檢測惡意文件的方法和裝置的制造方法
【技術領域】
[0001]本申請涉及計算機技術領域�,具體涉及網(wǎng)絡信息安全技術領域,尤其涉及一種檢測惡意文件的方法和裝置�����。
【背景技術】
[0002]在互聯(lián)網(wǎng)下載文件時��,一些下載鏈接往往通過偽裝指向惡意文件���。這些惡意文件(例如包含可以在計算機系統(tǒng)上執(zhí)行惡意任務的病毒��、蠕蟲或特洛伊木馬的程序的文檔)被下載到用戶的計算機,可能使得網(wǎng)絡用戶的信息安全受到威脅�����。
[0003]目前��,大多殺毒類應用使用的靜態(tài)檢測方法中����,通常先提取所要下載的文件的屬性信息或者所包含的內(nèi)容等特征,進而根據(jù)預先訓練的模型對這些特征進行匹配從而確定文件是否為惡意文件。這些方法需要先獲取文件的相關特征�����,且對于不包含明顯的惡意文件特征的文件��,不能判定是否為惡意文件�,鑒定效率較低。
【發(fā)明內(nèi)容】
[0004]本申請的目的在于提出一種改進的檢測惡意文件的方法和裝置���,來解決以上【背景技術】部分提到的技術問題����。
[0005]一方面�,本申請?zhí)峁┝艘环N檢測惡意文件的方法,所述方法包括:獲取下載待檢測文件的統(tǒng)一資源定位符URL ;將所述待檢測文件的URL所包含的字符串與預設模型中的字符串進行匹配�����;基于所述待檢測文件的URL在所述預設模型中匹配到的最長字符串��,確定所述待檢測文件是否為惡意文件�����。
[0006]在一些實施例中,所述預設模型包括通過已知的惡意文件和非惡意文件的URL樣本訓練生成的字典樹����。
[0007]在一些實施例中,在所述字典樹中:每條邊對應一個字符串�����;
[0008]每條從根節(jié)點出發(fā)的路徑對應一個字符串��,路徑中的字符串由路徑中的邊對應的字符串按順序拼接而成����;每個節(jié)點存放滿足路徑匹配條件的非惡意文件和惡意文件的數(shù)量或比值,其中��,所述路徑匹配條件包括從根節(jié)點到該節(jié)點處的路徑對應的字符串是文件的URL的前綴����。
[0009]在一些實施例中�,所述基于所述待檢測文件的URL在所述預設模型中匹配到的最長字符串,確定待檢測文件是否為惡意文件包括:獲取所述預設模型中與所述URL相匹配的最長字符串所達到的節(jié)點�;讀取所述最長字符串所達到的節(jié)點記錄的所述數(shù)量或比值;基于所述數(shù)量或比值確定待檢測文件是否為惡意文件�����。
[0010]在一些實施例中,所述基于所述數(shù)量或比值確定待檢測文件是否為惡意文件包括:根據(jù)所述路徑匹配條件獲取經(jīng)過所述最長字符串所達到的節(jié)點的全部路徑中的惡意文件與非惡意文件的比值�,或者根據(jù)所述數(shù)量計算經(jīng)過所述最長字符串所達到的節(jié)點的全部路徑中的惡意文件與非惡意文件的比值;判斷所述比值是否大于預設閾值����;當大于預設閾值時,確定待檢測文件為惡意文件�;當不大于預設閾值時,確定待檢測文件為非惡意文件����。
[0011]在一些實施例中,所述字典樹包括通過以下方法將所述樣本集訓練生成的字典樹:將所述樣本集中所包含的URL進行字符串匹配����,并根據(jù)匹配結果獲取所述樣本集包含的URL的所有公共前綴字符串;使所述字典樹的每條邊對應一個公共前綴字符串�����,每條從根節(jié)點出發(fā)的路徑對應一個字符串����,路徑中的字符串由路徑中的邊對應的公共前綴字符串按順序拼接而成�,每條從根節(jié)點到達終端節(jié)點的路徑對應一個URL ;在所述字典樹的每個節(jié)點存放滿足路徑匹配條件的非惡意文件和惡意文件的數(shù)量或比值���,其中�����,所述路徑匹配條件包括從根節(jié)點到該節(jié)點處的路徑對應的字符串是文件的URL的前綴����。
[0012]在一些實施例中���,所述方法還包括:根據(jù)確定所述待檢測文件是否為惡意文件的結果更新所述預設模型��。
[0013]另一方面�����,本申請?zhí)峁┝艘环N檢測惡意文件的裝置���,所述裝置包括:獲取模塊���,配置用于獲取下載待檢測文件的統(tǒng)一資源定位符URL;匹配模塊���,配置用于將所述待檢測文件的URL所包含的字符串與預設模型中的字符串進行匹配�;確定模塊�,配置用于基于所述待檢測文件的URL在所述預設模型中匹配到的最長字符串,確定待檢測文件是否為惡意文件����。
[0014]在一些實施例中,所述預設模型包括通過已知的惡意文件和非惡意文件的URL樣本訓練生成的字典樹�����。
[0015]在一些實施例中����,在所述字典樹中:每條邊對應一個字符串;每條從根節(jié)點出發(fā)的路徑對應一個字符串����,路徑中的字符串由路徑中的邊對應的字符串按順序拼接而成;每個節(jié)點存放滿足路徑匹配條件的非惡意文件和惡意文件的數(shù)量或比值�����,其中����,所述路徑匹配條件包括從根節(jié)點到該節(jié)點處的路徑對應的字符串是文件的URL的前綴����。
[0016]在一些實施例中����,所述確定模塊包括:獲取單元,配置用于根據(jù)所述路徑匹配條件獲取所述預設模型中與所述URL相匹配的最長字符串所達到的節(jié)點����;讀取單元,配置用于讀取所述最長字符串所達到的節(jié)點記錄的所述數(shù)量或比值��;確定單元����,配置用于基于所述數(shù)量或比值判斷待檢測文件是否為惡意文件。
