专利名称:未知文件安全性综合鉴定方法及系统的制作方法
技术领域:
本发明涉及计算机安全防护技术领域,具体涉及对未知文件的安全性进行鉴定的方法及系统。
背景技术:
目前,计算机及其软件技术得到了极大的发展,随之而来的还有病毒的出现。我们知道,计算机病毒是人为的特制程序代码,其具有自我复制能力,很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性。传统的的病毒检测方法为特征码匹配的方法主要是在用户端计算机建立病毒库,从病毒库中先取出一个病毒的特征码及其偏移量,再按照偏移量提取被检测文件的特 征码,与该病毒的特征码进行比对,如果匹配则判定该文件为该类病毒文件,否则从病毒库中取下一个病毒的特征码,直至所有病毒比对完毕,则判断该文件安全。传统的特征码鉴定有几个缺点1.本地必须有杀毒软件的特征库,判断的准确性取决于特征库是否全面,是否升级;2.特征库需要频繁升级,过期的病毒库鉴定能力无法满足安全需求;3.病毒种类增长很快,本地特征库也在迅速膨胀,使得杀毒软件的扫描效率下降,杀毒软件对系统资源的需求也在不断增大;4.对新病毒没有鉴定能力。为了解决传统技术的上述缺陷,最新采用了“云查杀”技术,简单的讲,就是用户端不再建立病毒库,而是主要负责扫描和发现本地的新文件,并提取新文件的特征码信息,上传至服务器端,通过查询服务器端的病毒库,比较后判毒。然而,无论是本地病毒库还是服务器端的病毒库,都是一个动态的、需要不断更新的数据库,对于最新的未知文件(或最新病毒),无法直接作出黑白判定,还需要对整个文件进行分析鉴定,即还需通过鉴定器对文件(或称作被鉴定样本)做进一步的鉴定,最后作出判毒结果,并根据判毒结果更新服务器端或用户端的病毒库。现有鉴定方式,是将整个未知文件全部上传到鉴定系统,由鉴定器对文件进行鉴定,这样的鉴定方式存在以下缺陷(I)文件比较大时,上传时间长、占用较多的资源;(2)实际上,对文件本身的鉴定并不需要文件的全部数据;(3)只鉴定文件内容信息还不够完
盡
口 o
发明内容
本发明的目的是针对现有文件安全性鉴定方式的缺陷,提供一种更加完善的未知文件安全性综合鉴定方法及系统。实现上述目的的技术方案如下一种未知文件安全性综合鉴定方法,其特征在于,包括以下步骤(I)用户端对未知文件采集文件素材,文件素材包括文件本身的内容信息、文件的环境信息、文件的属性信息、文件的行为信息;(2)将上述信息打包成信息包,上传至服务器端;(3)服务器端分解所述信息包,对各类素材分别进行鉴定;
(4)设定一综合判断函数,对步骤(3)所述的各类素材的鉴定结果进行计算,并设定一阈值,将计算结果与该阈值进行比较,确定文件为白或黑;(5)将综合判断结果更新鉴定器数据库中的相应数据,并且将综合判断结果下发给用户端。其中,所述文件本身的内容信息包括对于PE文件所提取的特征码、对于压缩包文件提取的包内目录文件结构。其中,所述文件的环境信息包括存放的路径信息、网络下载的网址信息。其中,所述文件的属性信息包括文件版本信息、节表信息、图标及签名信息。其中,所述文件的行为信息包括文件进行自我复制、隐藏自身、修改注册表的关键键值、自我修复、插入其它进程、欺骗、加载驱动的操作信息。一种未知文件安全性综合鉴定系统,其特征在于,包括 未知文件侦查装置,用于搜索客户端文件并找出新的未知文件;文件素材采集装置,包括内容信息采集模块,采集未知文件本身的内容信息;环境信息采集模块,采集未知文件的环境信息;属性信息采集模块,采集未知文件的属性信息;行为信息采集模块,采集未知文件的行为信息; 素材打包及上传装置,用于将所述内容信息、环境信息、属性信息、行为信息打包并上传至服务器端;服务器端鉴定装置,包括内容信息鉴定器,对所述内容信息进行鉴定并输出相应鉴定结果;环境信息鉴定器,对所述环境信息进行鉴定并输出相应鉴定结构;属性信息鉴定器,对所述属性信息进行鉴定并输出相应鉴定结果;行为信息鉴定器,对所述行为信息进行鉴定并输出相应鉴定结果;综合判断装置,通过一综合判断函数对所述各鉴定结果进行计算,并将计算结果与一阈值进行比较,确定文件为白或黑;数据库更新装置,根据综合判断装置的输出结果,更新各鉴定器的数据库;判断结果下发装置,将综合判断装置的输出结果下发给用户端。本发明的有益效果在于通过采集未知文件的内容信息、环境信息、属性信息及行为信息,并且分别进行鉴定后,综合分析判断,最后得出其黑白判定,实现了立体式多方面的鉴定,判毒结果更加可靠。
图I为本发明实施例提供的鉴定系统的主体构成框图。图2为本发明实施例提供的鉴定系统中文件素材采集装置的构成框图。图3为本发明实施例提供的鉴定系统中服务器端鉴定装置的构成框图。图4为本发明实施例提供的鉴定方法的流程图。
