一種檢測(cè)下載文件安全性的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種檢測(cè)下載文件安全性的方法及裝置�,其中的方法具體包括:客戶端采集下載文件的下載場(chǎng)景特征和文件特征,并上傳至云服務(wù)器���;云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配���,得到相應(yīng)的匹配結(jié)果;其中����,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到;云服務(wù)器將所述匹配結(jié)果下發(fā)給所述客戶端�����。本發(fā)明對(duì)于現(xiàn)有技術(shù)中特征碼未收錄至安全特征碼庫的下載文件以及其它未知文件等文件具有較好的檢測(cè)效果�����,且對(duì)于突發(fā)的的病毒文件有很好的檢測(cè)效果。
【專利說明】一種檢測(cè)下載文件安全性的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�����,具體涉及一種檢測(cè)下載文件安全性的方法及裝置���。
【背景技術(shù)】
[0002]目前���,隨著社會(huì)的進(jìn)步和技術(shù)的發(fā)展,人們?cè)絹碓蕉嗟乩媒K端接入因特網(wǎng)來獲取信息���,包括信息瀏覽和文件下載等。而從網(wǎng)絡(luò)中下載帶毒文件已經(jīng)成了計(jì)算機(jī)中招最主要的途徑����,因此下載文件的安全性已經(jīng)被越來越多的人所重視。
[0003]為了防止帶毒文件入侵系統(tǒng)���,現(xiàn)有技術(shù)一種檢測(cè)方法可以通過對(duì)已下載的可執(zhí)行文件的MD5 (消息摘要算法第五版��,Message Digest Algorithm)特征碼的安全性分析,來快速確定可執(zhí)行文件的安全性����,具體地,安全監(jiān)管服務(wù)器在對(duì)應(yīng)客戶端的請(qǐng)求對(duì)下載文件進(jìn)行安全分析的過程中��,首先掃描可執(zhí)行文件的特征碼���,然后判斷其是否在安全監(jiān)管服務(wù)器的安全特征碼庫中����;如果在��,則表示該可執(zhí)行文件沒有被篡改過�,是原始、安全的可執(zhí)行文件���,直接將相關(guān)的安全信息返回給客戶端�����;如果不在安全特征碼庫中���,則安全監(jiān)管服務(wù)器對(duì)該可執(zhí)行文件作進(jìn)行分析,具體可以包括:該可執(zhí)行文件是否存在盜取用戶隱私�����、無法卸載、限制其它軟件應(yīng)用����、自動(dòng)聯(lián)網(wǎng)、自動(dòng)發(fā)短信或彩信��、使系統(tǒng)變慢�����、甚至病毒木馬等可能����,如果有則判別該可執(zhí)行文件存在的風(fēng)險(xiǎn)并將判別結(jié)果返回給客戶端,如果沒有則返回安全情況未知的信息給客戶端���。
[0004]上述檢測(cè)方法能夠快速確定安全特征碼庫中可執(zhí)行文件的安全性。但是�����,安全特征碼庫的收集具有一定的延后性����,對(duì)于新出現(xiàn)的病毒文件不能及時(shí)收錄到安全特征碼庫中�,也即�����,對(duì)于特征碼未收錄至安全特征碼庫的可執(zhí)行文件的檢測(cè)能力很有限���。另外�,僅僅適用于可執(zhí)行文件的安全性檢測(cè)�����,而對(duì)于壓縮包����、*doc、*txt等格式文件的檢測(cè)能力有限���。
【發(fā)明內(nèi)容】
[0005]鑒于上述問題���,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的一種檢測(cè)下載文件安全性的方法及裝置。
[0006]依據(jù)本發(fā)明的一個(gè)方面�,提供了一種檢測(cè)下載文件安全性的方法���,包括:
[0007]客戶端采集下載文件的下載場(chǎng)景特征和文件特征,并上傳至云服務(wù)器�����;
[0008]云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配��,得到相應(yīng)的匹配結(jié)果���;其中�,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到�;
[0009]云服務(wù)器將所述匹配結(jié)果下發(fā)給所述客戶端。
[0010]可選地�����,所述下載場(chǎng)景特征包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接���,下載工具或即時(shí)通訊工具的類型�����,是否處于網(wǎng)購或者支付模式�����。
[0011]可選地��,所述文件樣本的收集方式包括如下方式中的一項(xiàng)或多項(xiàng):
[0012]主動(dòng)抓取下載鏈接��;[0013]獲取用戶舉報(bào)的文件樣本
[0014]獲取第三方合作的網(wǎng)站提供的文件樣本�。
[0015]可選地����,所述下載文件包括壓縮包文件,則所述壓縮包文件的文件特征包括:文件頭格式�、壓縮前后文件格式、壓縮前后文件名稱�����、壓縮前后文件大?���。?br>
[0016]則所述云規(guī)則包括:通過比較壓縮包文件樣本的壓縮前后文件格式����、壓縮前后文件名稱�����、壓縮前后文件大小生成的規(guī)則�����。
[0017]可選地���,所述客戶端上傳至云服務(wù)器的步驟為,所述客戶端將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中���,并將該數(shù)據(jù)包上傳至云服務(wù)器���;
[0018]則所述云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配,得到相應(yīng)的匹配結(jié)果的步驟���,包括:
[0019]云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串����;
[0020]將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中����,輸出相應(yīng)的判別結(jié)果���。
[0021]根據(jù)本發(fā)明的另一方面����,提供了一種檢測(cè)下載文件安全性的系統(tǒng),包括:客戶端和云服務(wù)器�����;
[0022]其中�����,所述客戶端�����,包括:
[0023]采集模塊�,用于采集下載文件的下載場(chǎng)景特征和文件特征;及
[0024]上傳模塊�����,用于將所采集的下載文件的下載場(chǎng)景特征和文件特征上傳至云服務(wù)器;
