专利名称:鉴定文件安全性的方法和系统的制作方法
技术领域:
本发明涉及互联网安全技术,特别是涉及鉴定文件安全性的方法和系统。
背景技术:
在互联网中,电脑病毒随处可见,电脑病毒可损坏用户的系统,窃取用户的数据,对于网络安全构成严重的威胁。因此,鉴定可行执行文件的安全性在现有互联网领域中显得尤为重要。
传统鉴定文件安全性的流程如下首先,在发现可疑的执行文件后,上传文件信息与可执行样本程序到安全中心。进行简单匹配,将文件特征与现有样本库中的特征码进行比对,若文件特征与现有的黑、白名单中特征码对应,直接判断黑白。若不能对应,则进行自动分析,进入木马分析流水线,经过文件特征,行为特征,智能启发进行再次分析判断。对于仍不能判断黑或白的文件,进行人工分析,采用定期回扫与人工分析解决。然而,由于样本库中黑名单和白名单不够完备,文件的安全性往往不能根据简单匹配而确定,一般需要进行自动分析和人工分析后才能最终确定。自动分析和人工分析得到的结果虽然准确,但是,自动分析和人工分析耗时长、响应慢,并最终导致获得文件安全性的效率不高。
发明内容
基于此,有必要提供一种能够提高获得文件的安全性效率的鉴定文件安全性的方法。一种鉴定文件安全性的方法,包括以下步骤获取文件的文件标识;根据所述文件标识,获取所述文件的应用数据;根据所述应用数据获得所述文件的活跃度;根据所述活跃度判断所述文件安全性。在其中一个实施例中,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。在其中一个实施例中,根据所述应用数据获得所述文件的活跃度的方式为活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、C、d为参数。在其中一个实施例中,所述根据所述活跃度判断文件的安全性的步骤为获取至少一阈值;将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。在其中一个实施例中,所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件,若根据所述活跃度判断所述文件为可疑文件时,所述方法还包括以下步骤中的至少一种
验证所述文件的文件签名判断所述文件的安全性;利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;对所述文件的文件信息进行自动分析,判断所述文件的安全性;定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。在其中一个实施例中,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断的步骤包括当所述活跃度高于第二阈值时,则判断所述文件为安全;当所述活跃度介于所述第一阈值与第二阈值之间时,则验证所述文件签名,若所 述文件签名可信赖,则判断所述文件为安全;当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次执行以下步骤判断所述文件的安全性利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;对所述文件的文件信息进行自动分析,判断所述文件的安全性;定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。在其中一个实施例中,所述方法还包括将判断为安全文件的所述文件的文件信息存储到样本库中。在其中一个实施例中,所述方法还包括对应于文件标识,统计并上传每个文件的应用数据。此外,本发明还提供一种鉴定文件安全性的系统,所述系统包括接收模块,用于获取文件的文件标识;存取模块,用于根据所述文件标识,获取所述文件的应用数据;处理模块,用于根据所述应用数据获得所述文件的活跃度;鉴定模块,用于根据所述活跃度判断所述文件安全性。在其中一个实施例中,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。在其中一个实施例中,所述处理模块获得所述文件的活跃度的方式为活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、C、d为参数。在其中一个实施例中,所述鉴定模块用于获取至少一阈值;将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。在其中一个实施例中,所述鉴定模块用于根据所述活跃度判断所述文件为安全文件或可疑文件,所述系统还包括以下模块中的至少一种签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。在其中一个实施例中,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述系统还包括签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性;匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性;
自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性;回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性;所述鉴定模块用于当所述活跃度高于第二阈值时,则判断所述文件为安全;当所述活跃度介于所述第一阈值与第二阈值之间时,调用所述签名验证模块验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全;当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次调用所述匹配模块、自动分析模块及回扫转送模块判断所述文件的安全性。在其中一个实施例中,所述系统还包括样本管理模块,所述样本管理模块用于将判断为安全文件的所述文件的文件信息存储到样本库中。在其中一个实施例中,所述系统还包括数据收集模块,所述数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。上述鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和系统,可提高获得文件安全性的效率。此外,本发明还提供一种鉴定文件安全性的系统。而且,将判断为安全的文件直接存入到样本库,可进一步完善样本库中的白名单,增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,进一步提高获得文件安全性的效率。
