專利名稱:可信文件的收集方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,具體涉及一種可信文件的收集方法及系統(tǒng)。
背景技術(shù):
在“云安全”體系中,可信文件的收集一直是個難題,一方面要盡可能全面地收集主流的可信文件,另一方面又要避免錯誤地收集到非可信文件,兩者之間在一定程度上是矛盾的。目前,在傳統(tǒng)的可信文件收集方式中,一般采用特性碼匹配的方式來判別文件是否可信。在這種方式中,首先,需要通過大量的可信文件來進(jìn)行樣本訓(xùn)練,從而學(xué)習(xí)產(chǎn)生可信的特性碼;然后,在后續(xù)的收集過程中,根據(jù)待收集文件的特性碼是否屬于上面產(chǎn)生的可信的特性碼來判定待收集的文件是否可信。但是,上述方式在前期通過訓(xùn)練產(chǎn)生可信特性碼時需要用到大量的樣本文件,而且訓(xùn)練過程較為耗時,導(dǎo)致收集不及時,比較滯后。
發(fā)明內(nèi)容
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的可信文件的收集方法及系統(tǒng)。
·
依據(jù)本發(fā)明的一個方面,提供了一種可信文件的收集方法,包括:獲取樣本文件的數(shù)字簽名;確定數(shù)字簽名是否可信;當(dāng)確定數(shù)字簽名可信時,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。可選地,確定數(shù)字簽名是否可信具體包括:判斷數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫中,如果判斷結(jié)果為是,則確定數(shù)字簽名可信。可選地,如果判斷結(jié)果為否,則上述方法進(jìn)一步包括步驟:根據(jù)預(yù)設(shè)的判斷規(guī)則確定數(shù)字簽名是否可信,且當(dāng)根據(jù)判斷規(guī)則確定數(shù)字簽名可信時,進(jìn)一步將數(shù)字簽名存儲到預(yù)設(shè)的可信簽名數(shù)據(jù)庫中??蛇x地,預(yù)設(shè)的判斷規(guī)則包括以下規(guī)則中的一個或多個:根據(jù)數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱判斷數(shù)字簽名是否屬于正規(guī)公司的簽名;根據(jù)預(yù)設(shè)的惡意簽名數(shù)據(jù)庫判斷數(shù)字簽名簽發(fā)的歷史樣本中是否存在惡意樣本,其中,預(yù)設(shè)的惡意簽名數(shù)據(jù)庫用于存儲簽發(fā)過惡意樣本的數(shù)字簽名;數(shù)字簽名是否在有效期內(nèi);以及數(shù)字簽名與可信簽名數(shù)據(jù)庫中已存儲的數(shù)字簽名之間的相似度是否大于預(yù)設(shè)閾值。可選地,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中之后進(jìn)一步包括步驟:調(diào)用殺毒引擎定期掃描可信文件數(shù)據(jù)庫中的文件;通過掃描確定可信文件數(shù)據(jù)庫中存在可疑文件時,分析可疑文件是否為惡意文件;如果可疑文件為惡意文件,將惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件??蛇x地,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中之后進(jìn)一步包括步驟:當(dāng)確定可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定數(shù)字簽名的密鑰泄漏時,將數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。依據(jù)本發(fā)明的另一方面,提供了一種可信文件的收集系統(tǒng),包括:獲取模塊,適于獲取樣本文件的數(shù)字簽名;確定模塊,適于確定數(shù)字簽名是否可信;收集模塊,適于當(dāng)確定數(shù)字簽名可信時,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。可選地,確定模塊適于判斷數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫中,如果判斷結(jié)果為是,則確定數(shù)字簽名可信??蛇x地,如果判斷結(jié)果為否,則確定模塊進(jìn)一步適于根據(jù)預(yù)設(shè)的判斷規(guī)則確定數(shù)字簽名是否可信,且當(dāng)根據(jù)判斷規(guī)則確定數(shù)字簽名可信時,進(jìn)一步將數(shù)字簽名存儲到預(yù)設(shè)的可信簽名數(shù)據(jù)庫中??蛇x地,預(yù)設(shè)的判斷規(guī)則包括以下規(guī)則中的一個或多個:根據(jù)數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱判斷數(shù)字簽名是否屬于正規(guī)公司的簽名;根據(jù)預(yù)設(shè)的惡意簽名數(shù)據(jù)庫判斷數(shù)字簽名簽發(fā)的歷史樣本中是否存在惡意樣本,其中,預(yù)設(shè)的惡意簽名數(shù)據(jù)庫用于存儲簽發(fā)過惡意樣本的數(shù)字簽名;數(shù)字簽名是否在有效期內(nèi);以及數(shù)字簽名與可信簽名數(shù)據(jù)庫中已存儲的數(shù)字簽名之間的相似度是否大于預(yù)設(shè)閾值??