個明文字符串��。在本發(fā)明實施例中�����,可以通過LCS (Longest CommonSubsequence����,最長公共子序列)算法提取兩個明文字符串的最長公共子串,由于該算法是本領域技術人員所熟知的�����,因此略去對具體算法的說明��。另外�,在本步驟中,也可以對大量的明文字符串做一些歸一化的處理等操作�����。
[0069]本發(fā)明實施例中�,對提取的明文字符串中任意兩個表征信息進行比較,舍去符合上述條件的明文字符串后����,可以循環(huán)重復執(zhí)行合并的步驟,直至任意兩個明文字符串均不符合預設相似條件����,或是明文字符串的個數(shù)滿足預設個數(shù)為止。
[0070]第三步:統(tǒng)計合并后的各個明文字符串對劃分安全網(wǎng)頁和危險網(wǎng)頁的表征參數(shù)�����,并依據(jù)該表征參數(shù)篩選多個明文字符串作為網(wǎng)頁危險性(或安全性)的表征信息����。
[0071]具體地,對明文字符串進行合并后����,進一步需要篩選其中表征參數(shù)符合要求的明文字符串���。表征參數(shù)是明文字符串對劃分安全網(wǎng)頁和危險網(wǎng)頁的衡量參數(shù)。表征參數(shù)可以是明文字符串與危險網(wǎng)頁的相關性參數(shù)�����,也可以是明文字符串對劃分安全網(wǎng)頁和危險網(wǎng)頁的權重參數(shù)���。在本發(fā)明實施例中���,將相關性參數(shù)和權重參數(shù)結合起來對明文字符串進行篩選:首先,分別統(tǒng)計合并后的各個明文字符串與危險網(wǎng)頁的相關性參數(shù)�����,并篩選相關性參數(shù)從大到小排序靠前的明文字符串���;然后�,分別統(tǒng)計篩選后的各個明文字符串對劃分安全網(wǎng)頁和危險網(wǎng)頁的權重參數(shù)�����,并篩選權重參數(shù)從大到小排序靠前的明文字符串����。通過相關性參數(shù)和權重參數(shù)對明文字符串做兩次篩選,首先計算各個明文字符串與危險網(wǎng)頁的相關性參數(shù)�,然后篩選相關性參數(shù)從大到小排序靠前的明文字符串。具體的���,可以依據(jù)合并后的各個明文字符串在安全網(wǎng)頁和危險網(wǎng)頁中分別出現(xiàn)的次數(shù)�����,通過卡卡方檢驗法��,計算各個明文字符串與危險網(wǎng)頁的相關性參數(shù)����。并且�����,通過分類器計算各個明文字符串對劃分安全網(wǎng)頁和危險網(wǎng)頁的權重參數(shù)�,依據(jù)權重參數(shù)進行進一步的篩選。依據(jù)統(tǒng)計結果可以構建安全網(wǎng)頁和危險網(wǎng)頁的分類函數(shù)�����,例如,可以通過支持向量機線性分類器(support vectormachine, SVM)構建安全網(wǎng)頁和危險網(wǎng)頁的分類函數(shù)�。本發(fā)明實施例中,假設所有的明文字符串和目標(正常網(wǎng)頁和惡意網(wǎng)頁)是呈線性關系的�,線性SVM分類器最終的輸出是高維空間的一個超平面,在超平面的函數(shù)表達式中���,對每一維都會有一個不同的權重參數(shù)���,利用這個權重的高低對明文字符串進行篩選。本發(fā)明實施例中�����,先用卡方檢驗法對候選發(fā)明信息進行篩選��,再用SVM分類器再次進行篩選��,從而得出對劃分安全網(wǎng)頁和危險網(wǎng)頁表征參數(shù)較優(yōu)的表征信息�����。傳統(tǒng)的信息選擇方式是針對人工選擇的特征進行進一步的篩選�����,這種方式無法應對更新頻率極快的網(wǎng)頁結構。本發(fā)明實施例采用的是一種數(shù)據(jù)驅(qū)動的表征信息選擇方式�����,所有的表征信息都是通過對已知數(shù)據(jù)的統(tǒng)計分析得到�����,相比于人工篩選信息�����,本發(fā)明實施例大大提聞了彳目息提取的效率���。
[0072]第四步:依據(jù)上述表征信息訓練不同安全等級的明文字符串集合,并將訓練出的明文字符串集合依據(jù)其對應的安全等級存儲到本地特征信息庫的相應位置�����。
[0073]上面描述的通過機器學習方式來得到本地特征信息庫中的各個安全等級的信息項的方式僅為示意性的�����,本領域技術人員還可以靈活選擇其他機器學習方式來獲得本地特征信息庫中的各個安全等級的信息項���。而且�����,除了第二種實現(xiàn)方式中的明文字符串之外��,另外兩種實現(xiàn)方式中的不同安全等級的URL地址以及DOM模型也都可以通過機器學習的方式來得到��。