图I为一个实施例中鉴定文件安全性的方法的流程示意图;图2为另一个实施例中鉴定文件安全性的方法的流程示意图;图3为一个实施例中鉴定文件安全性的系统的模块示意图;图4为另一个实施例中鉴定文件安全性的系统的模块示意图。
具体实施例方式如图I所示,在一个实施例中,鉴定文件安全性的方法包括以下步骤步骤SI 10,获取文件的文件标识。在一个实施例中,每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控,当发现可疑文件时,则发出鉴定指令,以判断该可疑文件是否为病毒。当获得鉴定指令后,便获取可疑文件的文件标识。文件标识为文件的唯一标不。在一个实施例中,文件标识为文件的信息摘要值(Md5值)。步骤S120,根据文件标识,获取文件的应用数据。在一个实施例中,应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使 用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。其中,文件机器数表示安装有该文件的计算机数量;总机器数表示注册计算机数量,即安装有某款安全软件的计算机数量;文件机器周增长数表示一周内新增加装有该文件的计算机数量;文件增长前机器数指的是一周前注册计算机的数量,即一周前的总机器数;文件使用时长即运行该文件的时长;开机时长指安装有该文件的计算机处于开机状态的时长;文件周使用时长即一周内运行该文件的时长;开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。需要指出的是,在其他实施例中,应用数据不限于上述数据,且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。在一个实施例中,上述鉴定文件安全性的方法还包括对应于文件标识,统计并上传每个文件的应用数据的步骤。具体的,客户端实时监控计算机上的文件,统计并上传每个文件的应用数据。服务器在获得上述应用数据后,将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后,根据文件标识查询对应的应用数据。若查询到相关记录,则更新应用数据并获取该应用数据;若未查找到相关的记录,则表示该文件为新文件,创建新的记录,并统计该文件的应用数据。步骤S130,根据应用数据获得文件的活跃度。活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度,可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中,使用该文件的用户所占的比例。例如,随机抽取5000个用户,其中有4000用户使用某一文件,则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少,以及增加或减少的速度。例如,随机抽取5000个用户,其中有4000用户使用某一文件,下一周统计时有4200个用户使用该文件,则该文件的趋势为增加,且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得,也可仅由覆盖率、使用频率和趋势中的一个或两个确定。在一个实施例中,获得文件的应用数据后,可根据下列方式获得文件的活跃度
活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。其中,a、b、c、d均为参数,其数值可以根据实际情况进行选择。在一个实施例中,a 为 0. 8 ;b 为 0. I ;c 为 0. 08 ;d 为 0. 02。需要指出的是,在其他实施例中,获得文件的活跃度不限于上述方式,文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且,参数不限于为上述数值。步骤S140,根据活跃度判断文件安全性。在一个实施例中,上述步骤S140为根据活跃度判断文件为安全文件或不安全文件。具体地,获取至少一阈值;将活跃度与阈值进行对比,对文件的安全性做判断。在一个实施例中,阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验 进行设定。当文件的活跃度低于该阈值时,则判断该文件为不安全文件。当文件的活跃度高于该阈值时,则判断该文件为安全文件。在另一个实施例中,阈值为一个。当文件的活跃度低于该阈值时,则判断该文件为安全文件。当文件的活跃度低于该阈值时,判断该文件为可疑文件。如图2所示,在判断为可疑文件后,依据步骤S210至步骤S240中的任何一种或几种判断文件的安全性。步骤S210,验证文件的文件签名判断文件的安全性。当文件为可疑文件时,通过验证签名判断其安全性。具体的,由于被签名的文件不可更改,文件被修改时,其签名便失效。因此,当验证文件签名可信赖时,表示文件未被修改,没有被植入病毒的可能,故可判断该文件为安全文件。当验证文件签名不可信赖时,表示文件被修改过,存在被植入病毒的可能,故判断该文件为不安全文件或可疑文件。步骤S220,利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性。具体地,利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码,由反病毒公司制作,一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串,而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时,将文件的文件特征与黑、白名单中的特征码进行对比,若有对应的记录,则可直接判断出文件的安全性。