蛇x地,該系統(tǒng)進(jìn)一步包括:掃描模塊,適于調(diào)用殺毒引擎定期掃描可信文件數(shù)據(jù)庫中的文件;分析模塊,適于在掃描模塊確定可信文件數(shù)據(jù)庫中存在可疑文件時,分析可疑文件是否為惡意文件;網(wǎng)絡(luò)后臺模塊,適于在可疑文件為惡意文件時,將惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件??蛇x地,網(wǎng)絡(luò)后臺模塊進(jìn)一步適于:當(dāng)確定可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定數(shù)字簽名的密鑰泄漏時,將數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。根據(jù)本發(fā)明的可信文件的收集方法及系統(tǒng),通過獲取樣本文件的數(shù)字簽名并判斷數(shù)字簽名是否可信的方式來收集可信文件。由此解決了現(xiàn)有技術(shù)中在前期通過訓(xùn)練產(chǎn)生可信特性碼時需要用到大量的樣本文件,而且訓(xùn)練過程較為耗時,導(dǎo)致收集不及時,比較滯后的問題,取得了能夠直接根據(jù)數(shù)字簽名收集可信文件,從而提高了收集效率的有益效果。上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的具體實(shí)施方式
。
通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:圖 1示出了本發(fā)明實(shí)施例提供的可信文件的收集方法的流程圖;以及圖2示出了本發(fā)明實(shí)施例提供的可信文件的收集系統(tǒng)的結(jié)構(gòu)圖。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。圖1示出了本發(fā)明實(shí)施例提供的可信文件的收集方法的流程圖。如圖1所示,該方法起始于步驟SI 10,在步驟SllO中,獲取樣本文件的數(shù)字簽名。這里提到的樣本文件是通過下載等方式獲得的待收集文件。獲得樣本文件之后,需要進(jìn)一步獲取樣本文件中所包含的數(shù)字簽名。其中,“數(shù)字簽名”是指可以添加到文件中的電子安全標(biāo)記,使用數(shù)字簽名可以驗(yàn)證文件的發(fā)行者以及幫助驗(yàn)證文件自被數(shù)字簽名后是否發(fā)生更改,一般正規(guī)軟件廠商發(fā)布的軟件都帶有自身的數(shù)字簽名。具體地,在獲取樣本文件中包含的數(shù)字簽名時,可以通過調(diào)用windows提供的API接口 Win-Verify Trust進(jìn)行獲取。通過步驟SllO獲取到樣本文件的數(shù)字簽名之后,接下來,在步驟S120中,進(jìn)一步確定步驟SllO中獲取到的數(shù)字簽名是否可信。具體地,在步驟S120中確定上述數(shù)字簽名是否可信時,主要是通過判斷上述數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫中來實(shí)現(xiàn)的,如果判斷出上述數(shù)字簽名已經(jīng)存儲在了預(yù)設(shè)的可信簽名數(shù)據(jù)庫中,則確定上述數(shù)字簽名可信。其中,該預(yù)設(shè)的可信簽名數(shù)據(jù)庫用于存儲可信的數(shù)字簽名。在本發(fā)明實(shí)施例中,可以在可信文件收集方法的執(zhí)行過程中動態(tài)創(chuàng)建該可信簽名數(shù)據(jù)庫。由于該可信簽名數(shù)據(jù)庫是動態(tài)創(chuàng)建的,因此,在通過步驟S120處理第一個樣本文件之前,該可信簽名數(shù)據(jù)庫中存儲的可信簽名為空,因此,步驟S120中處理的第一個樣本文件中的數(shù)字簽名必然沒有存儲在該可信簽名數(shù)據(jù)庫中。相應(yīng)地,當(dāng)判斷出 上述數(shù)字簽名沒有存儲在該可信簽名數(shù)據(jù)庫中時,還需要進(jìn)一步執(zhí)行以下步驟:根據(jù)預(yù)設(shè)的判斷規(guī)則確定上述數(shù)字簽名是否可信,且當(dāng)根據(jù)預(yù)設(shè)的判斷規(guī)則確定出上述數(shù)字簽名可信時,進(jìn)一步將上述數(shù)字簽名存儲到該可信簽名數(shù)據(jù)庫中,從而實(shí)現(xiàn)該可信簽名數(shù)據(jù)庫的動態(tài)創(chuàng)建和更新。其中,預(yù)設(shè)的判斷規(guī)則可以包括以下四種規(guī)則中的一個或多個:(I)根據(jù)上述數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱判斷上述數(shù)字簽名是否屬于正規(guī)公司的簽名。在根據(jù)該規(guī)則進(jìn)行判斷時,首先需要獲取數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱,其中,公司名稱例如可以是百度、騰訊等簽發(fā)數(shù)字簽名的公司的名稱,頒發(fā)者名稱是指為簽發(fā)數(shù)字簽名的公司頒發(fā)該數(shù)字簽名的上一級公司的名稱。