[0074]步驟S233:根據(jù)文件內(nèi)容對應的文件特征信息與上述本地特征信息庫中存儲的信息項的匹配結果來確定下載文件的安全等級���。由于本實施例中的文件特征信息包括上面提到的URL地址�����、明文字符串以及DOM樹��,因此��,需要將這三項信息分別與本地特征信息庫中的相應信息項進行匹配�����,如果這三項信息中的至少一項信息與本地特征信息庫中的危險級的信息項相匹配�����,則表明該下載文件的安全等級為危險級�,此時,可以直接提示給用戶�����,由用戶選擇是否刪除�����;或者��,也可以在確定出該文件為危險級時直接刪除該文件���。如果這三項信息分別與本地特征信息庫中的安全級的信息項相匹配,則表明該下載文件的安全等級為安全級�����,此時�����,可提示用戶放心下載。具體地���,在匹配時���,可以通過正則表達式匹配、字符串匹配��、相似度匹配等多種方式來匹配�。
[0075]通過上述掃描方式,能夠在掃描時對下載文件的文件內(nèi)容進行分析��,并據(jù)此提取出URL地址和/或明文字符串���,甚至還可以進一步構建出下載文件的DOM樹����,由此能夠全面分析下載文件的文件特征��,由此發(fā)現(xiàn)惡意文件���。本發(fā)明實施例提供的方法尤其適用于對釣魚網(wǎng)頁的掃描��。
[0076]另外�����,在步驟S230中����,除了上面介紹的在客戶端本地對下載文件進行掃描的實現(xiàn)方式之外,還可以進一步應用云安全服務器來實現(xiàn)掃描����。為此,步驟S230還可以進一步包括步驟S234��。在步驟S234中��,當根據(jù)匹配結果確定下載文件的安全等級為危險級時�,進一步將該下載文件的文件特征信息上報給云安全服務器�����。例如�����,當確定某一下載文件的安全等級為危險級時���,將該下載文件的文件特征信息(包括URL地址����、明文字符串和/或DOM樹)上報給云安全服務器。同理��,當確定某一下載文件的安全等級為安全級時�����,也可以將該下載文件的文件特征信息上報給云安全服務器�。相應地,在云安全服務器上也維護有一個云端特征信息庫���,該云端特征信息庫中同樣存儲有多個安全等級的信息項(包括URL地址�����、明文字符串和/或DOM樹)�����。另外�,由于每個客戶端都會在掃描結束后向云安全服務器匯報其最新發(fā)現(xiàn)的危險級或安全級的信息項����,因而��,云端特征信息庫中的內(nèi)容是不斷更新的����,因而���,通過云端特征信息庫能夠?qū)Σ煌燃壍男畔㈨椷M行全面匯總�����。相應地�����,各個客戶端都可以分享到云端特征信息庫中的匯總結果���。例如�����,各個客戶端可以每隔預設的時間間隔向云安全服務器請求最新的云端特征信息庫中的內(nèi)容�����,以便對其本地的特征信息庫進行更新?����;蛘?����,也可以由客戶端在本地特征信息庫無法判斷某一下載文件的安全等級時���,進一步查詢云安全服務器�,以便獲知查詢結果��,此時���,步驟S230還可以進一步包括步驟S235�����。
[0077]在步驟S235中����,當下載文件對應的文件特征信息與本地特征信息庫中存儲的信息項不匹配時,將該文件特征信息發(fā)送給云安全服務器�;根據(jù)云安全服務器返回的查詢結果,確定下載文件的安全等級����;并且,根據(jù)該查詢結果進行文件特征信息的分析和提取��,根據(jù)分析和提取的結果���,更新本地特征信息庫中存儲的信息項�。
[0078]由此可見��,當步驟S230通過上述方式實現(xiàn)時��,能夠結合多項內(nèi)容來判斷下載文件的安全性���,例如�����,可以結合URL地址、明文字符串��、DOM樹等內(nèi)容來進行判斷,因此�����,能夠發(fā)現(xiàn)任何隱含的釣魚信息等惡意信息�����,即使對于本身沒有URL地址的MHT等網(wǎng)頁文件也可以通過對文件內(nèi)容的分析來判斷其是否為惡意文件�,因此,大幅提高了掃描的準確性和全面性����。而且,由于在步驟S230中可以通過機器學習的方式來生成特征信息庫中的各個信息項���,因此��,在后續(xù)的判斷過程中����,對于新出現(xiàn)的惡意網(wǎng)頁�,也可以通過該網(wǎng)頁與特征信息庫中的各個信息項之間的相似度來確定其安全等級,因而能夠檢測到新出現(xiàn)的惡意網(wǎng)頁��,因此能夠?qū)Ω卵杆偾仪ё內(nèi)f化的惡意網(wǎng)頁進行防范。
