一种安全文件的识别方法及装置的制造方法
【专利说明】一种安全文件的识别方法及装置 【技术领域】
[0001] 本发明涉及网络安全技术领域,尤其涉及一种安全文件的识别方法及装置。 【【背景技术】】
[0002] 随着互联网和通信技术在最近几年的迅速发展,各种各样的应用在不断地出现, 并快速的迭代更新,每天都会产生很多应用的相关文件。因此,安全系统会捕获到很多未知 文件,这些未知文件中既有安全文件,也有恶意文件,因此需要从众多的未知文件中识别出 安全文件。
[0003] 现有技术中,是利用未知文件的数据签名,在预设的白名单中进行查找。如果该未 知文件属于白名单,则识别出该未知文件是安全文件,反之则识别出该未知文件是非安全 文件。然而,应用的新增速度以及更新速度非常快,使得相关文件也出现的很快且数量庞 大,因此,利用现有技术中基于未知文件的数据签名和白名单的方式,实现的安全文件的识 别技术将无法满足目前安全文件的识别需求,从而导致安全文件的识别率比较低。 【
【发明内容】
】
[0004] 有鉴于此,本发明实施例提供了一种安全文件的识别方法及装置,用以解决现有 技术中安全文件的识别率比较低的问题。
[0005] 本发明实施例的一方面,提供一种安全文件的识别方法,包括:
[0006] 根据待识别文件,获得与所述待识别文件相匹配的已知安全文件;
[0007] 获得所述待识别文件与所述已知安全文件的相似度;
[0008] 根据所述待识别文件与所述已知安全文件的相似度,识别所述待识别文件是否为 安全文件。
[0009] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据待 识别文件,获得与所述待识别文件相匹配的已知安全文件,包括:
[0010] 根据所述待识别文件的详细信息,在数据库中进行匹配,以获得与所述待识别文 件相匹配的已知安全文件;其中,所述数据库包含已知安全文件的详细信息。
[0011] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获得所 述待识别文件与所述已知安全文件的相似度,包括:
[0012] 获得所述待识别文件的代码块指纹;
[0013] 根据所述待识别文件的代码块指纹与所述已知安全文件的代码块指纹,获得所述 待识别文件与所述已知安全文件的相似度。
[0014] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获得所 述待识别文件的代码块指纹,包括:
[0015] 对所述待识别文件进行反编译处理,以获得所述待识别文件的反编译代码;
[0016] 获得所述反编译代码所包含的至少一个代码块;
[0017] 获得每个所述代码块的指纹信息;
[0018] 根据每个所述代码块的指纹信息,获得所述待识别文件的代码块指纹。
[0019] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,每个所述代 码块的指纹信息包括:
[0020] 每个所述代码块的指令结构特征;以及,
[0021] 根据每个所述代码块中部分指令获得的哈希值。
[0022] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述获得所 述待识别文件与所述已知安全文件的相似度,包括:
[0023] 利用如下公式获得所述待识别文件与所述已知安全文件的相似度:
[0024]
[0025] 该公式中,C表示所述待识别文件与所述已知安全文件的相似度;所述A表示所述 待识别文件的代码块指纹;所述B表示所述已知安全文件的代码块指纹;F(A η B)表示所 述待识别文件的代码块指纹与所述已知安全文件的代码块指纹的交集中代码块指纹的步 长的累加和;F(Α η Β)表示所述待识别文件的代码块指纹与所述已知安全文件的代码块指 纹的并集中代码块指纹的步长的累加和。
[0026] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述根据所 述待识别文件与所述已知安全文件的相似度,识别所述待识别文件是否为安全文件,包 括:
[0027] 若所述待识别文件与所述已知安全文件的相似度大于预设的相似阈值,识别出所 述待识别文件是安全文件。
[0028] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还 包括:
[0029] 若识别出所述待识别文件是安全文件,将所述待识别文件添加到所述数据库。
[0030] 本发明实施例的一方面,提供一种安全文件的识别装置,包括:
[0031] 文件查找单元,用于根据待识别文件,获得与所述待识别文件相匹配的已知安全 文件;
[0032] 相似统计单元,用于获得所述待识别文件与所述已知安全文件的相似度;
[0033] 文件识别单元,用于根据所述待识别文件与所述已知安全文件的相似度,识别所 述待识别文件是否为安全文件。
[0034] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件查 找单元,具体用于:
[0035] 根据所述待识别文件的详细信息,在数据库中进行匹配,以获得与所述待识别文 件相匹配的已知安全文件;其中,所述数据库包含已知安全文件的详细信息。
[0036] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述相似统 计单元,具体用于:
[0037] 获得所述待识别文件的代码块指纹;
[0038] 根据所述待识别文件的代码块指纹与所述已知安全文件的代码块指纹,获得所述 待识别文件与所述已知安全文件的相似度。
[0039] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述相似统 计单元用于获得所述待识别文件的代码块指纹时,具体用于:
[0040] 对所述待识别文件进行反编译处理,以获得所述待识别文件的反编译代码;
[0041] 获得所述反编译代码所包含的至少一个代码块;
[0042] 获得每个所述代码块的指纹信息;
[0043] 根据每个所述代码块的指纹信息,获得所述待识别文件的代码块指纹。
[0044] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,每个所述代 码块的指纹信息包括:
[0045] 每个所述代码块的指令结构特征;以及,
[0046] 根据每个所述代码块中部分指令获得的哈希值。
[0047] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述相似统 计单元用于获得所述待识别文件与所述已知安全文件的相似度时,具体用于:
[0048] 利用如下公式获得所述待识别文件与所述已知安全文件的相似度:
[0049] C=(F(AnB)V(F(AUB))XK)O
[0050] 该公式中,C表示所述待识别文件与所述已知安全文件的相似度;所述A表示所述 待识别文件的代码块指纹;所述B表示所述已知安全文件的代码块指纹;F(A η B)表示所 述待识别文件的代码块指纹与所述已知安全文件的代码块指纹的交集中代码块指纹的步 长的累加和;F(Α η Β)表示所述待识别文件的代码块指纹与所述已知安全文件的代码块指 纹的并集中代码块指纹的步长的累加和。
[0051] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件识 别单元,具体用于:
[0052] 若所述待识别文件与所述已知安全文件的相似度大于预设的相似阈值,识别出所 述待识别文件是安全文件。
[0053] 如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述装置还 包括:
[0054] 文件添加单元,用于若识别出所述待识别文件是安全文件,将所述待识别文件添 加到所述数据库。
[0055] 由以上技术方案可以看出,本发明实施例具有以下有益效果:
[0056] 本发明实施例提供的技术方案中,利用已知安全文件与待识别文件的相似度,来 识别待识别文件是否为安全文件,相当于通过对待识别文件与已知安全文件是否属于同源 文件的判别,来识别出待识别文件是否为安全文件,因此,能够快速识别出安全文件。与现 有技术中判断未知文件是否属于白名单的识别方式相比,本发明实施例能够识别出更多的 安全文件,满足目前安全文件的识别需求,提高了安全文件的识别率,因此解决了现有技术 中安全文件的识别率比较低的问题,从而可以减少用户侧不必要的弹窗数量,提升用户体 验。 【【附图说明】】
[0057] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附 图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域 普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附 图。
[0058] 图1是本发明实施例所提供的安全文件的识别方法的流程示意图;
[0059] 图2是本发明实施例所提供的利用已知安全文件对待识别文件进行识别的示例 图;
[0060] 图3是本发明实