如果數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱屬于正規(guī)公司的名稱,則可以確定上述數(shù)字簽名屬于正規(guī)公司的簽名,因而確定該數(shù)字簽名是可信的;反之,則確定該數(shù)字簽名是不可信的。其中,正規(guī)公司的名稱通常是指一些為人們所熟知的知名公司(例如百度、騰訊等),可以預(yù)先篩選出這些公司的名稱,并將其存儲在一個列表中,以便于在該規(guī)則中使用。通過該規(guī)則來判斷數(shù)字簽名是否可信的依據(jù)在于,通常情況下,正規(guī)公司簽發(fā)的數(shù)字簽名都是通過正規(guī)渠道得到的可信的數(shù)字簽名。
(2)根據(jù)預(yù)設(shè)的惡意簽名數(shù)據(jù)庫判斷上述數(shù)字簽名簽發(fā)的歷史樣本中是否存在惡意樣本,其中,預(yù)設(shè)的惡意簽名數(shù)據(jù)庫用于存儲簽發(fā)過惡意樣本的數(shù)字簽名。在根據(jù)該規(guī)則進(jìn)行判斷時,需要事先維護(hù)一個惡意簽名數(shù)據(jù)庫,每當(dāng)發(fā)現(xiàn)惡意樣本時,就將簽發(fā)該惡意樣本的數(shù)字簽名存儲到該惡意簽名數(shù)據(jù)庫中,從而確保幾乎所有簽發(fā)過惡意樣本的數(shù)字簽名都被存儲到該惡意簽名數(shù)據(jù)庫中。由此一來,如果發(fā)現(xiàn)上述數(shù)字簽名屬于該惡意簽名數(shù)據(jù)庫,就可以確定該數(shù)字簽名簽發(fā)的歷史樣本中存在惡意樣本,進(jìn)而確定該數(shù)字簽名為不可信;反之,則說明該數(shù)字簽名可信。通過該規(guī)則來判斷數(shù)字簽名是否可信的依據(jù)在于,通常情況下,一個數(shù)字簽名會先后簽發(fā)大量的樣本文件,如果發(fā)現(xiàn)某一數(shù)字簽名曾經(jīng)簽發(fā)過惡意樣本(相應(yīng)地該數(shù)字簽名將被存儲到惡意簽名數(shù)據(jù)庫中),就說明該數(shù)字簽名有可能被非法人員盜用,因而該數(shù)字簽名后續(xù)簽發(fā)的樣本文件也極有可能是不可信的。( 3 )上述數(shù)字簽名是否在有效期內(nèi)。在根據(jù)該規(guī)則進(jìn)行判斷時,首先需要獲取數(shù)字簽名中包含的簽名時間和簽名證書的有效期。例如,簽名時間為2013年I月I日,有效期為3個月。因此,如果當(dāng)前日期為2013年2月2日,則說明該數(shù)字簽名仍然在有效期內(nèi),進(jìn)而確定該數(shù)字簽名是可信的;如果當(dāng)前日期為2013年4月5日,則說明該數(shù)字簽名已不在有效期內(nèi),進(jìn)而確定該數(shù)字簽名是不可信的。通過該規(guī)則來判斷數(shù)字簽名是否可信的依據(jù)在于,通常情況下,有效期內(nèi)的數(shù)字簽名是合法的數(shù)字簽名,而有效期外的數(shù)字簽名則是已失效甚至非法的數(shù)字簽名。(4)上述數(shù)字簽名與可信簽名數(shù)據(jù)庫中已存儲的數(shù)字簽名之間的相似度是否大于預(yù)設(shè)閾值。在根據(jù)該規(guī)則進(jìn)行判斷時,需要將上述數(shù)字簽名與可信簽名數(shù)據(jù)庫中已經(jīng)存儲的每一數(shù)字簽名分別進(jìn)行相似度比較,如果發(fā)現(xiàn)上述數(shù)據(jù)簽名與可信簽名數(shù)據(jù)庫中已經(jīng)存儲的某一數(shù)字簽名之間的相似度大于預(yù)設(shè)閾值,則可以推定該數(shù)字簽名為可信;反之,推定該數(shù)字簽名為不可信。通過該規(guī)則來判斷數(shù)字簽名是否可信的依據(jù)在于,通常情況下,簽發(fā)公司相同或者頒發(fā)者相同的多個數(shù)字簽名之間存在著一定的相似性,這些相似的數(shù)字簽名中如果有一個已經(jīng)被確定為可信的,那么其余的幾個也很可能是可信的。上面介紹的四種規(guī)則可以單獨(dú)使用,也可以結(jié)合起來使用。另外,除了這四種規(guī)則之外,本領(lǐng)域技術(shù)人員也可以靈活選用其他的規(guī)則來判斷數(shù)字簽名是否可信。通過上面的方式,就可以在步驟S120中確定出數(shù)字簽名是否可信。在上面介紹的步驟S120中,可信簽名數(shù)據(jù)庫是動態(tài)創(chuàng)建的,因此,當(dāng)在步驟S120中處理第一個樣本文件時,可信簽名數(shù)據(jù)庫中還沒有存儲可信的數(shù)字簽名,因此,需要根據(jù)上述預(yù)設(shè)的判斷規(guī)則來判斷第一個樣本文件中的數(shù)字簽名是否可信,并在數(shù)字簽名可信時將該數(shù)字簽名添加到可信簽名數(shù)據(jù)庫中,后續(xù)的樣本文件處理過程依此類推。通過這種方式,無需將創(chuàng)建可信簽名數(shù)據(jù)庫的步驟作為一個單獨(dú)的步驟刻意執(zhí)行,只需在每個樣本文件的判斷過程中隨時動態(tài)地添加可信簽名從而逐步完善該可信簽名數(shù)據(jù)庫即可,省去了單獨(dú)創(chuàng)建該可信簽名數(shù)據(jù)庫的操作過程。 