[0079]除了上面描述的掃描方式之外�����,在步驟S230中��,還可以進一步根據(jù)文件類型來設置掃描策略����。此時,在步驟S230的執(zhí)行過程中�,需要先判斷出下載文件的文件類型,然后�����,針對不同的文件類型來執(zhí)行對應的掃描策略�����。例如��,如果判斷出下載文件為PE類型的文件����,貝1J需要先計算該文件的MD5值和/或QVM (QihooSupportVectorMachine,支持向量機)特征等,然后根據(jù)計算結果確定掃描策略���;如果判斷出下載文件為圖片類型的文件�����,則需要查詢一下預設的圖片庫�����,以便確定該圖片的安全等級�����;如果判斷出下載文件為壓縮類型的文件���,則需要先對壓縮包進行解壓操作,然后再針對解壓出來的文件執(zhí)行上述操作����。
[0080]這里,對于壓縮包格式的下載文件來說���,在步驟S230的掃描過程中可以將解壓縮之后的文件信息保存到本地(例如����,可以通過提示用戶執(zhí)行“掃描并解壓”的操作來實現(xiàn)),這樣�����,在掃描的同時就可以完成解壓的操作��,當用戶在后續(xù)過程中要用到該壓縮包格式的下載文件時���,無需重復執(zhí)行解壓操作���,由此為用戶提供了便利。具體地�,為了實現(xiàn)掃描同時解壓的目的,可以進一步在數(shù)據(jù)庫中添加壓縮包的信息記錄�,該壓縮包的信息記錄可以包括下面信息中的一種或多種,比如該壓縮包的下載來源����、壓縮包的存放路徑、壓縮包的特征標識等���。其中�,下載來源主要包括該壓縮包下載過程涉及的各種相關信息中的一種或多種,比如下載工具類型�����、下載URL (Uniform Resource Locator,統(tǒng)一資源定位符)及網(wǎng)頁URL等�����,除了此處列舉的之外��,如果還有其他可以在下載過程中或下載完成時獲取的信息�,也都可以記錄下來�。上面提到的下載工具類型一般是指壓縮包等下載文件是通過什么途徑下載的,比如即時通訊工具�����、郵件客戶端等�,例如,可以支持Outlook/Foxmail等郵件客戶端,還可以進一步的支持WEB瀏覽器�����,IE/Chrome等專用下載工具,迅雷/電驢等下載工具等��。
[0081]其中��,壓縮包的格式可以包括ace�、winrar、ar����、ip、tar��、cab����、uue、jar�����、iso�����、z��、7-zip、lzh��、arj����、gzip、bz2等多種格式�����??赏ㄟ^如下方式獲得壓縮包的格式:首先����,監(jiān)控程序的進程創(chuàng)建操作;然后�����,獲取被創(chuàng)建進程執(zhí)行時的命令行參數(shù)���;其次����,根據(jù)被創(chuàng)建進程執(zhí)行時的命令行參數(shù),得到壓縮包對應的被創(chuàng)建進程的進程路徑�;最后,根據(jù)進程路徑包含的進程文件的文件名��,得到壓縮包的壓縮格式�。其中,監(jiān)控進程創(chuàng)建操作的具體方式可以有很多種����,例如捕獲進程創(chuàng)建的相關函數(shù)。通過監(jiān)控進程創(chuàng)建操作��,不但可以獲得被創(chuàng)建進程執(zhí)行時的命令行參數(shù)��,還可以獲得被創(chuàng)建進程的進程路徑�。另外,解壓縮進程在解壓出一個文件時��,還會生成與文件相關的其他信息����,比如文件名稱信息、文件描述信息����、文件大小信息���、文件版本信息、文件特征值信息�、內(nèi)部名稱信息、公司名稱信息����、版權聲明信息、產(chǎn)品名稱信息��、產(chǎn)品版本信息����、數(shù)字簽名公司信息�����,以及待執(zhí)行程序創(chuàng)建的進程的命令行信息��、進程路徑信息和父進程路徑信息等���,這些信息都可以記錄到預設的解壓縮數(shù)據(jù)庫�����。并且�����,本發(fā)明中提到的下載文件不僅包括上述直接解壓縮出來的文件��,還包括衍生文件�����、在文件執(zhí)行過程中加載的其他文件�、以及通過多層進程生成的文件等。而且���,下載文件還可能是可執(zhí)行文件(PE文件)����,也可能是非可執(zhí)行文件����。其中,可執(zhí)行文件包括但不限于exe類文件��、腳本文件、批處理文件以及l(fā)ink文件等�。
[0082]綜上所述,本發(fā)明提供的下載文件的管理方法既能夠?qū)崿F(xiàn)高效準確地文件掃描���,又能夠針對掃描后的文件提供對應的管理操作入口�,以方便用戶的管理操作��。