步骤S230,对文件的文件信息进行自动分析,判断文件的安全性。具体地,文件信息中还包含文件的行为特征。自动分析即对文件的文件特征、行为特征进行智能启发分析判断,从而得到文件的安全性。步骤S240,定期回扫文件,并将其转送至人工分析判断所述文件的安全性。具体地,对于不确定其安全性的文件,需要定期进行扫描,监控其运行状态,并将该文件转送到人工处理平台。因此,工作人员便可对被发送至人工处理平台的文件进行人工分析,进而得到该文件的安全性。需要指出的是,上述步骤S21(TS240可以依次执行,也可选择其中任意几种步骤执行,还可以选择其中任意一种执行。当选择其中任意一种执行时,直接判断文件为安全文件或不安全文件。在一个实施例中,阈值可包括第一阈值及第二阈值,且第一阈值小于第二阈值。具体地,在一个实施例中,第一阈值为60%,第二阈值为90%。需要指出的是,在其他实施例中,第一阈值和第二阈值是可变化的,可根据活跃度的计算方式和参数的不同而进行调整。当活跃度高于第二阈值时,则判断文件为安全文件。即在一个实施例中活跃度高于90%。则表示该文件的覆盖率广、使用频率高,这种文件一般为系统文件。因此,可直接通过活跃度判断该文件为安全文件。当活跃度介于第一阈值与第二阈值之间时,即在一个实施例中介于60%与90%之间。则表示该文件有一定的覆盖率和使用频率,这样的文件一般为装机流行软件。此时,单凭活跃度不能确定其安全性,需要验证其文件签名。若文件签名可信赖,则判断文件为安全文件。当活跃度低于第一阈值时,即在一个实施例中活跃度低于60%。则表示该文件为非常见的软件,或当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖时,依次执行如下步骤判断文件的安全性利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性;针对通过简单匹配不能判断其安全性的文件,对文件的文件信息进 行自动分析,判断文件的安全性;针对自动分析不能判断其安全性的文件,定期回扫文件,并将其转送至人工分析判断文件的安全性。在一个实施例中,鉴定文件安全性的方法还包括将判断为安全文件的文件的文件信息存储到样本库中。在传统的鉴定文件安全性的方法中,不能根据简单匹配快速判断文件的安全性的原因是样本库中黑、白名单不够完备。本发明通过获得文件的活跃度,并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中,因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,从而不需要经过自动分析和人工分析。如图3所示,本发明还提供一种鉴定文件安全性的系统,该系统包括接收模块110、存取模块120、存取模块130及鉴定模块140。其中接收模块110用于获取文件的文件标识。在一个实施例中,每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控,当发现可疑文件时,则发出鉴定指令,以判断该可疑文件是否为病毒。当接收模块110获得鉴定指令后,便获取可疑文件的文件标识。文件标识为文件的唯一标示。在一个实施例中,文件标识为文件的信息摘要值(Md5值)。存取模块120用于根据文件标识,获取文件的应用数据。在一个实施例中,应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。其中,文件机器数表示安装有该文件的计算机数量;总机器数表示注册计算机数量,即安装有某款安全软件的计算机数量;文件机器周增长数表示一周内新增加装有该文件的计算机数量;文件增长前机器数指的是一周前注册计算机的数量,即一周前的总机器数;文件使用时长即运行该文件的时长;开机时长指安装有该文件的计算机处于开机状态的时长;文件周使用时长即一周内运行该文件的时长;开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。需要指出的是,在其他实施例中,应用数据不限于上述数据,且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。在一个实施例中,上述鉴定文件安全性的系统还包括数据收集模块,数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。具体的,数据收集模块实时监控计算机上的文件,统计并上传每个文件的应用数据。服务器在获得上述应用数据后,将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后,根据文件标识查询对应的应用数据。若查询到相关记录,则更新应用数据并获取该应用数据;若未查找到相关的记录,则表示该文件为新文件,创建新的记录,并统计该文件的应用数据。处理模块130用于根据应用数据获得文件的活跃度。 活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度,可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中,使用该文件的用户所占的比例。例如,随机抽取5000个用户,其中有4000用户使用某一文件,则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少,以及增加或减少的速度。例如,随机抽取5000个用户,其中有4000用户使用某一文件,下一周统计时有4200个用户使用该文件,则该文件的趋势为增加,且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得,也可仅由覆盖率、使用频率和趋势中的一个或两个确定。在一个实施例中,存取模块120获得文件的应用数据后,处理模块130可根据下列方式获得文件的活跃度活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。