具体实施例方式如图I所示,本实施例提供的未知文件安全性综合鉴定系统,其特征在于,包括未知文件侦查装置、文件素材采集装置、素材打包及上传装置、服务器端鉴定装置、综合判断装置、数据库更新装置及判断结果下发装置。其中,未知文件侦查装置用于搜索客户端文件并找出新的未知文件;文件素材采集装置用于采集未知文件的素材信息;素材打包及上传装置用于将采集到的素材信息打包并上传给服务器端;服务器端鉴定装置用于通过多台鉴定器鉴定素材信息中的多个类型的信息 ,并输出鉴定结果;综合判断装置,通过一综合判断函数对所述各鉴定结果进行计算,并将计算结果与一阈值进行比较,确定文件为白或黑;数据库更新装置用于根据综合判断装置的输出结果,更新各鉴定器的数据库。判断结果下发装置用于将综合判断装置的输出结果下发给用户端。本实施例中,文件素材包括内容信息、环境信息、属性信息及行为信息,文件素材采集装置具体包括内容信息采集模块、环境信息采集模块、属性信息采集模块及行为信息采集模块,如图2所示。所述的内容信息包括所提取的特征码(对于PE文件)、提取的包内目录文件结构(对于压缩包文件);环境信息通常包括存放的路径信息及网络下载的网址信息;属性信息通常包括文件版本信息、节表信息、图标及签名信息;行为信息通常包括文件进行自我复制、隐藏自身、修改注册表的关键键值、自我修复、插入其它进程、欺骗、加载驱动的操作信息。类似地,服务器端鉴定装置包括内容信息鉴定器、环境信息鉴定器、属性信息鉴定器、行为信息鉴定器,分别用于鉴定内容信息、环境信息、属性信息及行为信息,并分别输出相应的鉴定结果,如图3所示。结合图4所示,基于上述鉴定系统的鉴定方法,包括以下步骤(I)用户端对未知文件采集文件素材,文件素材包括文件本身的内容信息、文件的环境信息、文件的属性信息、文件的行为信息;(2)将上述信息打包成信息包,上传至服务器端;(3)服务器端分解所述信息包,对各类素材分别进行鉴定;(4)设定一综合判断函数,对步骤(3)所述的各类素材的鉴定结果进行计算,并设定一阈值,将计算结果与该阈值进行比较,确定文件为白或黑;(5)将综合判断结果更新鉴定器数据库中的相应数据,并且将综合判断结果下发给用户端。本发明通过采集未知文件的内容信息、环境信息、属性信息及行为信息,并且分别进行鉴定后,综合分析判断,最后得出其黑白判定,实现了立体式多方面的鉴定,判毒结果更加可靠。
权利要求
1.一种未知文件安全性综合鉴定方法,其特征在于,包括以下步骤 (1)用户端对未知文件采集文件素材,文件素材包括文件本身的内容信息、文件的环境信息、文件的属性信息、文件的行为信息; (2)将上述信息打包成信息包,上传至服务器端; (3)服务器端分解所述信息包,对各类素材分别进行鉴定; (4)设定一综合判断函数,对步骤(3)所述的各类素材的鉴定结果进行计算,并设定一阈值,将计算结果与该阈值进行比较,确定文件为白或黑; (5)将综合判断结果更新鉴定器数据库中的相应数据,并且将综合判断结果下发给用户端。
2.根据权利要求I所述的未知文件安全性综合鉴定方法,其特征在于所述文件本身的内容信息包括对于PE文件所提取的特征码、对于压缩包文件提取的包内目录文件结构。
3.根据权利要求I所述的未知文件安全性综合鉴定方法,其特征在于所述文件的环境信息包括存放的路径信息、网络下载的网址信息。
4.根据权利要求I所述的未知文件安全性综合鉴定方法,其特征在于所述文件的属性信息包括文件版本信息、节表信息、图标及签名信息。
5.根据权利要求I所述的未知文件安全性综合鉴定方法,其特征在于所述文件的行为信息包括文件进行自我复制、隐藏自身、修改注册表的关键键值、自我修复、插入其它进程、欺骗、加载驱动的操作信息。
6.一种未知文件安全性综合鉴定系统,其特征在于,包括 未知文件侦查装置,用于搜索客户端文件并找出新的未知文件; 文件素材采集装置,包括内容信息采集模块,采集未知文件本身的内容信息;环境信息采集模块,采集未知文件的环境信息;属性信息采集模块,采集未知文件的属性信息;行为信息采集模块,采集未知文件的行为信息; 素材打包及上传装置,用于将所述内容信息、环境信息、属性信息、行为信息打包并上传至服务器端; 服务器端鉴定装置,包括内容信息鉴定器,对所述内容信息进行鉴定并输出相应鉴定结果;环境信息鉴定器,对所述环境信息进行鉴定并输出相应鉴定结构;属性信息鉴定器,对所述属性信息进行鉴定并输出相应鉴定结果;行为信息鉴定器,对所述行为信息进行鉴定并输出相应鉴定结果; 综合判断装置,通过一综合判断函数对所述各鉴定结果进行计算,并将计算结果与一阈值进行比较,确定文件为白或黑;数据库更新装置,根据综合判断装置的输出结果,更新各鉴定器的数据库; 判断结果下发装置,将综合判断装置的输出结果下发给用户端。
全文摘要
本发明公开了一种未知文件安全性综合鉴定方法,主要是通过采集未知文件的内容信息、环境信息、属性信息及行为信息,并且分别进行鉴定后,综合分析判断,最后得出其黑白判定。本发明还公开了还公开了一种未知文件安全性综合鉴定系统,包括未知文件侦查装置、文件素材采集装置、素材打包及上传装置、服务器端鉴定装置、综合判断装置、数据库更新装置、判断结果下发装置等。本发明实现了立体式多方面的鉴定,判毒结果更加可靠。
文档编号G06F21/00GK102799804SQ20121013159
公开日2012年11月28日 申请日期2012年4月30日 优先权日2012年4月30日
发明者陈章群, 杨锐, 陈春晓 申请人:珠海市君天电子科技有限公司