[0083]另外��,在本發(fā)明中����,通過下載日志保存了用戶的所有下載行為,基于該下載日志����,可以建立各個下載文件之間的關系鏈,從而根據(jù)該關系鏈攔截惡意文件��。例如��,對于一個通過下載得到的文件�,查詢下載日志后就可以知道該下載文件是通過聊天工具傳輸過來的��,還是通過某一下載工具下載下來的��,而且還可以確定該下載文件下載時所對應的下載鏈,這里���,下載鏈是指由該下載文件下載之前和之后所下載的文件構成的鏈表���,由此能夠建立起一個便于防御的關系鏈。例如��,假設在淘寶購物的場景下����,用戶通過聊天工具接收了一個PE文件,這時�,就可以根據(jù)下載日志對該PE文件進行重點監(jiān)控,比如監(jiān)控它移動到了哪個位置����,做了哪些敏感操作(例如直接運行,修改注冊表等危險操作)���,這樣���,一旦該文件執(zhí)行了敏感操作就將被攔截,由此提高了攔截惡意文件時的針對性。除此之外��,通過下載日志還可以獲取到下載文件的下載來源�����,并據(jù)此將誤刪除的文件找回�。另外,如果通過下載日志表明用戶經(jīng)常從某一網(wǎng)站下載文件��,也可以對該下載網(wǎng)站進行收藏�,以方便用戶的使用??傊孟螺d日志中保存的信息項能夠進行多種有益的操作����。
[0084]圖5示出了本發(fā)明實施例提供的下載文件的管理裝置的結構圖。如圖5所示�,該管理裝置500包括:獲取模塊51、掃描模塊52以及管理模塊53�。[0085]其中,獲取模塊51在監(jiān)測到文件下載完成后��,根據(jù)下載路徑獲取下載文件����。
[0086]掃描模塊52對下載文件進行掃描,以確定該下載文件的安全等級��。
[0087]管理模塊53根據(jù)下載文件的安全等級���,為下載文件設置與該安全等級對應的管理操作入口���。
[0088]其中,下載文件的安全等級包括:安全級��、未知級和危險級���,其中��,安全級對應的管理操作入口包括打開入口����,危險級對應的管理操作入口包括恢復入口�,未知級對應的管理操作入口包括隔離打開入口。另外�����,與安全級、危險級和/或未知級對應的管理操作入口還包括:備份入口和刪除入口�。
[0089]可選地,該裝置500進一步包括:日志存儲模塊54�,用于確定下載文件的下載信息,將下載信息保存到預設的下載日志中����,其中,下載信息包括:文件名�、文件類型、對應的下載工具��、存儲位置和/或下載時間�����。相應地���,管理模塊53進一步適于:設置按下載信息顯示各個下載文件及每個下載文件的管理操作入口的功能選項�,該功能選項進一步包括:按文件類型顯示選項����、按下載工具顯示選項、以及按下載時間顯示選項�����。
[0090]其中�,掃描模塊52具體適于:掃描并獲取與下載文件的文件內(nèi)容相對應的文件特征信息;查詢預設的本地特征信息庫�,根據(jù)預設規(guī)則判定文件內(nèi)容相對應的文件特征信息是否與本地特征信息庫中存儲的信息項匹配;根據(jù)匹配結果確定下載文件的安全等級��。其中�����,文件內(nèi)容相對應的文件特征信息包括:下載文件對應的URL地址���,則本地特征信息庫中存儲的信息項包括:多個安全等級的URL信息項���;和/或,文件內(nèi)容相對應的文件特征信息包括:下載文件中包含的明文字符串�����,則特征信息庫中存儲的信息項包括:多個安全等級的明文字符串集合����;和或�����,文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的文件頁面元素����,該文件頁面元素進一步包括:圖片���、文本特征和網(wǎng)頁鏈接����,則本地特征信息庫中存儲的信息項包括:多個安全等級的頁面元素模板���;其中����,文件頁面元素以及頁面元素模板通過文檔對象模型DOM樹表示�。
[0091]上述各個模塊的具體工作過程可參照方法實施例中相應部分的描述,此處不再贅述��。
[0092]在本發(fā)明提供的下載文件的管理方法及裝置中���,每當監(jiān)測到文件下載完成后���,就會根據(jù)下載路徑獲取到剛剛下載完的下載文件����,并對該下載文件進行掃描���,以便確定出該下載文件的安全等級,從而能夠識別出惡意文件����。然后,在本方法及裝置中�����,還會進一步根據(jù)確定出的下載文件的安全等級����,為該下載文件設置與其安全等級相對應的管理操作入口,用戶直接通過這些管理操作入口就可以對下載文件進行管理��,從而簡化了管理操作的復雜度����,為用戶提供了便利���。由此實現(xiàn)了既能夠識別出惡意文件,又能夠?qū)ヂ?lián)網(wǎng)上下載的各類文件進行有效管理的技術效果����。
[0093]在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設備固有相關����。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述�����,構造這類系統(tǒng)所要求的結構是顯而易見的�����。此外���,本發(fā)明也不針對任何特定編程語言�。應當明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式��。