[0025]所述云服務(wù)器�,包括:
[0026]匹配模塊,用于將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配���,得到相應(yīng)的匹配結(jié)果����;其中��,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到 '及
[0027]下發(fā)模塊���,用于將所述匹配結(jié)果下發(fā)給所述客戶端���。
[0028]可選地,所述下載場(chǎng)景特征包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接���,下載工具或即時(shí)通訊工具的類型�,是否處于網(wǎng)購或者支付模式�����。
[0029]可選地�����,所述文件樣本的收集方式包括如下方式中的一項(xiàng)或多項(xiàng):
[0030]主動(dòng)抓取下載鏈接;
[0031]獲取用戶舉報(bào)的文件樣本
[0032]獲取第三方合作的網(wǎng)站提供的文件樣本�����。
[0033]可選地�,所述下載文件為壓縮包文件����,則所述文件特征包括:文件頭格式、壓縮前后文件格式��、壓縮前后文件名稱�、壓縮前后文件大小�����;
[0034]則所述云規(guī)則包括:通過比較壓縮包文件樣本的壓縮前后文件格式����、壓縮前后文件名稱、壓縮前后文件大小生成的規(guī)則����。
[0035]可選地���,所述上傳模塊,具體用于將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中����,并將該數(shù)據(jù)包上傳至云服務(wù)器;
[0036]則所述匹配模塊����,包括:
[0037]解析子模塊,用于云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串��;[0038]判別子模塊��,用于將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中��,輸出相應(yīng)的判別結(jié)果����。
[0039]根據(jù)本發(fā)明的檢測(cè)下載文件安全性的方法及裝置可以由客戶端采集下載文件的下載場(chǎng)景特征和文件特征,并上傳至云服務(wù)器�����,由云服務(wù)器利用通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到的云規(guī)則對(duì)所述上傳的下載文件的下載場(chǎng)景特征和文件特征進(jìn)行匹配,得到相應(yīng)的匹配結(jié)果����;一方面,相對(duì)于現(xiàn)有技術(shù)僅僅利用MD5特征碼進(jìn)行安全性分析�,本發(fā)明實(shí)施例在安全性分析的過程中綜合考慮了下載場(chǎng)景特征和文件特征,因此��,對(duì)于現(xiàn)有技術(shù)中特征碼未收錄至安全特征碼庫的下載文件以及其它未知文件等文件具有較好的檢測(cè)效果����;另一方面�����,能夠發(fā)揮云服務(wù)器實(shí)時(shí)更新�����、升級(jí)速度快�����、計(jì)算能力強(qiáng)的優(yōu)勢(shì)���,對(duì)于突發(fā)的的病毒文件有很好的檢測(cè)效果��。
[0040]上述說明僅是本發(fā)明技術(shù)方案的概述����,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施�����,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】�。
【專利附圖】
【附圖說明】
[0041]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了��。附圖僅用于示出優(yōu)選實(shí)施方式的目的�,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中�,用相同的參考符號(hào)表示相同的部件。在附圖中:
[0042]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的方法的流程圖����;
[0043]圖2示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的方法的流程圖�;以及
[0044]圖3示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的裝置的結(jié)構(gòu)圖���。
【具體實(shí)施方式】
[0045]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例���。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解�����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制���。相反��,提供這些實(shí)施例是為了能夠更透徹地理解本公開����,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。
[0046]參照?qǐng)D1��,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的方法的流程圖����,具體可以包括:
[0047]步驟101��、客戶端采集下載文件的下載場(chǎng)景特征和文件特征�,并上傳至云服務(wù)器���;
[0048]在具體實(shí)現(xiàn)中���,所述下載場(chǎng)景特征具體可以包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接,下載工具或即時(shí)通訊工具的類型���,是否處于網(wǎng)購或者支付模式��。
[0049]在本發(fā)明的一些優(yōu)選實(shí)施例中����,在獲取到上述下載信息之后����,還可以進(jìn)一步將這些下載信息保存到預(yù)設(shè)的下載日志中,以便于在后續(xù)過程中進(jìn)行查詢���。在下載日志中存儲(chǔ)這些下載信息時(shí)���,可以將一個(gè)下載文件對(duì)應(yīng)的下載信息存儲(chǔ)為一條存儲(chǔ)條目��,在該條存儲(chǔ)條目中�����,將每項(xiàng)下載信息分別作為該條存儲(chǔ)條目中的一個(gè)信息項(xiàng)���。在后續(xù)查詢時(shí),可以按照各個(gè)信息項(xiàng)進(jìn)行查詢����。