但是,在實(shí)際情況中,也可以根據(jù)需要,預(yù)先創(chuàng)建可信簽名數(shù)據(jù)庫,即:事先通過一定量的樣本文件篩選出可信的數(shù)字簽名,將其存儲在可信簽名數(shù)據(jù)庫中。具體篩選時,也可以通過上面介紹的四種規(guī)則進(jìn)行篩選。這樣,在步驟S120中處理第一個樣本文件時,就可以直接根據(jù)可信簽名數(shù)據(jù)庫來得到判斷結(jié)果。這樣的做法雖然需要單獨(dú)創(chuàng)建可信簽名數(shù)據(jù)庫,但是在步驟S120中可以直接使用該數(shù)據(jù)庫,無需再根據(jù)預(yù)設(shè)的規(guī)則對每個樣本文件進(jìn)行判斷,因而也具備一定的優(yōu)勢?;蛘?,也可以將上述兩種方式結(jié)合起來,預(yù)先篩選出一定數(shù)量的可信的數(shù)字簽名,并根據(jù)這些數(shù)字簽名完成可信簽名數(shù)據(jù)庫的初步創(chuàng)建,然后,在后續(xù)的步驟S120中,如果判斷出數(shù)字簽名屬于該可信簽名數(shù)據(jù)庫,即可直接確定該數(shù)字簽名可信;如果判斷出數(shù)字簽名不屬于該可信簽名數(shù)據(jù)庫,則繼續(xù)通過上面提到的預(yù)設(shè)的判斷規(guī)則進(jìn)行判斷,并在判斷出該數(shù)字簽名可信時,進(jìn)一步將該數(shù)字簽名添加到可信簽名數(shù)據(jù)庫中,從而既可以在步驟S120剛開始執(zhí)行時就能夠使用該可信簽名數(shù)據(jù)庫,又可以在后續(xù)的過程中對該可信簽名數(shù)據(jù)庫進(jìn)行完善,以便提高判斷的準(zhǔn)確性。執(zhí)行完步驟S120之后,在步驟S130中,當(dāng)確定上述數(shù)字簽名可信時,將相應(yīng)的樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。在步驟S130中收集可信文件的依據(jù)在于,通常情況下,如果簽發(fā)樣本文件的數(shù)字簽名是可信的,則該樣本文件也是可信的。通過上面的方式,就實(shí)現(xiàn)了可信文件的收集。在上述收集方式中,通過數(shù)字簽名來識別可信文件,由于一個數(shù)字簽名會對應(yīng)大量的文件,所以通過數(shù)字簽名可以輕松地收集到更多數(shù)量的可信文件,因此大大提高了收集效率。另外,由于數(shù)字簽名難以模仿,本身就具有防偽功能,而且,只要正規(guī)廠商的數(shù)字簽名是正確的,其簽發(fā)的文件通常也都是正確的,所以,通過數(shù)字簽名來收集可信文件還大大提高了收集的準(zhǔn)確性,從而保證了可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性。進(jìn)一步地,為了能夠更好地保證可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性,避免錯誤地收集到不可信的文件 ,該收集方法在步驟S130之后還可以進(jìn)一步包括步驟S140。在步驟S140中,調(diào)用殺毒引擎定期掃描可信文件數(shù)據(jù)庫中的文件;通過掃描確定可信文件數(shù)據(jù)庫中存在可疑文件時,分析可疑文件是否為惡意文件;如果可疑文件為惡意文件,將惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由該惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。其中,調(diào)用殺毒引擎定期掃描可信文件數(shù)據(jù)庫中的文件時,可以通過常規(guī)的殺毒軟件實(shí)現(xiàn)。當(dāng)殺毒軟件通過掃描發(fā)現(xiàn)可疑文件時,通常會通過彈窗等提示方式進(jìn)行提示。本領(lǐng)域技術(shù)人員可以根據(jù)需要靈活設(shè)置殺毒軟件確定可疑文件時所采用的規(guī)則,本發(fā)明對此不作限定。當(dāng)發(fā)現(xiàn)可疑文件之后,需要進(jìn)一步分析該可疑文件是否是惡意文件,具體地,可以根據(jù)可疑文件的行為特征來確定其是否為惡意文件,常見的惡意文件包括木馬或病毒等,這些惡意文件的具體行為特征可根據(jù)其自身的特點(diǎn)進(jìn)行設(shè)定。如果發(fā)現(xiàn)可信簽名數(shù)據(jù)庫中確實(shí)出現(xiàn)了惡意文件,則可以推定簽發(fā)該惡意文件的數(shù)字簽名有可能是不可信的,因而將簽發(fā)該惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,進(jìn)一步地還可以將簽發(fā)該惡意文件的數(shù)字簽名存入惡意簽名數(shù)據(jù)庫中。另外,由于該數(shù)字簽名已經(jīng)被推定為不可信的,因而,該數(shù)字簽名所簽發(fā)的其他樣本文件也極有可能是不可信的(即潛在的惡意文件)。對此,還可以進(jìn)一步地在可信文件數(shù)據(jù)庫中逐一分析由該數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件,如果是惡意文件,則將其從可信文件數(shù)據(jù)庫中刪除,以維持可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性。