恶意文件的判断方法及设备技术

本发明专利技术提供了一种恶意文件的判断方法及设备。其中，该方法包括：提取接收的文件的来源信息数据；对来源信息数据与特征库的信息数据进行匹配，其中，特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；根据匹配结果判断文件是否为恶意文件。采用本发明专利技术实施例能够达到节省时间，提高判断准确性，进而增强对用户信息安全的保证的有益效果。

【技术实现步骤摘要】
恶意文件的判断方法及设备
本专利技术涉及互联网应用领域，特别是涉及一种恶意文件的判断方法及设备。
技术介绍
随着社会的信息化发展，终端（包括电脑、手机等多种设备）在人们生活中越来越重要。人们越来越多地依赖终端保存个人信息，例如各种账号信息、私人聊天记录甚至一些图片照片等信息。因此，若终端系统遭到恶意文件（如恶意网址或者电脑病毒等）的威胁，容易造成个人信息的泄露，对用户造成难以估计的损失。因此，避免终端系统遭受恶意文件的威胁，保证终端系统的安全性十分重要。现有技术中，对于文件是否为恶意文件的判断仅能基于人工判断。人为地对每一个文件是否为恶意文件进行逐一判断，效率低下，浪费大量的人工时间，并且由于人工无法将接收到的文件与特征库中的文件进行逐一对比，导致对文件的判断不准确，出错率较高。现有技术容易错误放过一些恶意文件，并且，容易错误将非恶意文件判断为恶意文件。综上，现有技术在对文件是否为恶意文件的判断中，效率较低并且无法保证判断的准确性。进一步，无法高效地保证终端系统的安全性，对用户的信息安全造成威胁。
技术实现思路
鉴于上述问题，提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的恶意文件的判断方法和相应的设备。依据本专利技术实施例的一个方面，提供了一种恶意文件的判断方法，包括：提取接收的文件的来源信息数据；对所述来源信息数据与特征库的信息数据进行匹配，其中，所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；根据匹配结果判断所述文件是否为恶意文件。可选地，所述提取文件的来源信息数据的提取方式如下：根据所述文件的格式提取所述文件的属性信息；计算所述属性信息的哈希值；将所述哈希值整理为日志，存储为来源信息数据。可选地，根据所述文件的格式获取所述文件的属性信息，包括：所述文件为超文本标记语言html格式时，提取所述文件的统一资源定位符url和/或文本；所述文件为dex格式时，提取所述文件的各个函数代码段；所述文件为可移植执行体pe格式时，提取所述文件的各个函数代码段。可选地，根据匹配结果判断所述文件是否为恶意文件，包括：获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数；根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件。可选地，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，包括：比较所述第一匹配次数是否不小于所述第二匹配次数；若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件。可选地，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，还包括：比较所述第一匹配次数与所述第二匹配次数；若所述第一匹配次数大于等于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值，若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件；若所述第一匹配次数小于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值，若是，判断所述文件为恶意文件，若否，判断所述文件为非恶意文件。可选地，所述第一预定阈值与所述第二预定阈值相同或者不同。可选地，根据匹配结果判断所述文件是否为恶意文件之后，还包括：若所述文件为恶意文件，添加所述文件的来源信息数据至所述黑名单，对所述黑名单进行更新；若所述文件为非恶意文件，添加所述文件的来源信息数据至所述白名单，对所述白名单进行更新。可选地，所述恶意文件的判断方法还包括：将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。可选地，添加所述文件的来源信息至所述黑名单或所述白名单之后，还包括：上报所述更新后的黑名单和/或白名单至服务器，由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。可选地，所述安全检测包括下列操作至少之一：对所述终端系统进行恶意文件扫描；更新所述终端系统的恶意网址库；对所述终端系统进行安全检测。可选地，所述终端系统为安卓系统。依据本专利技术的另一个方面，还提供了一种恶意文件的判断设备，包括：提取器，配置为提取接收的文件的来源信息数据；匹配器，配置为对所述来源信息数据与特征库的信息数据进行匹配，其中，所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；判断器，配置为根据匹配结果判断所述文件是否为恶意文件。可选地，所述提取器还配置按如下方式提取文件的来源信息：根据所述文件的格式提取所述文件的属性信息；计算所述属性信息的哈希值；将所述哈希值整理为日志，存储为来源信息数据。可选地，所述提取器还配置为：所述文件为超文本标记语言html格式时，提取所述文件的统一资源定位符url和/或文本；所述文件为dex格式时，提取所述文件的各个函数代码段；所述文件为可移植执行体pe格式时，提取所述文件的各个函数代码段。