[发明专利]检测并阻止网络上早期传送的恶意文件

权利要求书

1.一种方法，包括：

由设备接收与网络设备的网络相关联的恶意文件；

由所述设备标识与所述恶意文件相关联的文件类型和文件特性；

由所述设备基于与所述恶意文件相关联的所述文件类型和所述文件特性来确定应用于所述恶意文件的一个或多个规则；

由所述设备将所述一个或多个规则应用于所述恶意文件，以生成针对所述恶意文件的部分文件签名；以及

由所述设备向所述网络的所述网络设备中的一个或多个网络设备提供针对所述恶意文件的所述部分文件签名，

其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备阻止所述恶意文件。

2.根据权利要求1所述的方法，其中将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名包括：

对所述恶意文件的第一数量的字节进行哈希，以生成所述部分文件签名。

3.根据权利要求1所述的方法，其中将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名包括：

对所述恶意文件的第一数量的字节和一个或多个部分的字节进行哈希，以生成所述部分文件签名。

4.根据权利要求3所述的方法，其中所述一个或多个部分的字节位于所述恶意文件的大约中间处。

5.根据权利要求3所述的方法，其中所述一个或多个部分的字节位于远离所述恶意文件的末端处。

6.根据权利要求1所述的方法，其中当所述恶意文件的所述文件类型为二进制文件时，将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的部分文件签名包括：

标识所述恶意文件是否是常规可执行文件或者安装文件；

当所述恶意文件是常规可执行文件时，对所述恶意文件的第一数量的字节进行哈希，以生成所述部分文件签名；以及

当所述恶意文件是安装文件时：

解析所述恶意文件以标识所述恶意文件的经压缩的数据，以及

对所述恶意文件的所述第一数量的字节和所述经压缩的数据进行哈希，以生成所述部分文件签名。

7.根据权利要求1所述的方法，其中当所述恶意文件的所述文件类型为存档文件时，将所述一个或多个规则应用于所述恶意文件，以生成针对所述恶意文件的部分文件签名包括：

对所述恶意文件的第一数量的字节进行哈希，以生成所述部分文件签名。

8.一种设备，包括：

一个或多个存储器；以及

一个或多个处理器，用以：

接收由与网络设备的网络相关联的遭破解的终端设备生成的恶意文件；

标识与所述恶意文件相关联的文件类型和文件特性；

基于与所述恶意文件相关联的所述文件类型和所述文件特性来确定应用于所述恶意文件的一个或多个规则；

将所述一个或多个规则应用于所述恶意文件，以生成针对所述恶意文件的部分文件签名；以及

向所述网络的所述网络设备中的一个或多个网络设备提供针对所述恶意文件的所述部分文件签名，

其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备阻止所述恶意文件。

9.根据权利要求8所述的设备，其中当所述恶意文件的所述文件类型是具有非结构化报头的文件时，所述一个或多个处理器将所述一个或多个规则应用于所述恶意文件以生成针对所述恶意文件的所述部分文件签名，以：

解析所述恶意文件以标识所述恶意文件的恶意字节的代码；以及

对所述恶意文件的第一数量的字节和所述恶意字节的代码进行哈希，以生成所述部分文件签名。

10.根据权利要求8所述的设备，其中所述部分文件签名使所述网络设备中的所述一个或多个网络设备传输除了所述恶意文件之外的文件。