[发明专利]文件样本的扫描方法和系统

说明书

技术领域

本发明涉及计算机网络安全领域，具体涉及一种文件样本的扫描方法和系统。

背景技术

在网络安全领域中，通常需要进行病毒文件的查杀。病毒文件是一个概括性的术语，指任何故意创建用来执行未经授权并通常是有害行为的应用文件。例如，包括：计算机病毒、后门程序、键盘记录器、密码盗取者、Word和Excel宏病毒、引导区病毒、脚本病毒、木马等。

现有技术中，病毒文件查杀所采用的方法主要依赖于特征库模式。特征库是由厂商收集到的病毒文件样本的特征码组成，而特征码则是分析工程师从病毒文件中找到和正当文件的不同之处，截取一段类似于“关键词”的文件代码，该文件代码为特征码。在查杀过程中，引擎会读取文件，与特征库中的所有特征码进行匹配，如果发现文件代码被命中，就可以判定该文件为病毒文件。

但是，随着病毒文件数量的增长，当前病毒文件数量呈几何级增长，基于这种爆发式的增速，特征库的生成与更新往往滞后，很多时候终端单独的查杀引擎无法查杀出未知的病毒文件。

因此，现有技术中产生了主动防御方法。在主动防御的方法中，基于文件行为自主分析判断，进行实时查杀，不以特征码作为判断病毒文件的依据，而是从文件的原始定义出发，直接将文件行为作为判断病毒文件的依据，其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截病毒文件的行为，从而在一定程度上达到保护终端的目的。

但是，上述本地主动防御方法也存在需要解决的问题。首先，本地主动防御容易对病毒文件造成免杀，例如，通过对病毒文件加壳即可以避开本地主动防御的特征库防杀模式；通过针对病毒行为，减少或替换病毒文件执行的相关行为，从而避免触发行为阈值防杀模式的启动上限。另外，本地主动防御还需要依赖于本地数据库的及时更新，如果数据库更新不及时，则造成病毒文件未被发现。

基于上述问题，现有技术中还具有基于云安全的主动防御方法，不依赖于本地数据库，并且将主动防御的分析比对操作放在服务器侧完成。

但是，对于云安全的主动防御方法，通常涉及的待查杀的文件样本达到上亿级。因为每个对文件样本进行查杀的鉴定器都会由专门的分析人员设定特征库，查杀过的文件样本可能会发生漏报或者误报的情况，特征库在不断升级，因此对文件样本进行重复扫描可以弥补之前的漏报，修复之前的误报。在每次进行扫描时，如果将所有文件样本都扫描一遍，则会耗费服务器侧的大量资源。

发明内容

鉴于上述问题，本发明提出了文件样本的扫描方法和系统，以克服进行文件扫描时，耗费资源过多的问题。

根据本发明的一个方面，提供了一种文件样本的扫描方法，所述方法包括：

对于文件样本中的灰文件样本，根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本；

根据各个鉴定器的更新记录和/或鉴定器的扫描记录选取用于扫描灰文件样本的鉴定器；

使用所选取的鉴定器扫描待扫描的灰文件样本，并存储扫描结果，以在接收到查询文件样本是否安全的请求时，返回扫描结果；

所述灰文件样本为安全性未知的文件样本。

其中，所述根据预设的策略从存储的灰文件样本中选取待扫描的灰文件样本具体包括：

根据灰文件样本的属性得出灰文件样本的漏报率，根据漏报率从存储的灰文件样本中选取待扫描的灰文件样本。

其中，所述方法还包括：

对于文件样本中的危险文件样本，确定报告危险文件样本为病毒文件的鉴定器，所述危险文件样本为被鉴定器报告为病毒文件的文件样本；

使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本，如果扫描结果为该危险文件样本不再为病毒文件，则确定该危险文件样本为被误报为病毒文件的文件样本，对该危险文件样本进行去误报操作。

其中，所述确定报告危险文件样本为病毒文件的鉴定器后还包括：

根据确定的鉴定器得出危险文件样本的误报率，建立鉴定器数量和误报率的对应关系；

根据误报率从存储的危险文件样本中选取待扫描的危险文件样本；

所述使用报告危险文件样本为病毒文件的鉴定器重新扫描危险文件样本具体包括：

对于每个待扫描的危险文件样本，使用报告该危险文件样本为病毒文件的鉴定器重新扫描该危险文件样本。

其中，所述方法还包括：

在接收到查询文件样本是否安全的请求时，在日志中记录接收到的请求；