或者,為了能在第一時間內(nèi)將這些潛在的惡意文件從可信文件數(shù)據(jù)庫中刪除,以及時避免這些潛在的惡意文件所造成的危害,也可以先在可信文件數(shù)據(jù)庫中將該數(shù)字簽名簽發(fā)的所有樣本文件全部刪除,然后再通過逐一分析的方式來判斷其是否是惡意文件,如果不是惡意文件,再將其重新添加到可信文件數(shù)據(jù)庫中。通過步驟S140中的定期掃描的方式,就可以實(shí)現(xiàn)對可信文件數(shù)據(jù)庫的定期檢查,以便剔除不可信的文件。除此之外,還可以在步驟S130之后進(jìn)一步包括步驟S150。在步驟S150中,當(dāng)確定可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定數(shù)字簽名的密鑰泄漏時,將該數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由該數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。其中,在確定可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書是否失效時,主要是根據(jù)證書頒發(fā)者發(fā)布的證書吊銷列表來判斷的。證書頒發(fā)者通常會定期發(fā)布證書吊銷列表,以便用戶及時了解被吊銷的證書。如果可信簽名數(shù)據(jù)庫中某一數(shù)字簽名的簽名證書被列在了該證書吊銷列表中,則說明該數(shù)字簽名的簽名證書已經(jīng)失效,因而該數(shù)字簽名也變?yōu)椴豢尚诺?,所以需要將其從可信簽名?shù)據(jù)庫中刪除,進(jìn)一步地,還可以該數(shù)字簽名添加到惡意簽名數(shù)據(jù)庫中。在確定數(shù)字簽名的密鑰是否泄漏時,主要是根據(jù)網(wǎng)上發(fā)布的密鑰泄漏消息來判斷的。正規(guī)的軟件廠商在發(fā)現(xiàn)密鑰泄漏時,為了防止第三方利用該密鑰來簽發(fā)惡意文件,一般會在網(wǎng)上發(fā)布密鑰泄漏的消息,以使用戶及時了解這一情況。如果可信簽名數(shù)據(jù)庫中某一數(shù)字簽名的密鑰被發(fā)布在網(wǎng)上,則說明該數(shù)字簽名的密鑰已經(jīng)泄漏,因而該數(shù)字簽名也變?yōu)椴豢尚诺模孕枰獙⑵鋸目尚藕灻麛?shù)據(jù)庫中刪除,進(jìn)一步地,還可以該數(shù)字簽名添加到惡意簽名數(shù)據(jù)庫中。同樣的,由于該數(shù)字簽名已經(jīng)被推定為不可信的,因而,該數(shù)字簽名所簽發(fā)的其他樣本文件也極有可能·是不可信的(即潛在的惡意文件)。對此,在步驟S150中也可以進(jìn)一步地在可信文件數(shù)據(jù)庫中逐一分析由該數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件,如果是惡意文件,則將其從可信文件數(shù)據(jù)庫中刪除,以維持可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性。或者,為了能在第一時間內(nèi)將這些潛在的惡意文件從可信文件數(shù)據(jù)庫中刪除,以及時避免這些潛在的惡意文件所造成的危害,也可以先在可信文件數(shù)據(jù)庫中將該數(shù)字簽名簽發(fā)的所有樣本文件全部刪除,然后再通過逐一分析的方式來判斷其是否是惡意文件,如果不是惡意文件,再將其重新添加到可信文件數(shù)據(jù)庫中。通過步驟S140和步驟S150的處理,就可以進(jìn)一步提高可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性,杜絕不可信文件的混入。本發(fā)明實(shí)施例中,為了識別可信的數(shù)字簽名和不可信的數(shù)字簽名,分別設(shè)置了可信簽名數(shù)據(jù)庫和惡意簽名數(shù)據(jù)庫,實(shí)際情況中,也可以將可信簽名數(shù)據(jù)庫和惡意簽名數(shù)據(jù)庫合并為一個數(shù)據(jù)庫,在該數(shù)據(jù)庫中為每個數(shù)字簽名單獨(dú)設(shè)置一個級別,例如,本應(yīng)存儲在可信簽名數(shù)據(jù)庫中的數(shù)字簽名的級別設(shè)置為可信,本應(yīng)存儲在惡意簽名數(shù)據(jù)庫中的數(shù)字簽名的級別設(shè)置為不可信,從而既可以實(shí)現(xiàn)對數(shù)字簽名的管理,又可以節(jié)省一個數(shù)據(jù)庫的開銷。圖2示出了本發(fā)明實(shí)施例提供的可信文件的收集系統(tǒng)的結(jié)構(gòu)圖。如圖2所示,該收集系統(tǒng)包括:獲取模塊21、確定模塊22以及收集模塊23。其中,獲取模塊21適于獲取樣本文件的數(shù)字簽名;確定模塊22適于確定數(shù)字簽名是否可信;收集模塊23適于當(dāng)確定數(shù)字簽名可信時,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。下面具體介紹一下各模塊的工作過程。其中,獲取模塊21在獲取樣本文件的數(shù)字簽名時,可以通過調(diào)用windows提供的API 接口 Win-Verify Trust 進(jìn)行獲取。