[0050]另外,在通過下載日志保存了用戶的所有下載行為后����,還可以基于該下載日志建立各個(gè)下載文件之間的關(guān)系鏈,從而根據(jù)該關(guān)系鏈攔截惡意文件�����。例如�,對(duì)于一個(gè)通過下載得到的文件����,查詢下載日志后就可以知道該下載文件是通過聊天工具傳輸過來的��,還是通過某一下載工具下載下來的�,而且還可以確定該下載文件下載時(shí)所對(duì)應(yīng)的下載鏈����,這里,下載鏈?zhǔn)侵赣稍撓螺d文件下載之前和之后所下載的文件構(gòu)成的鏈表���,由此能夠建立起一個(gè)便于防御的關(guān)系鏈����。例如�,假設(shè)在淘寶購物的場(chǎng)景下,用戶通過聊天工具接收了一個(gè)PE文件���,這時(shí)�,就可以根據(jù)下載日志對(duì)該P(yáng)E文件進(jìn)行重點(diǎn)監(jiān)控��,比如監(jiān)控它移動(dòng)到了哪個(gè)位置��,做了哪些敏感操作(例如直接運(yùn)行,修改注冊(cè)表等危險(xiǎn)操作)�,這樣,一旦該文件執(zhí)行了敏感操作就將被攔截��,由此提高了攔截惡意文件時(shí)的針對(duì)性����。除此之外,通過下載日志還可以獲取到下載文件的下載來源���,并據(jù)此將誤刪除的文件找回���。另外,如果通過下載日志表明用戶經(jīng)常從某一網(wǎng)站下載文件���,也可以對(duì)該下載網(wǎng)站進(jìn)行收藏�,以方便用戶的使用��。
[0051]其中�����,所述下載鏈接主要指下載文件的URL (統(tǒng)一資源定位符��,Uniform ResourceLocator)地址���,通常從網(wǎng)絡(luò)上下載的文件均有其獨(dú)有的URL地址��,即便是被重新指向的地址����,最終指向的也是其獨(dú)有的URL地址����。如果URL地址對(duì)應(yīng)的文件被證實(shí)是有危險(xiǎn)的,那么無論是誰下載這個(gè)URL地址對(duì)應(yīng)的文件也應(yīng)該是危險(xiǎn)的��。雖然不排除URL地址對(duì)應(yīng)的文件被沒有病毒的文件替換的可能�,但是這樣的可能性非常小,因?yàn)樾钜馄茐牡娜藛T的目的就是讓對(duì)方中毒���,因此無論是木馬還是病毒都是以讓對(duì)方中毒為目的����,因此這種情況幾乎不會(huì)發(fā)生��。綜上��,利用URL地址確定下載文件是否安全是可行的。
[0052]所述下載工具是一種可以更快地從網(wǎng)上下載文本���、圖像��、圖像����、視頻�、音頻、動(dòng)畫等信息資源的軟件����,其采用了多點(diǎn)連接技術(shù),充分利用了網(wǎng)絡(luò)上的多余帶寬����,同時(shí)采用斷點(diǎn)續(xù)傳技術(shù),隨時(shí)接續(xù)上次中止部位繼續(xù)下載��,有效避免了重復(fù)勞動(dòng)�����。這大大節(jié)省了下載者的連線下載時(shí)間����。在實(shí)際中的下載工具具有可以包括:迅雷����、網(wǎng)際快車��、瀏覽器��、各種下載站點(diǎn)等等��,本發(fā)明實(shí)施例對(duì)具體的下載工具不加以限制�。
[0053]所述即時(shí)通訊工具對(duì)應(yīng)的下載文件主要可以包括:接收別人從QQ��、MSN等即時(shí)通訊工具上發(fā)來的文件��。
[0054]在本發(fā)明的一些優(yōu)選實(shí)施例中�����,所述下載工具可以支持“按下載時(shí)間整理”���、“按文件類型整理”以及“按下載工具整理”等功能選項(xiàng)�����。
[0055]假設(shè)用戶執(zhí)行了點(diǎn)擊“按下載時(shí)間整理”的功能選項(xiàng)的動(dòng)作�,該動(dòng)作將能夠觸發(fā)該功能選項(xiàng)向后臺(tái)程序發(fā)送一個(gè)按照下載時(shí)間來顯示各個(gè)下載文件以及每個(gè)下載文件的管理操作入口的指令,后臺(tái)程序接收到該指令之后�,則會(huì)查詢存儲(chǔ)的下載日志,并在下載日志中按照“下載時(shí)間”這一信息項(xiàng)對(duì)所有的存儲(chǔ)條目進(jìn)行排序�����,然后根據(jù)排序后的結(jié)果來顯示各個(gè)下載文件以及每個(gè)下載文件的管理操作入口�����。這樣��,用戶就可以按照下載時(shí)間從新到舊(或從舊到新)的順序來瀏覽所有的已下載文件�����,從而便于用戶按照時(shí)間順序來查找某個(gè)已下載文件�。并且,由于顯示出的每個(gè)已下載文件都對(duì)應(yīng)著相應(yīng)的管理操作入口�����,例如���,對(duì)于一個(gè)安全級(jí)的下載文件來說��,其對(duì)應(yīng)著打開入口��、備份入口以及刪除入口等入口 ����;對(duì)于一個(gè)未知級(jí)的下載文件來說��,其對(duì)應(yīng)著隔離打開入口����、備份入口以及刪除入口等入口,因此����,用戶還可以方便地對(duì)查找到的已下載文件執(zhí)行管理操作。
[0056]本發(fā)明實(shí)施例中����,可以依據(jù)下載工具或即時(shí)通訊工具的類型鎖定下載文件的范圍,并將下載文件與已收集的同一范圍內(nèi)的文件樣本進(jìn)行比對(duì)��,以得到相應(yīng)的安全性結(jié)果�。
[0057]由于網(wǎng)購涉及到付款流程�����,容易受到木馬的攻擊����。例如��,網(wǎng)購木馬偽裝成買家���,與賣家進(jìn)行溝通����,伺機(jī)通過聊天工具發(fā)送所謂的商品圖等壓縮文件給賣家����,賣家點(diǎn)擊后,即感染木馬��,騙子再通過木馬盜取賣家的賬戶密碼���,獲取店鋪的管理權(quán)限�。接下來,騙子就可以冒充賣家對(duì)真正的買家實(shí)施詐騙了���。而被騙的買家則將問題算到購物網(wǎng)站或是真正的賣家身上���,也因此引發(fā)了很多糾紛;因此����,是否處于網(wǎng)購或者支付模式為一個(gè)重要的用于檢測(cè)安全性的下載場(chǎng)景特征。
[0058]通常的文件特征具體可以包括:文件名���、文件格式和文件大小�����,也即,在無法獲得下載文件的MD5特征時(shí)��,本發(fā)明仍能檢測(cè)其安全性��。
[0059]步驟102�、云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配,得到相應(yīng)的匹配結(jié)果�;其中,所述云規(guī)則為通過分析文件樣本的下載場(chǎng)景特征和文件特征得到;
[0060]在具體實(shí)現(xiàn)中��,所述文件樣本的收集方式具體可以包括如下方式中的一項(xiàng)或多項(xiàng):
[0061]主動(dòng)抓取下載鏈接�;例如,可以主動(dòng)抓取某下載工具上的下載鏈接��,由于主動(dòng)抓取下載鏈接為本領(lǐng)域的常用技術(shù)�,故在此不作贅述。
[0062]獲取用戶舉報(bào)的文件樣本�;