[0094]在此處所提供的說明書中�,說明了大量具體細節(jié)。然而�����,能夠理解���,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中��,并未詳細示出公知的方法���、結構和技術��,以便不模糊對本說明書的理解����。
[0095]類似地,應當理解�,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中�,本發(fā)明的各個特征有時被一起分組到單個實施例、圖�、或者對其的描述中。然而��,并不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征����。更確切地說,如下面的權利要求書所反映的那樣���,發(fā)明方面在于少于前面公開的單個實施例的所有特征���。因此,遵循【具體實施方式】的權利要求書由此明確地并入該【具體實施方式】���,其中每個權利要求本身都作為本發(fā)明的單獨實施例����。
[0096]本領域那些技術人員可以理解�,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件��,以及此外可以把它們分成多個子模塊或子單元或子組件�����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外���,可以采用任何組合對本說明書(包括伴隨的權利要求�、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合�。除非另外明確陳述,本說明書(包括伴隨的權利要求���、摘要和附圖)中公開的每個特征可以由提供相同�、等同或相似目的的替代特征來代替����。
[0097]此外�,本領域的技術人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征���,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例����。例如,在下面的權利要求書中���,所要求保護的實施例的任意之一都可以以任意的組合方式來使用��。
[0098]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)�,或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)���,或者以它們的組合實現(xiàn)����。本領域的技術人員應當理解����,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP )來實現(xiàn)根據(jù)本發(fā)明實施例的裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如���,計算機程序和計算機程序產(chǎn)品)�����。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上����,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到��,或者在載體信號上提供�,或者以任何其他形式提供。
[0099]應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制����,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中����,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟���。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)����。在列舉了若干裝置的單元權利要求中�����,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一����、第二、以及第三等的使用不表示任何順序��??蓪⑦@些單詞解釋為名稱。
[0100]本發(fā)明還提供了 Al�、一種下載文件的管理方法,包括:
[0101]監(jiān)測到文件下載完成后����,根據(jù)下載路徑獲取下載文件;
[0102]對所述下載文件進行掃描�,以確定所述下載文件的安全等級;
[0103]根據(jù)所述下載文件的安全等級����,為所述下載文件設置與該安全等級對應的管理操作入口。
[0104]A2�����、如Al所述的方法,其中���,所述下載文件的安全等級包括:安全級�、未知級和危險級���,其中����,安全級對應的管理操作入口包括打開入口����,危險級對應的管理操作入口包括恢復入口,未知級對應的管理操作入口包括隔離打開入口���。