確定模塊22在確定上述數(shù)字簽名是否可信時,主要是通過判斷上述數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫31中來實(shí)現(xiàn)的,如果判斷出上述數(shù)字簽名已經(jīng)存儲在了預(yù)設(shè)的可信簽名數(shù)據(jù)庫31中,則確定上述數(shù)字簽名可信。其中,該預(yù)設(shè)的可信簽名數(shù)據(jù)庫31用于存儲可信的數(shù)字簽名。在本發(fā)明實(shí)施例中,可以動態(tài)創(chuàng)建該可信簽名數(shù)據(jù)庫31。由于該可信簽名數(shù)據(jù)庫31是動態(tài)創(chuàng)建的,因此,在確定模塊22處理第一個樣本文件之前,該可信簽名數(shù)據(jù)庫中存儲的可信簽名為空,因此,確定模塊22處理的第一個樣本文件中的數(shù)字簽名必然沒有存儲在該可信簽名數(shù)據(jù)庫31中。相應(yīng)地,當(dāng)確定模塊22判斷出上述數(shù)字簽名沒有存儲在該可信簽名數(shù)據(jù)庫31中時,還需要進(jìn)一步執(zhí)行以下處理:根據(jù)預(yù)設(shè)的判斷規(guī)則確定上述數(shù)字簽名是否可信,且當(dāng)根據(jù)預(yù)設(shè)的判斷規(guī)則確定出上述數(shù)字簽名可信時,進(jìn)一步將上述數(shù)字簽名存儲到該可信簽名數(shù)據(jù)庫31中,從而實(shí)現(xiàn)該可信簽名數(shù)據(jù)庫31的動態(tài)創(chuàng)建和更新。其中,預(yù)設(shè)的判斷規(guī)則可參照方法實(shí)施 例中相應(yīng)部分的描述,此處不再贅述。通過上面的方式,確定模塊22就可以確定出數(shù)字簽名是否可信。在上面介紹的方式中,可信簽名數(shù)據(jù)庫31是動態(tài)創(chuàng)建的,因此,當(dāng)確定模塊22處理第一個樣本文件時,可信簽名數(shù)據(jù)庫31中還沒有存儲可信的數(shù)字簽名,因此,需要根據(jù)上述預(yù)設(shè)的判斷規(guī)則來判斷第一個樣本文件中的數(shù)字簽名是否可信,并在數(shù)字簽名可信時將該數(shù)字簽名添加到可信簽名數(shù)據(jù)庫中,后續(xù)的樣本文件處理過程依此類推。通過這種方式,無需將創(chuàng)建可信簽名數(shù)據(jù)庫的操作作為一個單獨(dú)的操作刻意執(zhí)行,只需在每個樣本文件的判斷過程中隨時動態(tài)地添加可信簽名從而逐步完善該可信簽名數(shù)據(jù)庫即可,省去了單獨(dú)創(chuàng)建該可信簽名數(shù)據(jù)庫的操作過程。但是,在實(shí)際情況中,也可以根據(jù)需要,預(yù)先創(chuàng)建可信簽名數(shù)據(jù)庫,即:事先通過一定量的樣本文件篩選出可信的數(shù)字簽名,將其存儲在可信簽名數(shù)據(jù)庫中。具體篩選時,也可以通過上面介紹的四種規(guī)則進(jìn)行篩選。這樣,在確定模塊22處理第一個樣本文件時,就可以直接根據(jù)可信簽名數(shù)據(jù)庫來得到判斷結(jié)果。這樣的做法雖然需要單獨(dú)創(chuàng)建可信簽名數(shù)據(jù)庫,但是確定模塊22可以直接使用該數(shù)據(jù)庫,無需再根據(jù)預(yù)設(shè)的規(guī)則對每個樣本文件進(jìn)行判斷,因而也具備一定的優(yōu)勢?;蛘?,也可以將上述兩種方式結(jié)合起來,預(yù)先篩選出一定數(shù)量的可信的數(shù)字簽名,并根據(jù)這些數(shù)字簽名完成可信簽名數(shù)據(jù)庫的初步創(chuàng)建,然后,如果確定模塊22判斷出數(shù)字簽名屬于該可信簽名數(shù)據(jù)庫,即可直接確定該數(shù)字簽名可信;如果確定模塊22判斷出數(shù)字簽名不屬于該可信簽名數(shù)據(jù)庫,則繼續(xù)通過上面提到的預(yù)設(shè)的判斷規(guī)則進(jìn)行判斷,并在判斷出該數(shù)字簽名可信時,進(jìn)一步將該數(shù)字簽名添加到可信簽名數(shù)據(jù)庫中。收集模塊23在確定上述數(shù)字簽名可信時,將相應(yīng)的樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫32中。收集模塊23收集可信文件的依據(jù)在于,通常情況下,如果簽發(fā)樣本文件的數(shù)字簽名是可信的,則該樣本文件也是可信的。通過上述模塊的相互配合,就實(shí)現(xiàn)了可信文件的收集。在上述過程中,通過數(shù)字簽名來識別可信文件,由于一個數(shù)字簽名會對應(yīng)大量的文件,所以通過數(shù)字簽名可以輕松地收集到更多數(shù)量的可信文件,因此大大提高了收集效率。另外,由于數(shù)字簽名難以模仿,本身就具有防偽功能,而且,只要正規(guī)廠商的數(shù)字簽名是正確的,其簽發(fā)的文件通常也都是正確的,所以,通過數(shù)字簽名來收集可信文件還大大提高了收集的準(zhǔn)確性,從而保證了可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性。進(jìn)一步地,為了能夠更好地保證可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性,避免錯誤地收集到不可信的文件,該收集系統(tǒng)還可以進(jìn)一步包括:掃描模塊24,適于調(diào)用殺毒引擎定期掃描可信文件數(shù)據(jù)庫中的文件;分析模塊25,適于在掃描模塊24確定可信文件數(shù)據(jù)庫中存在可疑文件時,分析可疑文件是否為惡意文件;網(wǎng)絡(luò)后臺模塊26,適于在可疑文件為惡意文件時,將惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。