[0063]獲取第三方合作的網(wǎng)站提供的文件樣本。
[0064]在本發(fā)明的一種實(shí)施例中�,在客戶端的下載場(chǎng)景特征和文件特征命中某云規(guī)則時(shí),還可以向客戶端索取相應(yīng)的下載文件����,并進(jìn)一步分析得到相應(yīng)的云規(guī)則。在本發(fā)明的另一種實(shí)施例中�,還可以將現(xiàn)有的未知文件作為文件樣本。
[0065]在實(shí)際中�����,可以采用數(shù)據(jù)庫存儲(chǔ)所收集的文件樣本�,同時(shí),該數(shù)據(jù)庫還可以以日志的形式記錄每次客戶端上傳的下載文件的下載場(chǎng)景特征和文件特征及相應(yīng)的匹配結(jié)果����。
[0066]總之�����,云服務(wù)器可以通過人工方式�����、用戶舉報(bào)��、等各種方式收集文件樣本����,并對(duì)文件樣本進(jìn)行分析����,以快速檢測(cè)新型的病毒。
[0067]在實(shí)際應(yīng)用中��,所述文件樣本具體可以包括:安全樣本�、危險(xiǎn)樣本���、風(fēng)險(xiǎn)樣本�����、可疑樣本等等�����,可以通過分析文件樣本的下載場(chǎng)景特征和文件特征得到相應(yīng)的云規(guī)則���;其中����,每個(gè)云規(guī)則可以包括至少一項(xiàng)下載場(chǎng)景特征和至少一項(xiàng)文件特征����。
[0068]其中每個(gè)云規(guī)則可具有對(duì)應(yīng)的安全級(jí)別,若命中該云規(guī)則則對(duì)應(yīng)的匹配結(jié)果為其安全等級(jí)����。在本發(fā)明的一種應(yīng)用示例中,所述安全等級(jí)具體可以包括安全等級(jí)����、可疑/高度可疑等級(jí)、風(fēng)險(xiǎn)等級(jí)以及危險(xiǎn)等級(jí)���。對(duì)于等級(jí)的設(shè)置�����,可以設(shè)置匹配結(jié)果為10-29時(shí)為安全等級(jí)���,匹配結(jié)果為30-49時(shí)為風(fēng)險(xiǎn)等級(jí)����,匹配結(jié)果為50-69時(shí)為可疑/高度可疑等級(jí)����,匹配結(jié)果大于或等于70時(shí)為惡意等級(jí)等等,本發(fā)明對(duì)具體的安全等級(jí)的劃分����,及匹配結(jié)果與安全等級(jí)的對(duì)應(yīng)關(guān)系不加以限制。
[0069]在本發(fā)明的一種優(yōu)選實(shí)施例中�����,所述客戶端上傳至云服務(wù)器的步驟具體可以為�����,所述客戶端將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中�,并將該數(shù)據(jù)包上傳至云服務(wù)器;
[0070]在本發(fā)明的一種應(yīng)用示例中�,可以采用正則表達(dá)式驗(yàn)證上述字符串是否未符合指定安全等級(jí)的下載場(chǎng)景特征和文件特征。
[0071]例如�����,在本發(fā)明的一種應(yīng)用示例中�����,所述字符串形式的下載場(chǎng)景特征和文件特征具體可以為:WWW.abc.com: \1.txt:下載工具�,其中,www.abc.com用于表示下載鏈接���,
1.txt用于表示文件名稱����,下載工具即表示對(duì)應(yīng)的下載工具��。[0072]在本發(fā)明的另一種應(yīng)用示例中��,所述字符串形式的下載場(chǎng)景特征和文件特征中可以記錄有文件名���、文件類型�����、對(duì)應(yīng)的下載工具�����、存儲(chǔ)位置以及下載時(shí)間���。其中����,文件名可以直接根據(jù)下載文件本身的名稱得到�,文件類型可以根據(jù)下載文件的文件名后綴等信息得到(也通過其他的類型分析方式得到),對(duì)應(yīng)的下載工具即為該下載文件在下載時(shí)所采用的下載工具�����,存儲(chǔ)位置可以根據(jù)下載路徑得到��,下載時(shí)間可以根據(jù)下載文件下載完成時(shí)的系統(tǒng)時(shí)間得到��。
[0073]需要說明的是�,本發(fā)明實(shí)施例只要監(jiān)測(cè)到了下載文件下載完成這一下載行為或者即時(shí)通訊工具傳輸完成這一傳輸行為就可以觸發(fā)將所述下載場(chǎng)景特征和文件特征上傳至云服務(wù)器的步驟��,而無需訪問各個(gè)下載工具的注冊(cè)表等相關(guān)信息,因此能夠及時(shí)檢測(cè)下載文件的安全性����。
[0074]在實(shí)際中,可以將一個(gè)或多個(gè)下載文件的字符串封裝為TCP (傳輸控制協(xié)議����,Transmission Control Protocol)或者 UDP (用戶數(shù)據(jù)包協(xié)議,User Datagram Protocol)數(shù)據(jù)包�,并進(jìn)行上傳。
[0075]在本發(fā)明的另一種應(yīng)用示例中�����,所述云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配��,得到相應(yīng)的匹配結(jié)果的步驟��,具體可以包括:
[0076]步驟S100�、云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串;
[0077]步驟S101�����、將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中,輸出相應(yīng)的判別結(jié)果��。
[0078]其中�,不同的決策機(jī)使用相同或不同的方式對(duì)特征進(jìn)行訓(xùn)練,相應(yīng)的訓(xùn)練過程具體可以包括:使用支持向量機(jī)的決策機(jī)進(jìn)行訓(xùn)練���,或使用決策樹的決策機(jī)進(jìn)行訓(xùn)練����;訓(xùn)練模型可以為帶編碼的訓(xùn)練模型����、或壓縮的訓(xùn)練模型。