[0105]A3���、如A2所述的方法,其中���,與安全級����、危險級和/或未知級對應的管理操作入口還包括:備份入口和刪除入口����。
[0106]A4、如Al所述的方法���,其中����,根據(jù)下載路徑獲取下載文件的步驟之后進一步包括步驟:確定所述下載文件的下載信息��,將所述下載信息保存到預設的下載日志中���,其中�,所述下載信息包括:文件名�、文件類型、對應的下載工具�、存儲位置和/或下載時間。
[0107]A5�、如A4所述的方法,其中��,進一步包括:設置按下載信息顯示各個下載文件及每個下載文件的管理操作入口的功能選項�����,所述功能選項進一步包括:按文件類型顯示選項、按下載工具顯示選項���、以及按下載時間顯示選項�。
[0108]A6��、如A1-5任一所述的方法�����,其中��,所述對所述下載文件進行掃描�,以確定所述下載文件的安全等級的步驟具體包括:
[0109]掃描并獲取與所述下載文件的文件內(nèi)容相對應的文件特征信息;
[0110]查詢預設的本地特征信息庫���,根據(jù)預設規(guī)則判定所述文件內(nèi)容相對應的文件特征信息是否與所述本地特征信息庫中存儲的信息項匹配��;
[0111]根據(jù)匹配結果確定所述下載文件的安全等級�。
[0112]A7���、如A6所述的方`法���,其中�����,所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的URL地址,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的URL信息項�����;和/或��,
[0113]所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件中包含的明文字符串���,則所述特征信息庫中存儲的信息項包括:多個安全等級的明文字符串集合�����;和或����,
[0114]所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的文件頁面元素�,所述文件頁面元素進一步包括:圖片、文本特征和網(wǎng)頁鏈接,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的頁面元素模板��;其中���,所述文件頁面元素以及頁面元素模板通過文檔對象模型DOM樹表示��。
[0115]B8���、一種下載文件的管理裝置,包括:
[0116]獲取模塊�����,適于在監(jiān)測到文件下載完成后��,根據(jù)下載路徑獲取下載文件��;
[0117]掃描模塊��,適于對所述下載文件進行掃描�,以確定所述下載文件的安全等級;
[0118]管理模塊���,適于根據(jù)所述下載文件的安全等級�����,為所述下載文件設置與該安全等級對應的管理操作入口���。
[0119]B9�����、如B8所述的裝置,其中�,所述下載文件的安全等級包括:安全級、未知級和危險級����,其中,安全級對應的管理操作入口包括打開入口�����,危險級對應的管理操作入口包括恢復入口��,未知級對應的管理操作入口包括隔離打開入口��。
[0120]BlO^n B9所述的裝置����,其中���,與安全級、危險級和/或未知級對應的管理操作入口還包括:備份入口和刪除入口����。
[0121]B11、如B8所述的裝置��,其中��,進一步包括:日志存儲模塊�,適于確定所述下載文件的下載信息,將所述下載信息保存到預設的下載日志中����,其中,所述下載信息包括:文件名���、文件類型����、對應的下載工具�、存儲位置和/或下載時間����。
[0122]B12���、如Bll所述的裝置����,其中����,所述管理模塊進一步適于:設置按下載信息顯示各個下載文件及每個下載文件的管理操作入口的功能選項,所述功能選項進一步包括:按文件類型顯示選項���、按下載工具顯示選項、以及按下載時間顯示選項��。
[0123]B13����、如B8-12任一所述的裝置,其中��,所述掃描模塊具體適于:掃描并獲取與所述下載文件的文件內(nèi)容相對應的文件特征信息����;查詢預設的本地特征信息庫��,根據(jù)預設規(guī)則判定所述文件內(nèi)容相對應的文件特征信息是否與所述本地特征信息庫中存儲的信息項匹配��;根據(jù)匹配結果確定所述下載文件的安全等級�。
[0124]B14��、如B13所述的裝置�,其中,所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的URL地址�,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的URL信息項;和/或�����,