其中,a、b、c、d均为参数,其数值可以根据实际情况进行选择。在一个实施例中,a 为 0. 8 ;b 为 0. I ;c 为 0. 08 ;d 为 0. 02。需要指出的是,在其他实施例中,处理模块130获得文件的活跃度不限于上述方式,文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且,参数不限于为上述数值。鉴定模块140用于根据活跃度判断文件安全性。在一个实施例中,鉴定模块140用于根据活跃度判断文件为安全文件或不安全文件。具体地,鉴定模块140获取至少一阈值;将活跃度与阈值进行对比,对文件的安全性做判断。在一个实施例中,阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验进行设定。当文件的活跃度低于该阈值时,鉴定模块140则判断该文件为不安全文件。当文件的活跃度高于该阈值时,鉴定模块140则判断该文件为安全文件。在另一个实施例中,阈值为一个。当文件的活跃度低于该阈值时,鉴定模块140则判断该文件为安全文件。当文件的活跃度低于该阈值时,鉴定模块140判断该文件为可疑文件。如图4所示,鉴定文件安全性的系统还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。其中签名验证模块150用于验证文件的文件签名判断文件的安全性。当文件为可疑文件时,签名验证模块150通过验证签名判断其安全性。具体的,由于被签名的文件不可更改,文件被修改时,其签名便失效。因此,当验证文件签名可信赖时,表示文件未被修改,没有被植入病毒的可能,故签名验证模块150可判断该文件为安全文件。当验证文件签名不可信赖时,表示文件被修改过,存在被植入病毒的可能,故签名验证模块150判断该文件为不安全文件或可疑文件。匹配模块160用于利用文件的文件信息与样本库中的数据进行简单匹配,判断文件的安全性。 具体地,匹配模块160利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码,由反病毒公司制作,一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串,而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时,将文件的文件特征与黑、白名单中的特征码进行对比,若有对应的记录,则匹配模块160可直接判断出文件的安全性。自动分析模块170用于对文件的文件信息进行自动分析,判断文件的安全性。具体地,文件信息中还包含文件的行为特征。自动分析模块170对文件的文件特征、行为特征进行智能启发分析判断,从而得到文件的安全性。回扫转送模块180用于定期回扫文件,并将其转送至人工分析判断文件的安全性。具体地,对于不确定其安全性的文件,回扫转送模块180需要定期进行扫描,监控其运行状态,并将该文件转送到人工处理平台。因此,工作人员便可对被发送至人工处理平台的文件进行人工分析,进而得到该文件的安全性。需要指出的是,在其他实施例中,可仅包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180中的任意一种或几种。在一个实施例中,阈值可包括第一阈值及第二阈值,且第一阈值小于第二阈值。具体地,在一个实施例中,第一阈值为60%,第二阈值为90%。需要指出的是,在其他实施例中,第一阈值和第二阈值是可变化的,可根据活跃度的计算方式和参数的不同而进行调整。鉴定文件安全性的系统还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。鉴定模块140用于当活跃度高于第二阈值时,则判断文件为安全。当活跃度介于第一阈值与第二阈值之间时,调用签名验证模块150验证所述文件签名,若文件签名可信赖,则判断文件为安全。当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖或活跃度低于第一阈值时,依次调用匹配模块160、自动分析模块170及回扫转送模块180判断文件的安全性。在一个实施例中,鉴定文件安全性的系统还包括样本管理模块,样本管理模块用于将判断为安全文件的文件的文件信息存储到样本库中。传统的鉴定文件安全性的系统不能根据匹配模块160快速判断文件的安全性的原因是样本库中黑、白名单不够完备。本发明通过获得文件的活跃度,并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中,因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过匹配模块160进行简单匹配得到文件的安全性的概率,从而不需要经过自动分析和人工分析。上述鉴定文件安全性的方法和系统,上述鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和系统,可提高获得文件安全性的效率。而且,将判断为安全的文件直接存入到样本库,可进一步完善样本库中的白名单,增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率,进一步提高获得文件安全性的效率。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并 不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种鉴定文件安全性的方法,包括以下步骤 获取文件的文件标识; 根据所述文件标识,获取所述文件的应用数据; 根据所述应用数据获得所述文件的活跃度; 根据所述活跃度判断所述文件安全性。
2.根据权利要求I所述的鉴定文件安全性的方法,其特征在于,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
3.根据权利要求2所述的鉴定文件安全性的方法,其特征在于,根据所述应用数据获得所述文件的活跃度的方式为 活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、C、d为参数。