關(guān)于掃描模塊24、分析模塊25和網(wǎng)絡(luò)后臺模塊26的具體工作過程,可參照方法實(shí)施例中步驟S140的描述,此處不再贅述。進(jìn)一步地,網(wǎng)絡(luò)后臺模塊26進(jìn)一步適于:當(dāng)確定可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定數(shù)字簽名的密鑰泄漏時,將數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。該過程可參照方法實(shí)施例中步驟S150的描述,此處不再贅述。通過上述處理,就可以進(jìn)一步提高可信文件數(shù)據(jù)庫的收集文件的準(zhǔn)確性,杜絕不可信文件的混入。本發(fā)明實(shí)施例中進(jìn)一步包括:掃描模塊,適于調(diào)用殺`毒引擎定期掃描所述可信文件數(shù)據(jù)庫中的文件;分析模塊,適于在所述掃描模塊確定所述可信文件數(shù)據(jù)庫中存在可疑文件時,分析所述可疑文件是否為惡意文件;網(wǎng)絡(luò)后臺模塊,適于在所述可疑文件為惡意文件時,將所述惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由所述惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。本發(fā)明實(shí)施例中,所述網(wǎng)絡(luò)后臺模塊進(jìn)一步適于:當(dāng)確定所述可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定所述數(shù)字簽名的密鑰泄漏時,將所述數(shù)字簽名從所述可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由所述數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。根據(jù)本發(fā)明的可信文件的收集方法及系統(tǒng),通過獲取樣本文件的數(shù)字簽名并判斷數(shù)字簽名是否可信的方式來收集可信文件。由此解決了現(xiàn)有技術(shù)中在前期通過訓(xùn)練產(chǎn)生可信特性碼時需要用到大量的樣本文件,而且訓(xùn)練過程較為耗時,導(dǎo)致收集不及時,比較滯后的問題,取得了能夠直接根據(jù)數(shù)字簽名收集可信文件,從而提高了收集效率的有益效果。在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐。在一些實(shí)例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實(shí)施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實(shí)施例的所有特征。因此,遵循具體實(shí)施方式
的權(quán)利要求書由此明確地并入該具體實(shí)施方式
,其中每個權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例。
本領(lǐng)域那些技術(shù)人員可以理解,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個或多個設(shè)備中??梢园褜?shí)施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如,在下面的權(quán)利要求書中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實(shí)施例可以以硬件實(shí)現(xiàn),或者以在一個或者多個處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的瀏覽器客戶端中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項(xiàng)來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序??蓪⑦@些單詞解釋為名稱。
權(quán)利要求
1.一種可信文件的收集方法,包括: 獲取樣本文件的數(shù)字簽名; 確定所述數(shù)字簽名是否可信; 當(dāng)確定所述數(shù)字簽名可信時,將所述樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。
2.如權(quán)利要求1所述的方法,所述確定所述數(shù)字簽名是否可信具體包括: 判斷所述數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫中,如果判斷結(jié)果為是,則確定所述數(shù)字簽名可信。
3.如權(quán)利要求2所述的方法,其中,如果判斷結(jié)果為否,則進(jìn)一步包括步驟: 根據(jù)預(yù)設(shè)的判斷規(guī)則確定所述數(shù)字簽名是否可信,且當(dāng)根據(jù)所述判斷規(guī)則確定所述數(shù)字簽名可信時,進(jìn)一步將所述數(shù)字簽名存儲到所述預(yù)設(shè)的可信簽名數(shù)據(jù)庫中。