[0017]在一些實施例中��,所述確定單元包括:比值獲取子單元���,配置用于獲取經(jīng)過所述最長字符串所達到的節(jié)點的全部路徑中的惡意文件與非惡意文件的比值���,或者根據(jù)所述數(shù)量計算經(jīng)過所述最長字符串所達到的節(jié)點的全部路徑中的惡意文件與非惡意文件的比值�����;確定子單元,判斷所述比值是否大于預設閾值�����;以及�,當大于預設閾值時,確定待檢測文件為惡意文件����;當不大于預設閾值時,確定待檢測文件為非惡意文件�����。
[0018]在一些實施例中����,所述裝置還包括字典樹生成模塊,所述字典樹生成模塊包括:字符串匹配單元���,配置用于將所述樣本集中所包含的URL進行字符串匹配�,并根據(jù)匹配結果獲取所述樣本集包含的URL的所有公共前綴字符串;字典樹生成單元��,配置用于使所述字典樹的每條邊對應一個公共前綴字符串�����,每條從根節(jié)點出發(fā)的路徑對應一個字符串���,路徑中的字符串由路徑中的邊對應的公共前綴字符串按順序拼接而成���,每條從根節(jié)點到達終端節(jié)點的路徑對應一個URL ;以及,在所述字典樹的每個節(jié)點存放滿足路徑匹配條件的非惡意文件和惡意文件的數(shù)量或比值���,其中��,所述路徑匹配條件包括從根節(jié)點到該節(jié)點處的路徑對應的字符串是文件的URL的前綴�。
[0019]在一些實施例中��,所述裝置還包括更新模塊�,所述更新模塊配置用于根據(jù)確定所述待檢測文件是否為惡意文件的結果更新所述預設模型。
[0020]本申請?zhí)峁┑臋z測惡意文件的方法和裝置�,通過獲取待檢測文件的統(tǒng)一資源定位符URL�,并將待檢測文件的URL所包含的字符串與預設模型中的字符串進行匹配�,基于匹配到的最長字符串,確定待檢測文件是否為惡意文件���,不需要獲取待檢測文件的其他信息����,提尚了對惡意文件的鑒定效率��。
【附圖說明】
[0021]通過閱讀參照以下附圖所作的對非限制性實施例的詳細描述�����,本申請的其它特征���、目的和優(yōu)點將會變得更明顯:
[0022]圖1是根據(jù)本申請的檢測惡意文件的方法的一個實施例的流程圖;
[0023]圖2是根據(jù)本申請的預設模型的一個字典樹的示意圖�����;
[0024]圖3a是根據(jù)本申請的預設模型的另一個字典樹的示意圖���;
[0025]圖3b是根據(jù)圖3a所示的字典樹的一個示例的更新后的示意圖����;
[0026]圖4是根據(jù)本申請的一種檢測惡意文件的方法的一個應用場景的示意圖;
[0027]圖5是根據(jù)本申請的檢測惡意文件的裝置的一個實施例的結構示意圖����。
【具體實施方式】
[0028]下面結合附圖和實施例對本申請作進一步的詳細說明?����?梢岳斫獾氖?�,此處所描述的具體實施例僅僅用于解釋相關發(fā)明�����,而非對該發(fā)明的限定��。另外還需要說明的是��,為了便于描述�����,附圖中僅示出了與有關發(fā)明相關的部分���。
[0029]需要說明的是����,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相互組合����。下面將參考附圖并結合實施例來詳細說明本申請。
[0030]請參考圖1�,其示出了檢測惡意文件的方法的一個實施例的流程100���。本實施例主要以該方法應用于支持下載類應用和/或瀏覽器應用安裝于其上的各種電子設備�,包括但不限于智能手機�����、智能手表�、平板電腦、個人數(shù)字助理���、電子書閱讀器�、MP3播放器(Moving Picture Experts Group Aud1 Layer III�����,動態(tài)影像專家壓縮標準音頻層面 3)、MP4 (Moving Picture Experts Group Aud1 Layer IV�����,動態(tài)影像專家壓縮標準音頻層面4)播放器����、膝上型便攜計算機和臺式計算機等等。該檢測惡意文件的方法�,包括以下步驟:
[0031]步驟101,獲取下載待檢測文件的URL���。
[0032]在本實施例中�,電子設備首先可以根據(jù)用戶從網(wǎng)絡下載文件的請求獲取下載待檢測文件的URL (Uniform Resoure Locator�,統(tǒng)一資源定位符),在這里��,待檢測文件可以為用戶所請求的從網(wǎng)絡下載的文件���。
[0033]其中���,統(tǒng)一資源定位符URL是對可以從互聯(lián)網(wǎng)上得到的資源的位置和訪問方法的一種簡潔的表示�����,是互聯(lián)網(wǎng)上標準資源的地址���。互聯(lián)網(wǎng)上的每個文件都有一個唯一的URL�,它包含的信息指出文件的位置以及瀏覽器或下載類應用應該怎么處理它?�;綰RL包含模式(或稱協(xié)議)�����、服務器名稱(或IP地址)�����、路徑和文件名��。URL可以通過包括字母���、數(shù)字、符號的字符串表示���,例如:http://www.sohu.com/ο
[0034]用戶在從服務器下載文件時�,可以通過在瀏覽器所顯示的頁面上點擊超鏈接或者下載地址發(fā)出下載相應文件的請求,也可以在下載類應用中點擊超鏈接或輸入下載地址發(fā)出下載相應的文件的請求�。此