可选地，所述判断器还配置为：获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数；根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件。可选地，所述判断器还配置为：比较所述第一匹配次数是否不小于所述第二匹配次数；若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件。可选地，所述判断器还配置为：比较所述第一匹配次数与所述第二匹配次数；若所述第一匹配次数大于等于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值，若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件；若所述第一匹配次数小于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值，若是，判断所述文件为恶意文件，若否，判断所述文件为非恶意文件。可选地，所述第一预定阈值与所述第二预定阈值相同或者不同。可选地，所述恶意文件的判断设备还包括：添加器，配置为，所述判断器根据匹配结果判断所述文件是否为恶意文件之后，若所述文件为恶意文件，添加所述文件的来源信息数据至所述黑名单，对所述黑名单进行更新；若所述文件为非恶意文件，添加所述文件的来源信息数据至所述白名单，对所述白名单进行更新。可选地，所述添加器还配置为：将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。可选地，所述恶意文件的判断设备还包括：上报器，配置为上报所述更新后的黑名单和/或白名单至服务器，由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。可选地，所述安全检测包括下列操作至少之一：对所述终端系统进行恶意文件扫描；更新所述终端系统的恶意网址库；对所述终端系统进行安全检测。在本专利技术实施例中，自动提取接收到的文件的来源信息数据，通过对来源信息数据与特征库的信息数据的匹配，判断文件是否为恶意文件。通过本专利技术实施例，能够解决现有技术中仅能通过人工对文件是否为恶意文件进行判断的效率低下、准确率低下的问题。在本专利技术实施例中，自动将接收到的文件的来源信息数据与特征库中所有的信息数据进行匹配，节省人工的大量时间，并且通过匹配结果判断文件是否为恶意文件能够有效提高判断的准确性。当对文件是否为恶意文件进行判断之后，可以将判断结果更新至特征库，提高特本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种恶意文件的判断方法，包括：提取接收的文件的来源信息数据；将来源信息数据输入到脚本扫描引擎中进行扫描，得到扫描结果；根据所述扫描结果与特征库的信息数据进行匹配，其中，所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数；根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件。2.根据权利要求1所述的方法，其中，所述提取文件的来源信息数据的提取方式如下：根据所述文件的格式提取所述文件的属性信息；计算所述属性信息的哈希值；将所述哈希值整理为日志，存储为来源信息数据。3.根据权利要求2所述的方法，其中，根据所述文件的格式获取所述文件的属性信息，包括：所述文件为超文本标记语言html格式时，提取所述文件的统一资源定位符url和/或文本；所述文件为dex格式时，提取所述文件的各个函数代码段；所述文件为可移植执行体pe格式时，提取所述文件的各个函数代码段。4.根据权利要求1至3任一项所述的方法，其中，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，包括：比较所述第一匹配次数是否不小于所述第二匹配次数；若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件。5.根据权利要求1至3任一项所述的方法，其中，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，还包括：比较所述第一匹配次数与所述第二匹配次数；若所述第一匹配次数大于等于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值，若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件；若所述第一匹配次数小于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值，若是，判断所述文件为恶意文件，若否，判断所述文件为非恶意文件。6.根据权利要求5所述的方法，其中，所述第一预定阈值与所述第二预定阈值相同或者不同。7.根据权利要求1至3任一项所述的方法，其中，根据匹配结果判断所述文件是否为恶意文件之后，还包括：若所述文件为恶意文件，添加所述文件的来源信息数据至所述黑名单，对所述黑名单进行更新；若所述文件为非恶意文件，添加所述文件的来源信息数据至所述白名单，对所述白名单进行更新。8.根据权利要求7所述的方法，其中，还包括：将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。9.根据权利要求7所述的方法，其中，添加所述文件的来源信息至所述黑名单或所述白名单之后，还包括：上报所述更新后的黑名单和/或白名单至服务器，由所述服务器根据所述更新后的黑名单和/或白名单对终端系统进行安全检测。10.根据权利要求9所述的方法，其中，所述安全检测包括下列操作至少之一：对所述终端系统进行恶意文件扫描；更新所述终端系统的恶意网址库；对所述终端系统进行安全检测...

【专利技术属性】
技术研发人员：唐海，陈卓，
申请(专利权)人：北京奇虎科技有限公司，奇智软件北京有限公司，
类型：发明
国别省市：