4.如權(quán)利要求3所述的方法,所述預(yù)設(shè)的判斷規(guī)則包括以下規(guī)則中的一個或多個: 根據(jù)所述數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱判斷所述數(shù)字簽名是否屬于正規(guī)公司的簽名; 根據(jù)預(yù)設(shè)的惡意簽名數(shù)據(jù)庫判斷所述數(shù)字簽名簽發(fā)的歷史樣本中是否存在惡意樣本,其中,所述預(yù)設(shè)的惡意簽名數(shù)據(jù)庫用于存儲簽發(fā)過惡意樣本的數(shù)字簽名; 所述數(shù)字簽名是否在有效期內(nèi);以及 所述數(shù)字簽名與所述可信簽名數(shù)據(jù)庫中已存儲的數(shù)字簽名之間的相似度是否大于預(yù)設(shè)閾值。
5.如權(quán)利要求2-4中任一所述的方法,所述將所述樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中之后進(jìn)一步包括步驟: 調(diào)用殺毒引擎定期掃描所述可信文件數(shù)據(jù)庫中的文件; 通過掃描確定所述可信文件數(shù)據(jù)庫中存在可疑文件時,分析所述可疑文件是否為惡意文件; 如果所述可疑文件為惡意文件,將所述惡意文件的數(shù)字簽名從可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由所述惡意文件的數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。
6.如權(quán)利要求2-5中任一所述的方法,所述將所述樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中之后進(jìn)一步包括步驟: 當(dāng)確定所述可信簽名數(shù)據(jù)庫中的數(shù)字簽名的簽名證書失效,或者,確定所述數(shù)字簽名的密鑰泄漏時,將所述數(shù)字簽名從所述可信簽名數(shù)據(jù)庫中刪除,并進(jìn)一步在可信文件數(shù)據(jù)庫中分析由所述數(shù)字簽名簽發(fā)的所有樣本文件是否為惡意文件。
7.一種可信文件的收集系統(tǒng),包括: 獲取模塊,適于獲取樣本文件的數(shù)字簽名; 確定模塊,適于確定所述數(shù)字簽名是否可信; 收集模塊,適于當(dāng)確定所述數(shù)字簽名可信時,將所述樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。
8.如權(quán)利要求7所述的系統(tǒng),所述確定模塊適于判斷所述數(shù)字簽名是否已存儲在預(yù)設(shè)的可信簽名數(shù)據(jù)庫中,如果判斷結(jié)果為是,則確定所述數(shù)字簽名可信。
9.如權(quán)利要求8所述的系統(tǒng),其中,如果判斷結(jié)果為否,則所述確定模塊進(jìn)一步適于根據(jù)預(yù)設(shè)的判斷規(guī)則確定所述數(shù)字簽名是否可信,且當(dāng)根據(jù)所述判斷規(guī)則確定所述數(shù)字簽名可信時,進(jìn)一步將所述數(shù)字簽名存儲到所述預(yù)設(shè)的可信簽名數(shù)據(jù)庫中。
10.如權(quán)利要求9所述的系統(tǒng),所述預(yù)設(shè)的判斷規(guī)則包括以下規(guī)則中的一個或多個:根據(jù)所述數(shù)字簽名中包含的公司名稱或頒發(fā)者名稱判斷所述數(shù)字簽名是否屬于正規(guī)公司的簽名; 根據(jù)預(yù)設(shè)的惡意簽名數(shù)據(jù)庫判斷所述數(shù)字簽名簽發(fā)的歷史樣本中是否存在惡意樣本,其中,所述預(yù)設(shè)的惡意簽名數(shù)據(jù)庫用于存儲簽發(fā)過惡意樣本的數(shù)字簽名; 所述數(shù)字簽名是否在有效期內(nèi);以及 所述數(shù)字簽名與所述可信簽名數(shù)據(jù)庫中已存儲的數(shù)字簽名之間的相似度是否大于預(yù)設(shè)閾值 。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,其公開了一種可信文件的收集方法及系統(tǒng)。該可信文件的收集方法包括獲取樣本文件的數(shù)字簽名;確定數(shù)字簽名是否可信;當(dāng)確定數(shù)字簽名可信時,將樣本文件收集到預(yù)設(shè)的可信文件數(shù)據(jù)庫中。根據(jù)本發(fā)明的可信文件的收集方法及系統(tǒng),通過獲取樣本文件的數(shù)字簽名并判斷數(shù)字簽名是否可信的方式來收集可信文件。由此解決了現(xiàn)有技術(shù)中在前期通過訓(xùn)練產(chǎn)生可信特性碼時需要用到大量的樣本文件,而且訓(xùn)練過程較為耗時,導(dǎo)致收集不及時,比較滯后的問題。
文檔編號G06F21/64GK103235918SQ201310135900
公開日2013年8月7日 申請日期2013年4月18日 優(yōu)先權(quán)日2013年4月18日
發(fā)明者盧加磊, 張彥功 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司