文件的检测方法及装置的制造方法
【专利说明】
【技术领域】
[0001]本发明涉及计算机技术,尤其涉及一种文件的检测方法及装置。
【【背景技术】】
[0002]病毒是编制或者在应用程序中插入的破坏系统功能的数据,其会影响应用程序的正常使用,并且还能够自我复制,通常以一组指令或者程序代码的形式呈现。病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件蠕虫、间谍软件、感染型病毒或Rootkits/Bootkits,它们具有破坏性,复制性和传染性的特点。
[0003]然而,在一些情况下,例如,杀毒软件的监控能力有限,或者再例如,病毒种类繁多,且增长速度特别快等,因此,运行后的病毒所导致的恶意进程行为难以被及时检测到。
【
【发明内容】
】
[0004]本发明的多个方面提供一种文件的检测方法及装置,用以提高系统的安全性能。
[0005]本发明的一方面,提供一种文件的检测方法,包括:
[0006]对文件进行病毒检测操作,以确定所述文件是否为恶意文件;
[0007]若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源;
[0008]将所述文件的传播来源确定为恶意来源。
[0009]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件的传播来源包括:
[0010]文件的访问标识;或者
[0011]文件的来源文件。
[0012]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源之前,还包括:
[0013]记录所述文件的操作行为数据,并与所述文件进行关联,以获得所述文件与所述文件的操作行为数据的关联关系,以供根据所述关联关系,获得所述文件的操作行为数据。
[0014]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对文件进行病毒检测操作,以确定所述文件是否为恶意文件,包括:
[0015]获得所述文件的特征数据;
[0016]根据所述文件的特征数据,对所述文件进行检测,以确定所述文件是否为恶意文件。
[0017]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述对文件进行病毒检测操作,以确定所述文件是否为恶意文件,包括:
[0018]监控所述文件的文件进程的进程行为,以获得目标进程行为的行为信息;
[0019]根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;
[0020]根据所述目标进程行为是否为恶意进程行为,确定所述文件是否为恶意文件。
[0021]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标进程行为的行为信息包括下列信息中的至少一项:
[0022]目标进程行为的发起者信息;
[0023]目标进程行为的目标对象信息;
[0024]目标进程行为的附加信息;以及
[0025]目标进程行为的标识信息。
[0026]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件包括可执行文件。
[0027]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述将所述文件的传播来源确定为恶意来源之后,还包括:
[0028]利用所述恶意来源,执行病毒检测操作。
[0029]本发明的另一方面,提供一种文件的检测装置,包括:
[0030]检测单元,用于对文件进行病毒检测操作,以确定所述文件是否为恶意文件;
[0031]追踪单元,用于若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源;
[0032]确定单元,用于将所述文件的传播来源确定为恶意来源。
[0033]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件的传播来源包括:
[0034]文件的访问标识;或者
[0035]文件的来源文件。
[0036]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述追踪单元,还用于
[0037]记录所述文件的操作行为数据,并与所述文件进行关联,以获得所述文件与所述文件的操作行为数据的关联关系,以供根据所述关联关系,获得所述文件的操作行为数据。
[0038]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元,具体用于
[0039]获得所述文件的特征数据;以及
[0040]根据所述文件的特征数据,对所述文件进行检测,以确定所述文件是否为恶意文件。
[0041]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元,具体用于
[0042]监控所述文件的文件进程的进程行为,以获得目标进程行为的行为信息;
[0043]根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为;以及
[0044]根据所述目标进程行为是否为恶意进程行为,确定所述文件是否为恶意文件。
[0045]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标进程行为的行为信息包括下列信息中的至少一项:
[0046]目标进程行为的发起者信息;
[0047]目标进程行为的目标对象信息;
[0048]目标进程行为的附加信息;以及
[0049]目标进程行为的标识信息。
[0050]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述文件包括可执行文件。
[0051]如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述检测单元,还用于
[0052]利用所述恶意来源,执行病毒检测操作。
[0053]由上述技术方案可知,本发明实施例通过对文件进行病毒检测操作,以确定所述文件是否为恶意文件,若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源,使得能够将所述文件的传播来源确定为恶意来源,由于追踪到了恶意文件的传播来源,并将其确定为恶意来源,使得能够在获取一个文件之前,预先利用所确定的恶意来源,执行病毒检测操作,这样,能够及时检测到恶意来源,以避免获取到恶意文件对系统所造成的安全威胁,从而提高了系统的安全性能。
[0054]另外,采用本发明所提供的技术方案,通过监控文件的文件进程的进程行为,以获得目标进程行为的行为信息,进而根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,使得能够根据所述目标进程行为是否为恶意进程行为,确定所述文件是否为恶意文件,由于不再依赖于对目标进程行为进行单个样本的指定特征分析,而是根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
【【附图说明】】
[0055]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0056]图1为本发明一实施例提供的文件的检测方法的流程示意图;
[0057]图2为本发明另一实施例提供的文件的检测装置的结构示意图。
【【具体实施方式】】
[0058]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0059]需要说明的是,本发明实施例中所涉及的终端可以包括但不限于手机、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、个人电脑(Personal Computer, PC)、MP3播放器、MP4播放器、可穿戴设备(例如,智能眼镜、智能手表、智能手环等)等。
[0060]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[