[0079]以PE文件為例�����,可以按照PE文件的結(jié)構(gòu)特征的特征分類的不同使用k個(gè)決策機(jī)�����,以及對(duì)應(yīng)k個(gè)決策機(jī)的k個(gè)訓(xùn)練模型���。其中��,在分析PE文件后�����,抽取相應(yīng)的PE文件的結(jié)構(gòu)特征����,將所抽取的PE文件的結(jié)構(gòu)特征放入一個(gè)相應(yīng)的特征向量之內(nèi)���,根據(jù)已經(jīng)抽取到的特征�,進(jìn)行特征分類�,例如,可以分為PE文件頭特征分類��、PE標(biāo)準(zhǔn)頭特征分類���、PE可選頭特征分類�、數(shù)據(jù)目錄特征分類����、常用節(jié)表特征分類,根據(jù)分類的結(jié)果,將不同類別的程序文件的特征向量和安全屬性使用不同的決策機(jī)進(jìn)行訓(xùn)練�����,得到相應(yīng)的訓(xùn)練模型��。這里的安全屬性也即最終輸出的判別結(jié)果�����,其具體可以包括:多個(gè)安全等級(jí)��;其中���,安全等級(jí)至少包括危險(xiǎn)級(jí)和安全級(jí)�。優(yōu)選地��,還可以對(duì)安全等級(jí)進(jìn)行更多層次的劃分��,以便準(zhǔn)確地確定出某一下載文件的危險(xiǎn)指數(shù)�。例如,可以將安全等級(jí)按照危險(xiǎn)指數(shù)從高到低的順序進(jìn)一步劃分為危險(xiǎn)級(jí)�����、可疑級(jí)、未知級(jí)和安全級(jí)四個(gè)等級(jí)��。
[0080]總之���,通過上述訓(xùn)練模型和決策機(jī)的使用可以節(jié)省大量的人力��,提高對(duì)病毒文件的識(shí)別效率��;并且�,在基于對(duì)海量程序進(jìn)行數(shù)據(jù)挖掘的基礎(chǔ)上����,基于下載文件的下載場(chǎng)景特征和文件特征可以發(fā)現(xiàn)病毒文件的內(nèi)在規(guī)律��,對(duì)突發(fā)的病毒文件進(jìn)行預(yù)防���。
[0081]步驟103�、云服務(wù)器將所述匹配結(jié)果下發(fā)給所述客戶端�。
[0082]客戶端可以對(duì)收到的匹配結(jié)果進(jìn)行解析得到相應(yīng)的安全性結(jié)果,并發(fā)出相應(yīng)的提示信息��,如安全等級(jí)����、可疑/高度可疑等級(jí)�、風(fēng)險(xiǎn)等級(jí)以及危險(xiǎn)等級(jí)對(duì)應(yīng)的提示等等�����。
[0083]總之�,本發(fā)明實(shí)施例由客戶端采集下載文件的下載場(chǎng)景特征和文件特征,并上傳至云服務(wù)器���,由云服務(wù)器利用通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到的云規(guī)則對(duì)所述上傳的下載文件的下載場(chǎng)景特征和文件特征進(jìn)行匹配���,得到相應(yīng)的匹配結(jié)果;一方面�����,相對(duì)于現(xiàn)有技術(shù)僅僅利用MD5特征碼進(jìn)行安全性分析�����,本發(fā)明實(shí)施例在安全性分析的過程中綜合考慮了下載場(chǎng)景特征和文件特征��,因此�,對(duì)于現(xiàn)有技術(shù)中特征碼未收錄至安全特征碼庫的下載文件以及其它未知文件等文件具有較好的檢測(cè)效果����;另一方面��,能夠發(fā)揮云服務(wù)器實(shí)時(shí)更新�����、升級(jí)速度快���、計(jì)算能力強(qiáng)的優(yōu)勢(shì)��,對(duì)于突發(fā)的的病毒文件有很好的檢測(cè)效果�����。
[0084]參照?qǐng)D2,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的方法的流程圖���,具體可以包括:
[0085]步驟201�����、客戶端采集壓縮包文件的下載場(chǎng)景特征和文件特征�,并上傳至云服務(wù)器;所述文件特征具體可以包括:文件頭格式��、壓縮前后文件格式���、壓縮前后文件名稱��、壓縮前后文件大?����?�;
[0086]步驟202�、云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配�,得到相應(yīng)的匹配結(jié)果;其中��,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到��,所述云規(guī)則具體可以包括:通過比較壓縮包文件樣本的壓縮前后文件格式��、壓縮前后文件名稱�、壓縮前后文件大小生成的規(guī)則;
[0087]步驟203�、云服務(wù)器將所述匹配結(jié)果下發(fā)給所述客戶端���。
[0088]相對(duì)于圖1所示實(shí)施例,本實(shí)施例具體針對(duì)于壓縮包文件安全性的檢測(cè)����,其中,具體地�,可以通過比較壓縮包文件樣本的壓縮前后文件格式、壓縮前后文件名稱���、壓縮前后文件大小生成相應(yīng)的云規(guī)則�����,并利用該云規(guī)則進(jìn)行壓縮包文件的檢測(cè)�����;所述云規(guī)則能夠檢測(cè)出文件格式和文件名稱是否發(fā)生了改變,如果發(fā)生改變��,則安全等級(jí)會(huì)下降���,所述云規(guī)則還能檢測(cè)出壓縮前后文件大小的差異��,如果差異過大(如壓縮前文件大小為1G�����,壓縮后文件大小為10M)�����,則安全等級(jí)也會(huì)很低���;總之����,本實(shí)施例能夠在基于下載場(chǎng)景特征的云規(guī)則的基礎(chǔ)上�����,靈活利用通過比較壓縮包文件樣本的壓縮前后文件格式����、壓縮前后文件名稱、壓縮前后文件大小生成相應(yīng)的云規(guī)則進(jìn)行壓縮包文件安全性的檢測(cè)�,能夠及時(shí)檢測(cè)到帶有病毒的壓縮包文件;其中����,壓縮包的格式可以包括ace���、winrar、ar����、ip、tar��、cab�、uue、jar�����、iso����、z、7-zip�、lzh、ar j��、gzip��、bz2 等多種格式�����。
[0089]當(dāng)然除了壓縮包文件外�,本發(fā)明實(shí)施例中待檢測(cè)的下載文件的格式還可以包括:*.doc, *.docx, *.txt, *.BMP, *.JPG, *.Al, *.xlsx等,或者,待檢測(cè)的下載文件的格式還可以包括MHT (聚合HTML文檔)、腳本等����,例如,JS格式的樣本�����,HTML格式的樣本或者VBS類型的樣本等等���,本發(fā)明實(shí)施例對(duì)待檢測(cè)的下載文件的格式不加以限制���。