4.根据权利要求I所述的鉴定文件安全性的方法,其特征在于,所述根据所述活跃度判断文件的安全性的步骤为 获取至少一阈值; 将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
5.根据权利要求4所述的鉴定文件安全性的方法,其特征在于,所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件,若根据所述活跃度判断所述文件为可疑文件时,所述方法还包括以下步骤中的至少一种 验证所述文件的文件签名判断所述文件的安全性; 利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性; 对所述文件的文件信息进行自动分析,判断所述文件的安全性; 定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
6.根据权利要求4所述的鉴定文件安全性的方法,其特征在于,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述将所述活跃度与所述阈值进行对t匕,对所述文件的安全性做判断的步骤包括 当所述活跃度高于第二阈值时,则判断所述文件为安全; 当所述活跃度介于所述第一阈值与第二阈值之间时,则验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全; 当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次执行以下步骤判断所述文件的安全性 利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性; 对所述文件的文件信息进行自动分析,判断所述文件的安全性; 定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
7.根据权利要求I所述的鉴定文件安全性的方法,其特征在于,所述方法还包括 将判断为安全文件的所述文件的文件信息存储到样本库中。
8.根据权利要求I所述的鉴定文件安全性的方法,其特征在于,所述方法还包括 对应于文件标识,统计并上传每个文件的应用数据。
9.一种鉴定文件安全性的系统,其特征在于,包括接收模块,用于获取文件的文件标识; 存取模块,用于根据所述文件标识,获取所述文件的应用数据; 处理模块,用于根据所述应用数据获得所述文件的活跃度; 鉴定模块,用于根据所述活跃度判断所述文件安全性。
10.根据权利要求9所述的鉴定文件安全性的系统,其特征在于,所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
11.根据权利要求10所述的鉴定文件安全性的系统,其特征在于,所述处理模块获得所述文件的活跃度的方式为 活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d,其中a、b、C、d为参数。
12.根据权利要求9所述的鉴定文件安全性的系统,其特征在于,所述鉴定模块用于 获取至少一阈值; 将所述活跃度与所述阈值进行对比,对所述文件的安全性做判断。
13.根据权利要求12所述的鉴定文件安全性的系统,其特征在于,所述鉴定模块用于根据所述活跃度判断所述文件为安全文件或可疑文件,所述系统还包括以下模块中的至少一种 签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性; 匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性; 自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性; 回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性。
14.根据权利要求12所述的鉴定文件安全性的系统,其特征在于,所述阈值包括第一阈值及第二阈值,且所述第一阈值小于所述第二阈值,所述系统还包括 签名验证模块,用于验证所述文件的文件签名判断所述文件的安全性; 匹配模块,用于利用所述文件的文件信息与样本库中的数据进行简单匹配,判断所述文件的安全性; 自动分析模块,用于对所述文件的文件信息进行自动分析,判断所述文件的安全性; 回扫转送模块,用于定期回扫所述文件,并将其转送至人工分析判断所述文件的安全性; 所述鉴定模块用于 当所述活跃度高于第二阈值时,则判断所述文件为安全; 当所述活跃度介于所述第一阈值与第二阈值之间时,调用所述签名验证模块验证所述文件签名,若所述文件签名可信赖,则判断所述文件为安全; 当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时,依次调用所述匹配模块、自动分析模块及回扫转送模块判断所述文件的安全性。
15.根据权利要求9所述的鉴定文件安全性的系统,其特征在于,所述系统还包括样本管理模块,所述样本管理模块用于将判断为安全文件的所述文件的文件信息存储到样本库中。
16.根据权利要求9所述的鉴定文件安全性的系统,其特征在于,所述系统还包括数据收集模块,所述数据收集模块用于对应于文件标识,统计并上传每个文件的应用数据。
全文摘要
一种鉴定文件安全性的方法,获取文件的文件标识,并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度,并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取,根据应用数据得到活跃度后,根据统计学的原理,利用活跃度便可判断文件的安全性,从而不必经过耗时长的自动分析和人工分析。因此,通过上述方法和系统,可提高获得文件安全性的效率。此外,本发明还提供一种鉴定文件安全性的系统。
文档编号G06F21/00GK102750476SQ201210186579
公开日2012年10月24日 申请日期2012年6月7日 优先权日2012年6月7日
发明者张玉, 陈起儒 申请人:腾讯科技(深圳)有限公司