[0125]所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件中包含的明文字符串�,則所述特征信息庫中存儲的信息項包括:多個安全等級的明文字符串集合;和或����,
[0126]所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的文件頁面元素,所述文件頁面元素進一步包括:圖片���、文本特征和網(wǎng)頁鏈接����,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的頁面元素模板;其中��,所述文件頁面元素以及頁面元素模板通過文檔對象模型DOM樹表示�����。
【權利要求】
1.一種下載文件的管理方法��,包括: 監(jiān)測到文件下載完成后����,根據(jù)下載路徑獲取下載文件; 對所述下載文件進行掃描��,以確定所述下載文件的安全等級����; 根據(jù)所述下載文件的安全等級�,為所述下載文件設置與該安全等級對應的管理操作入□。
2.如權利要求1所述的方法��,其中�����,所述下載文件的安全等級包括:安全級、未知級和危險級�����,其中�,安全級對應的管理操作入口包括打開入口,危險級對應的管理操作入口包括恢復入口����,未知級對應的管理操作入口包括隔離打開入口。
3.如權利要求2所述的方法����,其中,與安全級��、危險級和/或未知級對應的管理操作入口還包括:備份入口和刪除入口�����。
4.如權利要求1所述的方法�,其中,根據(jù)下載路徑獲取下載文件的步驟之后進一步包括步驟:確定所述下載文件的下載信息,將所述下載信息保存到預設的下載日志中�����,其中�����,所述下載信息包括:文件名����、文件類型、對應的下載工具�、存儲位置和/或下載時間。
5.如權利要求4所述的方法�����,其中��,進一步包括:設置按下載信息顯示各個下載文件及每個下載文件的管理操作入口的功能選項�����,所述功能選項進一步包括:按文件類型顯示選項����、按下載工具顯示選項、以及按下載時間顯示選項�����。
6.如權利要求1-5任一所述的方法��,其中��,所述對所述下載文件進行掃描�,以確定所述下載文件的安全等級的步驟具體包括: 掃描并獲取與所述下載文件的文件內(nèi)容相對應的文件特征信息;` 查詢預設的本地特征信息庫��,根據(jù)預設規(guī)則判定所述文件內(nèi)容相對應的文件特征信息是否與所述本地特征信息庫中存儲的信息項匹配����; 根據(jù)匹配結果確定所述下載文件的安全等級。
7.如權利要求6所述的方法��,其中�,所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的URL地址,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的URL信息項�;和/或, 所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件中包含的明文字符串�����,則所述特征信息庫中存儲的信息項包括:多個安全等級的明文字符串集合;和或����, 所述文件內(nèi)容相對應的文件特征信息包括:所述下載文件對應的文件頁面元素,所述文件頁面元素進一步包括:圖片���、文本特征和網(wǎng)頁鏈接��,則所述本地特征信息庫中存儲的信息項包括:多個安全等級的頁面元素模板��;其中����,所述文件頁面元素以及頁面元素模板通過文檔對象模型DOM樹表示���。
8.一種下載文件的管理裝置��,包括: 獲取模塊��,適于在監(jiān)測到文件下載完成后��,根據(jù)下載路徑獲取下載文件��; 掃描模塊����,適于對所述下載文件進行掃描��,以確定所述下載文件的安全等級���; 管理模塊�,適于根據(jù)所述下載文件的安全等級�����,為所述下載文件設置與該安全等級對應的管理操作入口��。
9.如權利要求8所述的裝置��,其中�,所述下載文件的安全等級包括:安全級、未知級和危險級��,其中��,安全級對應的管理操作入口包括打開入口�,危險級對應的管理操作入口包括恢復入口�����,未知級對應的管理操作入口包括隔離打開入口�。
10.如權利要求9所述的裝置����,其中,與安全級�����、危險級和/或未知級對應的管理操作入口還包括:備份入口和 刪除入口�。
【文檔編號】H04L29/06GK103716394SQ201310739781
【公開日】2014年4月9日 申請日期:2013年12月26日 優(yōu)先權日:2013年12月26日
【發(fā)明者】魏志江, 苗匯泉, 寧敢, 趙冠捷 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司