[0090]需要說明的是,除了上述實(shí)施例提到的方式外�����,在一種實(shí)現(xiàn)方式中,下載文件的文件特征信息還可以包括:該下載文件的文件內(nèi)容對(duì)應(yīng)的URL地址���。這里�����,對(duì)于MHT格式的網(wǎng)頁文件來說���,文件內(nèi)容對(duì)應(yīng)的URL地址通常是指在文件內(nèi)容(即網(wǎng)頁文件的文件正文)中所包含的一個(gè)或多個(gè)URL地址,這些URL地址既可以采用可點(diǎn)擊的超鏈接形式實(shí)現(xiàn)�,也可以采用能夠被復(fù)制的文本形式實(shí)現(xiàn)。對(duì)于其他格式的網(wǎng)頁文件來說����,文件內(nèi)容對(duì)應(yīng)的URL地址除了包括文件內(nèi)容中所包含的一個(gè)或多個(gè)URL地址之外,還可以包括該網(wǎng)頁文件本身的URL地址(即出現(xiàn)在該網(wǎng)頁文件的地址欄中的URL地址���,通過該地址能夠打開該網(wǎng)頁文件)��。相應(yīng)地���,本地特征信息庫中存儲(chǔ)的信息項(xiàng)具體可以包括:多個(gè)安全等級(jí)的URL信息項(xiàng)。其中��,安全等級(jí)至少可以包括危險(xiǎn)級(jí)和安全級(jí)。優(yōu)選地�����,還可以對(duì)安全等級(jí)進(jìn)行更多層次的劃分���,以便準(zhǔn)確地確定出某一下載文件的危險(xiǎn)指數(shù)。例如�,可以將安全等級(jí)按照危險(xiǎn)指數(shù)從高到低的順序進(jìn)一步劃分為危險(xiǎn)級(jí)、可疑級(jí)����、未知級(jí)和安全級(jí)四個(gè)等級(jí),每個(gè)等級(jí)可以分別對(duì)應(yīng)一個(gè)或多個(gè)URL信息項(xiàng)��。其中����,每個(gè)等級(jí)所對(duì)應(yīng)的各個(gè)URL信息項(xiàng)既可以是完整的URL地址,也可以是URL地址中所包含的部分片段�。具體地,在獲取每個(gè)等級(jí)所對(duì)應(yīng)的URL信息項(xiàng)時(shí)�����,可以通過機(jī)器學(xué)習(xí)算法對(duì)預(yù)設(shè)數(shù)量的樣本進(jìn)行分析得到。
[0091]在第二種實(shí)現(xiàn)方式中��,下載文件的文件特征信息還可以包括:該下載文件的文件內(nèi)容中包含的明文字符串�。例如,文件內(nèi)容中包含的以明文形式出現(xiàn)的中文字詞�、英文單詞等均可以作為明文字符串。具體地���,在獲取這些明文字符串時(shí)�����,只需對(duì)文件內(nèi)容進(jìn)行分詞處理即可���。相應(yīng)地,本地特征信息庫中存儲(chǔ)的信息項(xiàng)具體可以包括:多個(gè)安全等級(jí)的明文字符串集合�。其中,安全等級(jí)可直接參照上面的劃分方式進(jìn)行劃分����,每個(gè)等級(jí)分別對(duì)應(yīng)一個(gè)或多個(gè)明文字符串集合。例如��,由“幸運(yùn)用戶”和“中獎(jiǎng)”這兩個(gè)明文字符串所構(gòu)成的集合就可以作為危險(xiǎn)級(jí)所對(duì)應(yīng)的一個(gè)明文字符串集合�,如果一個(gè)下載文件中包含該明文字符串集合�����,則很可能表示該下載文件為“釣魚文件”�����。所謂“釣魚文件”是指不法分子利用各種手段,仿冒真實(shí)網(wǎng)站的URL地址以及頁面內(nèi)容�,或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插入危險(xiǎn)的HTML代碼,以此來騙取用戶銀行或信用卡賬號(hào)��、密碼等私人資料�����。具體地�����,在獲取每個(gè)等級(jí)所對(duì)應(yīng)的明文字符串集合時(shí)�����,也可以通過機(jī)器學(xué)習(xí)算法對(duì)預(yù)設(shè)數(shù)量的樣本進(jìn)行分析得到���。
[0092]在第三種實(shí)現(xiàn)方式中���,下載文件的文件特征信息還可以包括:文件內(nèi)容對(duì)應(yīng)的文件頁面元素��。這里提到的文件頁面元素主要可以包括:圖片��、文本特征和網(wǎng)頁鏈接等內(nèi)容���。第三種實(shí)現(xiàn)方式與第二種實(shí)現(xiàn)方式的主要區(qū)別在于:文件頁面元素的概念與明文字符串的概念相比,前者所涵蓋的內(nèi)容更多更豐富���,因而能夠更全面地體現(xiàn)出文件的特征�。例如��,在本實(shí)施例中����,可以通過文檔對(duì)象模型DOM樹來表示上述的文件頁面元素。通過DOM樹能夠清楚地反映出一篇文檔的頁面結(jié)構(gòu)和頁面內(nèi)容�����。在介紹DOM樹的結(jié)構(gòu)之前���,先介紹一下網(wǎng)頁文件的常見結(jié)構(gòu):在網(wǎng)頁文件上包括多塊內(nèi)容���,例如顯示的文本內(nèi)容(如關(guān)于該網(wǎng)頁主題的文字表述),URL內(nèi)容���、顯示的圖片內(nèi)容、視頻內(nèi)容等�。每塊內(nèi)容對(duì)應(yīng)一個(gè)頁面組件,各頁面組件有各自不同的數(shù)據(jù)內(nèi)容,數(shù)據(jù)內(nèi)容記載了該頁面組件在頁面上展示的結(jié)構(gòu)和樣式���。以圖片內(nèi)容為例,其對(duì)應(yīng)的頁面組件的數(shù)據(jù)內(nèi)容中包含在頁面上展示的圖片大小�、圖片標(biāo)題相對(duì)于圖片的位置、圖片標(biāo)題的文本格式�����,該文本格式包括字體大小�、顏色、字體類型等�。模塊列表中包含了各頁面組件模塊的數(shù)據(jù)內(nèi)容,數(shù)據(jù)內(nèi)容包括超文本標(biāo)記語言(HTML��,HyperText Mark-up Language)���、層疊樣式表(CSS, Cascading Style Sheet)和 javascript 組裝腳本等表現(xiàn)方式�;模塊列表中的頁面組件模塊可采用表格方式排列,也可采用圖形方式表示各頁面組件模塊���。DOM樹就是一種通過樹狀結(jié)構(gòu)來描述上述的網(wǎng)頁文件結(jié)構(gòu)的方式����。在構(gòu)建DOM樹時(shí)����,需要對(duì)文檔進(jìn)行分析,獲取其中的根元素以及各個(gè)元素���,據(jù)此明確整篇文檔的結(jié)構(gòu)�,其中���,根元素可以通過html標(biāo)識(shí)��,元素可以通過head��、body����、title等字節(jié)來標(biāo)識(shí);然后���,還要獲取各個(gè)元素對(duì)應(yīng)的文本內(nèi)容���,該文本內(nèi)容包括圖片、鏈接等�,據(jù)此明確整篇文檔所表述的內(nèi)容。由此可見�����,通過DOM樹表示文件頁面元素的方式能夠全面地反應(yīng)出一篇文檔所包含的內(nèi)容��,因而不會(huì)遺漏任何釣魚內(nèi)容等惡意信息�,達(dá)到全面掃描的目的�。
[0093]參照?qǐng)D3,示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的檢測(cè)下載文件安全性的裝置的結(jié)構(gòu)圖��,具體可以包括:客戶端301和云服務(wù)器302 �;[0094]其中,所述客戶端301具體可以包括:
[0095]采集模塊311��,用于采集下載文件的下載場(chǎng)景特征和文件特征����;及
[0096]上傳模塊312�����,用于將所采集的下載文件的下載場(chǎng)景特征和文件特征上傳至云服務(wù)器�;
[0097]所述云服務(wù)器302具體可以包括:
[0098]匹配模塊321����,用于將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配,得到相應(yīng)的匹配結(jié)果�����;其中���,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到 '及
[0099]下發(fā)模塊322�����,用于將所述匹配結(jié)果下發(fā)給所述客戶端�。
[0100]在本發(fā)明的一種優(yōu)選實(shí)施例中����,所述下載場(chǎng)景特征具體可以包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接����,下載工具或即時(shí)通訊工具的類型�����,是否處于網(wǎng)購或者支付模式�。
[0101]在本發(fā)明的另一種優(yōu)選實(shí)施例中,所述文件樣本的收集方式具體可以包括如下方式中的一項(xiàng)或多項(xiàng):
[0102]主動(dòng)抓取下載鏈接���;
[0103]獲取用戶舉報(bào)的文件樣本
[0104]獲取第三方合作的網(wǎng)站提供的文件樣本��。
[0105]在本發(fā)明的再一種優(yōu)選實(shí)施例中����,述下載文件為壓縮包文件�����,則所述文件特征具體可以包括:文件頭格式���、壓縮前后文件格式、壓縮前后文件名稱、壓縮前后文件大?�?����;
[0106]則所述云規(guī)則具體可以包括:通過比較壓縮包文件樣本的壓縮前后文件格式�����、壓縮前后文件名稱��、壓縮前后文件大小生成的規(guī)則����。
[0107]在本發(fā)明實(shí)施例中,優(yōu)選的是��,所述上傳模塊312�����,可具體用于將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中�,并將該數(shù)據(jù)包上傳至云服務(wù)器;
[0108]則所述匹配模塊321���,具體可以包括:
[0109]解析子模塊�,用于云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串;
[0110]判別子模塊����,用于將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中,輸出相應(yīng)的判別結(jié)果��。
[0111]在此提供的算法和顯示不與任何特定計(jì)算機(jī)����、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用�。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的�。此外,本發(fā)明也不針對(duì)任何特定編程語言��。應(yīng)當(dāng)明白�����,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容��,并且上面對(duì)特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式��。
[0112]在此處所提供的說明書中����,說明了大量具體細(xì)節(jié)。然而�,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐�。在一些實(shí)例中,并未詳細(xì)示出公知的方法���、結(jié)構(gòu)和技術(shù)��,以便不模糊對(duì)本說明書的理解�����。
[0113]類似地�,應(yīng)當(dāng)理解�����,為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)����,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中�����,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例����、圖�����、或者對(duì)其的描述中��。然而��,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征�����。更確切地說�,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征��。因此��,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】����,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。
[0114]本領(lǐng)域那些技術(shù)人員可以理解�����,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中�??梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件��。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外�����,可以采用任何組合對(duì)本說明書(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合���。除非另外明確陳述�,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同���、等同或相似目的的替代特征來代替�。
[0115]此外���,本領(lǐng)域的技術(shù)人員能夠理解�����,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征�,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例��。例如���,在下面的權(quán)利要求書中��,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用����。
