【技術(shù)實現(xiàn)步驟摘要】
本專利技術(shù)涉及網(wǎng)絡安全領(lǐng)域,具體涉及一種檢測文件樣本安全性的方法、服務器和系統(tǒng)。
技術(shù)介紹
現(xiàn)有技術(shù)中,為了快速地識別和清除終端內(nèi)惡意程序,使用云安全技術(shù)。其中,把終端中可疑的文件樣本的特征傳給云安全中心的服務器,由該服務器依據(jù)文件樣本的特征對文件樣本的安全性做出判定,然后終端根據(jù)云安全中心的服務器傳回的信息進行查殺報告和處理。文件樣本的特征包括:文件MD5 (消息摘要算法第五版)、SHA1 (安全哈希算法)、路徑、大小、執(zhí)行進程、DNA (文件的特征信息)等信息。惡意程序是一個概括性的術(shù)語,指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的程序。惡意程序的舉例包括:計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區(qū)病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等。惡意程序為了繞開云安全中心的服務器的檢測,通常會改變自身的一些特征信息,以達到不被檢測出來的目的。因此,云安全中心的服務器中檢測所用的規(guī)則需要相應地進行變化。現(xiàn)有技術(shù)中,規(guī)則直接配置在服務器的病毒查殺操作的執(zhí)行內(nèi)核中,改變規(guī)則極其困難,耗費大量時間,導致規(guī)則的變化速度無法跟上病毒的變種速度,進而導致檢測中漏判惡意程序。
技術(shù)實現(xiàn)思路
鑒于上述問題,提出了本專利技術(shù)以便提供一種檢測文件樣本安全性的方法、服務器和系統(tǒng),以解決規(guī)則修正耗費大量時間,修正速度無法跟上病毒的變種速度,進而導致檢測中漏判惡意程序的問題。依據(jù)本專利技術(shù)的一個方面,提供了 一種檢測文件樣本安全性的方法,所述方法包括:設(shè)置規(guī)則的規(guī)則描述,生成包含各個規(guī)則描述的源文件;從源文件中解析出各個規(guī)則,利用解析...
【技術(shù)保護點】
一種檢測文件樣本安全性的方法,所述方法包括:?設(shè)置規(guī)則的規(guī)則描述,生成包含各個規(guī)則描述的源文件;?從源文件中解析出各個規(guī)則,利用解析出的各個規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個匹配規(guī)則;?接收到輸入的文件樣本的特征,通過規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。
【技術(shù)特征摘要】
1.一種檢測文件樣本安全性的方法,所述方法包括: 設(shè)置規(guī)則的規(guī)則描述,生成包含各個規(guī)則描述的源文件; 從源文件中解析出各個規(guī)則,利用解析出的各個規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口,所述規(guī)則管理接口中包括多個匹配規(guī)則; 接收到輸入的文件樣本的特征,通過規(guī)則管理接口將文件樣本的特征與匹配規(guī)則進行匹配比較,向客戶端返回匹配結(jié)果,以使客戶端根據(jù)匹配結(jié)果確定文件樣本的安全性。2.根據(jù)權(quán)利要求1所述的方法,其中, 每個匹配規(guī)則包括至少一匹配條件組; 每個匹配條件組包括至少一匹配條件; 每個匹配條件包括至少一匹配操作符, 所述匹配操作符為對應于各種匹配運行而設(shè)置的操作符。3.根據(jù)權(quán)利要求2所述的方法,其中, 所述利用解析出的各個規(guī)則根據(jù)設(shè)置的規(guī)則組織結(jié)構(gòu)構(gòu)建規(guī)則管理接口具體包括: 對于每個規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對應的匹配規(guī)則; 提取該規(guī)則的條件,在規(guī)則管理接口中創(chuàng)建提取的條件對應的匹配條件; 確定提取的條件中操作符所對應的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中; 將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。4.根據(jù)權(quán)利要求2所述的方法,其中, 所述通過規(guī)則管理接口將文件樣本與匹配規(guī)則進行匹配比較后還包括: 將匹配結(jié)果記錄到日志中; 根據(jù)匹配結(jié)果添加規(guī)則; 根據(jù)添加的規(guī)則更新規(guī)則管理接口。5.根據(jù)權(quán)利要求4所述的方法,其中, 所述根據(jù)匹配結(jié)果添加規(guī)則具體包括: 通過輸入界面接收輸入的規(guī)則的條件表達式以及匹配后返回值的表達式, 將輸入的條件表達式和返回值的表達式生按預設(shè)的格式組合,生成添加的規(guī)則的規(guī)則描述。6.根據(jù)權(quán)利要求4或5所述的方法,其中, 所述根據(jù)添加的規(guī)則更新規(guī)則管理接口具體包括: 對于添加的規(guī)則,在規(guī)則管理接口中創(chuàng)建該規(guī)則對應的匹配規(guī)則; 提取該添加的規(guī)則中條件,在規(guī)則管理接口中創(chuàng)建提取的條件對應的匹配條件; 確定提取的條件中操作符所對應的匹配操作符,將條件中匹配字段、匹配值、和確定的匹配操作符添加到匹配條件中; 將匹配條件組成匹配條件組,將該匹配條件組添加到所述匹配規(guī)則中。7.根據(jù)權(quán)利要求1所述的方法,其中, 所述規(guī)則管理接口中各個匹配規(guī)則還包括下列屬性中至少一種: 應用比例、命中限制、日志回傳比例、以及分組標簽。8.根據(jù)權(quán)利要求7所述的方法,其中,所述通過規(guī)則管理接口將文件樣本與匹配規(guī)則進行匹配比較具體包括: 通過規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進行匹配比較。9.根據(jù)權(quán)利要求8所述的方法,其中, 所述通過規(guī)則管理接口依據(jù)匹配規(guī)則的屬性將文件樣本與匹配規(guī)則進行匹配比較具體包括: 依據(jù)匹配規(guī)則的應用比例,在輸入特征的各個文件樣本中進行抽取,將抽取的文件樣本的特征與該匹配規(guī)則進行匹配比較; 和/或 依據(jù)匹配規(guī)則的命中限制,當應用該匹配規(guī)則進行匹配比較的數(shù)量達到該命中限制的值時,不再使用該匹配規(guī)則與文件樣本的特征進行匹配比較; 和/或 按匹配規(guī)則的日志回傳比例,從該匹配規(guī)則的匹配結(jié)果中抽取匹配結(jié)果,記錄到日志中; 和/或 根據(jù)文件樣本的分組標簽和匹配規(guī)則的分組標簽,確定文件樣本所屬分組中匹配規(guī)貝U,將文件樣本的特征與分組中匹配規(guī)則進行匹配比較。10.一種檢測文件樣本安全性的服務器,所述服務器包括: 編譯器,適于設(shè)置...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:魏自立,王志超,
申請(專利權(quán))人:北京奇虎科技有限公司,奇智軟件北京有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。