文件信誉获取方法、网关设备和文件信誉服务器的制造方法
【技术领域】
[0001]本发明属于计算机技术领域,具体是涉及一种文件信誉获取方法、网关设备和文件信誉服务器。
【背景技术】
[0002]随着计算机技术的快速发展,网络安全越来越受到人们的重视。当用户通过其终端进行诸如网页浏览等网络应用业务时,需要访问不同应用程序文件,而这些文件很有可能已经遭受了各种各样恶意病毒代码的攻击,从而造成用户终端感染病毒。
[0003]在诸如无线局域网(Wireless Local Area Networks,以下简称WLAN)、第二代移动通信技术(2rd_Generat1n,以下简称2G)、第三代移动通信技术(3rd_Generat1n,以下简称3G)等网络中,用户一般是通过网关设备、网关GPRS支持节点(Gateway GPRS SupportNode,以下简称GGSN)、基站、增强型基站等网络设备接入网络,从而进行网络应用访问的。目前,网络设备在接收到用户对某应用程序文件的访问请求后,需获取该文件的信誉值,以基于该信誉值来确定是否允许用户访问等后续处理。在实际应用中,一般企业用户会额外地关心用户访问的文件的信誉值,比如会比较关心该用户发送的电子邮件,传输的FTP文件的信誉值是否满足一定要求,从而保证该用户所在企业的网络系统的安全可靠。目前,一种被广泛采用的文件信誉获取方式是,网关设备等网络设备根据当前被用户访问的文件(在本申请中后续简称为“被访问文件”)的全文或局部内容生成一特征值,从而根据生成的特征值,在该网关设备存储有已知的特征值与文件信誉值的对应关系的数据库中,查询该被访问文件的信誉值。
[0004]上述方式中,文件的特征值是根据文件的内容生成的,在新的应用业务不断出现或应用频繁更新升级的情况下,往往会出现文件信誉数据库中不存在被查询的文件的特征值对应的文件信誉值的现象,造成查询失败。
【发明内容】
[0005]本发明实施例提供一种文件信誉获取方法、网关设备和文件信誉服务器,用以缓解现有技术中基于文件内容生成特征值的方式存在的文件信誉值查询失败率高的问题。
[0006]第一方面,本发明实施例提供一种文件信誉获取方法,包括:
[0007]获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
[0008]利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
[0009]根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
[0010]根据第一方面,在第一方面的第一种可能的实现方式中,所述获取被访问文件中至少一个函数的函数哈希值,包括:
[0011]获取所述被访问文件头部中包含的函数起始位置信息;
[0012]自所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
[0013]采用预设哈希算法,分别计算所述至少一个函数中的每个函数的函数哈希值。
[0014]根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
[0015]将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
[0016]相应地,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值之前,还包括:
[0017]接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
[0018]根据第一方面或第一方面的第一种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值,包括:
[0019]判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
[0020]判断所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值的数量是否超过预设数量;
[0021]若存在超过预设数量的、且所述概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值,则确定所述被访问文件具有低于第二预设阈值的信誉值。
[0022]第二方面,本发明实施例提供一种文件信誉获取方法,包括:
[0023]分别获取黑样本集的文件中的至少一个函数和白样本集的文件中的至少一个函数,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
[0024]分别计算所述黑样本集的文件中的至少一个函数和所述白样本集的文件中的至少一个函数中的每个函数的函数哈希值;
[0025]以所述每个函数的函数哈希值为输入对分类器进行训练,并在所述分类器的输出端统计所述每个函数的函数哈希值分别在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数;
[0026]针对每个函数的函数哈希值,对该函数哈希值在所述黑样本集的文件中出现的次数和在所述白样本集的文件中出现的次数进行归一化处理,以获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合。
[0027]根据第二方面,在第二方面的第一种可能的实现方式中,所述获得所述每个函数的函数哈希值的概率分布,形成函数哈希值概率分布集合之后,还包括:
[0028]接收网关设备发送的至少一个函数哈希值,所述至少一个函数哈希值是所述网关设备根据被访问文件获取到的,所述被访问文件为可执行程序文件;
[0029]利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布;
[0030]将所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布发送给所述网关设备。
[0031]根据第二方面的第一种可能的实现方式中,在第二方面的第二种可能的实现方式中,所述利用训练获得的所述分类器,确定分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布,包括:
[0032]在所述函数哈希值概率分布集合中查询分别与所述被访问文件中至少一个函数哈希值中的每个函数哈希值对应的概率分布。
[0033]第三方面,本发明实施例提供一种网关设备,包括:
[0034]获取模块,用于获取被访问文件中至少一个函数的函数哈希值,所述被访问文件为可执行程序文件;
[0035]确定模块,用于利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布,所述概率分布用于指示所述每个函数哈希值在黑样本集的文件中出现的概率,以及所述每个函数哈希值在白样本集的文件中出现的概率,所述黑样本集包括至少一个恶意程序文件,所述白样本集包括至少一个正常程序文件;
[0036]处理模块,用于根据所述确定模块得到的所述每个函数哈希值对应的概率分布,确定所述被访问文件的信誉值。
[0037]根据第三方面,在第三方面的第一种可能的实现方式中,所述获取模块,包括:
[0038]获取单元,用于获取所述被访问文件头部中包含的函数起始位置信息;
[0039]汇编单元,用于自所述获取单元得到的所述函数起始位置开始,以ret指令作为函数结束指令反汇编所述被访问文件,以获取所述被访问文件中的所述至少一个函数;
[0040]计算单元,用于采用预设哈希算法,分别计算所述汇编单元得到的所述至少一个函数中的每个函数的函数哈希值。
[0041]根据第三方面或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述确定模块,具体用于:
[0042]将所述至少一个函数哈希值发送到文件信誉服务器,以使所述文件信誉服务器利用预先训练获得的分类器,确定分别与所述至少一个函数哈希值中的每个函数哈希值对应的概率分布;
[0043]接收所述文件信誉服务器返回的所述每个函数哈希值对应的概率分布。
[0044]根据第三方面或第三方面的第一种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理模块,包括:
[0045]第一判断单元,用于判断所述被访问文件中是否存在概率分布在所述黑样本集的文件中出现的概率高于第一预设阈值的函数哈希值;
[0046]第二判断单元,用于判断所