[0116]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)���,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)���,或者以它們的組合實(shí)現(xiàn)�。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解��,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP )來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的檢測(cè)下載文件安全性的方法及裝置設(shè)備中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如�����,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上��,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式���。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到�,或者在載體信號(hào)上提供����,或者以任何其他形式提供。
[0117]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說明而不是對(duì)本發(fā)明進(jìn)行限制���,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中����,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)���。在列舉了若干裝置的單元權(quán)利要求中�����,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)����。單詞第一��、第二��、以及第三等的使用不表示任何順序�?���?蓪⑦@些單詞解釋為名稱���。
【權(quán)利要求】
1.一種檢測(cè)下載文件安全性的方法����,包括: 客戶端采集下載文件的下載場(chǎng)景特征和文件特征��,并上傳至云服務(wù)器����; 云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配��,得到相應(yīng)的匹配結(jié)果�����;其中���,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到��;云服務(wù)器將所述匹配結(jié)果下發(fā)給所述客戶端�。
2.如權(quán)利要求1所述的方法,其特征在于�����,所述下載場(chǎng)景特征包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接����,下載工具或即時(shí)通訊工具的類型,是否處于網(wǎng)購或者支付模式��。
3.如權(quán)利要求1所述的方法����,其特征在于,所述文件樣本的收集方式包括如下方式中的一項(xiàng)或多項(xiàng): 主動(dòng)抓取下載鏈接��; 獲取用戶舉報(bào)的文件樣本 獲取第三方合作的網(wǎng)站提供的文件樣本�����。
4.如權(quán)利要求1所述的方法����,其特征在于,所述下載文件包括壓縮包文件����,則所述壓縮包文件的文件特征包括:文件頭格式���、壓縮前后文件格式、壓縮前后文件名稱����、壓縮前后文件大小����; 則所述云規(guī)則包括:通過比較壓縮包文件樣本的壓縮前后文件格式、壓縮前后文件名稱�����、壓縮前后文件大小生成的規(guī)則��。
5.如權(quán)利要求1所述的方法�,其特征在于�����,所述客戶端上傳至云服務(wù)器的步驟為���,所述客戶端將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中��,并將該數(shù)據(jù)包上傳至云服務(wù)器���; 則所述云服務(wù)器將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配���,得到相應(yīng)的匹配結(jié)果的步驟,包括: 云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串��; 將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中�����,輸出相應(yīng)的判別結(jié)果����。
6.—種檢測(cè)下載文件安全性的系統(tǒng),包括:客戶端和云服務(wù)器; 其中�,所述客戶端,包括: 采集模塊��,用于采集下載文件的下載場(chǎng)景特征和文件特征�;及 上傳模塊,用于將所采集的下載文件的下載場(chǎng)景特征和文件特征上傳至云服務(wù)器�; 所述云服務(wù)器�����,包括: 匹配模塊�����,用于將所述下載場(chǎng)景特征和文件特征與規(guī)則引擎中云規(guī)則進(jìn)行匹配��,得到相應(yīng)的匹配結(jié)果�����;其中����,所述云規(guī)則為通過綜合分析文件樣本的下載場(chǎng)景特征和文件特征得到 '及 下發(fā)模塊����,用于將所述匹配結(jié)果下發(fā)給所述客戶端。
7.如權(quán)利要求6所述的系統(tǒng)����,其特征在于���,所述下載場(chǎng)景特征包括如下特征中的一項(xiàng)或多項(xiàng):下載鏈接�����,下載工具或即時(shí)通訊工具的類型���,是否處于網(wǎng)購或者支付模式���。
8.如權(quán)利要求6所述的系統(tǒng),其特征在于��,所述文件樣本的收集方式包括如下方式中的一項(xiàng)或多項(xiàng): 主動(dòng)抓取下載鏈接�����;獲取用戶舉報(bào)的文件樣本 獲取第三方合作的網(wǎng)站提供的文件樣本�。
9.如權(quán)利要求6所述的系統(tǒng),其特征在于�,所述下載文件為壓縮包文件,則所述文件特征包括:文件頭格式��、壓縮前后文件格式�、壓縮前后文件名稱、壓縮前后文件大?��?���; 則所述云規(guī)則包括:通過比較壓縮包文件樣本的壓縮前后文件格式、壓縮前后文件名稱����、壓縮前后文件大小生成的規(guī)則。
10.如權(quán)利要求6所述的系統(tǒng)�����,其特征在于��,所述上傳模塊���,具體用于將所采集的下載文件的下載場(chǎng)景特征和文件特征以字符串的形式封裝到數(shù)據(jù)包中�����,并將該數(shù)據(jù)包上傳至云服務(wù)器����; 則所述匹配模塊,包括: 解析子模塊���,用于云服務(wù)器從該數(shù)據(jù)包中解析得到相應(yīng)的字符串; 判別子模塊����,用于將該字符串輸入所述云規(guī)則對(duì)應(yīng)的至少一個(gè)決策機(jī)和與決策機(jī)數(shù)量相同的訓(xùn)練模型中,輸出相應(yīng)的判別結(jié)果�����。
【文檔編號(hào)】H04L29/08GK103914655SQ201410098964
【公開日】2014年7月9日 申請(qǐng)日期:2014年3月17日 優(yōu)先權(quán)日:2014年3月17日
【發(fā)明者】魏志江, 孫曉駿 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司