0061]图1为本发明一实施例提供的文件的检测方法的流程示意图,如图1所示。
[0062]101、对文件进行病毒检测操作,以确定所述文件是否为恶意文件。
[0063]102、若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源。
[0064]103、将所述文件的传播来源确定为恶意来源。
[0065]其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网蠕虫、邮件婦虫、间谋软件、感染型病毒或Rootkits/Bootkits。
[0066]需要说明的是,101?103的执行主体的部分或全部可以为位于本地终端的应用,或者还可以为设置在位于本地终端的应用中的插件或软件开发工具包(SoftwareDevelopment Kit,SDK)等功能单元,或者还可以为位于网络侧服务器中的处理引擎,或者还可以为位于网络侧的分布式系统,本实施例对此不进行特别限定。
[0067]可以理解的是,所述应用可以是安装在终端上的本地程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),本实施例对此不进行特别限定。
[0068]这样,通过对文件进行病毒检测操作,以确定所述文件是否为恶意文件,若所述文件为恶意文件,根据所述文件的操作行为数据,获得所述文件的传播来源,使得能够将所述文件的传播来源确定为恶意来源,由于追踪到了恶意文件的传播来源,并将其确定为恶意来源,使得能够在获取一个文件之前,预先利用所确定的恶意来源,执行病毒检测操作,这样,能够及时检测到恶意来源,以避免获取到恶意文件对系统所造成的安全威胁,从而提高了系统的安全性能。
[0069]可选地,在本实施例的一个可能的实现方式中,在101中,所进行的病毒检测操作的对象,可以是可执行文件,或者还可以是其他类型文件的非可执行文件,本实施例对此不进行特别限定。
[0070]具体地,可执行文件,是可移植可执行(PE)文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行。可执行文件的扩展名可以包括但不限于.dll、.exe、.0cx、.bat、.js、.zip、.rar、.7z、.ms1、.tar、.sys 和.scr,等。
[0071]在一个具体的实现过程中,具体可以预先将所进行的病毒检测操作的对象信息进行配置,以生成配置文件。这样,可以根据该配置文件中所包含的对象信息,确定进行的病毒检测操作的对象。由于采用了配置文件的方式配置进行的病毒检测操作的对象信息,能够有效提高信息配置的灵活性和可靠性。
[0072]在执行本发明所提供的技术方案的过程中,还可以进一步修改所生成的配置文件,以更新对象信息。
[0073]可选地,在本实施例的一个可能的实现方式中,所述文件的传播来源可以包括但不限于如下内容:
[0074]文件的访问标识;或者
[0075]文件的来源文件。
[0076]所述文件的访问标识,是指用于获取文件的标识信息,可以包括但不限于所述文件的下载地址、所述文件所属页面的统一资源定位符(Uniform Resource Locator,URL)或统一资源名称(Uniform Resource Name, URN),或者还可以包括其他能够访问所述文件的其他标识信息,本实施例对此不进行特别限定。
[0077]可以理解的是,本发明所涉及的页面,也可以称为Web页面,可以是基于超文本标记语言(HyperText Markup Language,HTML)编写的网页(Web Page),即 HTML 页面,或者还可以是基于HTML和Java语言编写的网页,即Java服务器页面(Java Server Page, JSP),或者还可以为其他语言编写的网页,本实施例对此不进行特别限定。Web页面可以包括由一个或者多个页面标签例如,超文本标记语言(HyperText Markup Language,HTML)标签、JSP标签等,定义的一个显示区块,称为页面元素,例如,文字、图片、超链接、按钮、输入框、下拉框等。
[0078]所述文件的来源文件,是指用于产生文件的其他文件,例如,安装文件或压缩文件等。
[0079]可选地,在本实施例的一个可能的实现方式中,在102之前,还可以进一步记录所述文件的操作行为数据,并与所述文件进行关联,以获得所述文件与所述文件的操作行为数据的关联关系,以供根据所述关联关系,获得所述文件的操作行为数据。
[0080]其中,所述文件的操作行为数据可以包括但不限于如下数据中的至少一种:
[0081]域名系统(Domain Name System,DNS)访问行为数据;
[0082]进程创建行为操作;
[0083]下载行为数据;
[0084]传输行为数据;
[0085]运行行为数据;
[0086]安装行为数据;以及
[0087]解压缩行为数据。
[0088]在获得所述文件与所述文件的操作行为数据的关联关系之后,还可以进一步对所述关联关系进行存储处理。具体地,具体可以将所述关联关系存储在终端的存储设备中。
[0089]在一个具体的实现过程中,所述终端的存储设备可以为慢速存储设备,具体可以为计算机系统的硬盘,或者还可以为手机的非运行内存即物理内存,例如,只读存储器(Read-Only Memory, ROM)和内存卡等,本实施例对此不进行特别限定。
[0090]在另一个具体的实现过程中,所述终端的存储设备还可以为快速存储设备,具体可以为计算机系统的内存,或者还可以为手机的运行内存即系统内存,例如,随机存储器(Random Access Memory, RAM)等,本实施例对此不进行特别限定。
[0091]可选地,在本实施例的一个可能的实现方式中,在101中,具体可以获得所述文件的特征数据,进而根据所述文件的特征数据,对所述文件进行检测,以确定所述文件是否为恶意文件。
[0092]具体地,可以对文件进行基于特征匹配的数值运算,进而,根据数值运算的运算结果,检测文件是否为病毒文件。这个方法同样适用于各种类型文件的检测,只要根据检测需求,合理挖掘匹配的特征即可。
[0093]然而,由于数值运算较为复杂,因此,可能需要较多的处理资源,这样,会占用终端的大量处理资源,从而导致终端的处理性能降低。
[0094]可选地,在本实施例的一个可能的实现方式中,在101中,具体可以监控所述文件的文件进程的进程行为,以获得目标进程行为的行为信息,进而,根据所述目标进程行为的行为信息,对所述目标进程行为进行检测,以确定所述目标进程行为是否为恶意进程行为,根据所述目标进程行为是否为恶意进程行为,确定所述文件是否为恶意文件。由于不再依赖于对目标进程行为进行单个样本的指定特征分析,而是根据所述目标进程行为的行为信息,对所述目标进程行为进行综合检测,能够及时检测到恶意进程行为,从而提高了系统的安全性能。
[0095]其中,所述进程行为可以包括但不限于下列操作中的至少一项:
[0096]文件操作行为;
[0097]进程操作行为;以及
[0098]注册表操作行为。
[0099]在一个具体的实现过程中,监控所述文件的文件进程的进程行为,这一操作的依据,可以为一预先配置的可疑行为决策库。该可疑行为决策库中存储有已经确定的可疑进程行为的相关信息,例如,可疑目标进程行为的标识信息,可疑目标进程行为的发起者信息等,确定所监控的进程的进程行为是否为可疑进程行为即目标进程行为,进而获得该目标进程行为的行为信息。
[0100]可以理解的是,由于监控的目的,只是确定目标进程行为,并不是确定恶意进程行为,因此,所述可疑行为决策库的配置策略,可以适当地将监控范围控制得大一些,能够有效避免漏报的情况发生。
[0101]在另一个具体的实现过程中,所获得的所述目标进程行为的行为信息可以包括但不限于下列信息中的至少一项:
[0102]目标进程行为的发起者信息;
[0103]目标进程行为的目标对象信息;
[0104]目标进程行为的附加信息;以及
[0105]目标进程行为的标识信息。
[0106]其中,
[0107]所述目标进程行为的发起者信息,可以为发起进程行为的对象标识,例如,文件标识等。
[0108]所述目标进程行为的目标对象信息,可以为进程行为将要施加的对象标识,例如,其他文件的文件标识。
[0109]所述目标进程行为的附加信息,可以为进程行为所产生的数据信息,例如,。
[0110]所述目标进程行为的标识信息,可以为进程行为的标识(Identifier,ID)。
[0111]在另一个具