[发明专利]发现疑似恶意信息、追踪恶意文件的方法及装置

权利要求书

1.一种发现疑似恶意信息的方法，其特征在于，包括：

统计文件下载链接、文件下载链接网站域名、文件下载链接所在的父页面以及父页面的网站域名之间的对应关系；

获取各个文件下载链接对应的文件的特征信息；

根据所述对应关系以及所述特征信息进行分析，判断是否存在特定的异常情况，如果是，且未被标识为恶意信息，则发出用以表示存在疑似恶意信息的报警消息；其中，所述疑似恶意信息包括疑似新的恶意文件，和/或疑似新的恶意文件的下载链接，和/或疑似新的恶意文件下载链接的父页面。

2.根据权利要求1所述的方法，其特征在于，所述根据所述对应关系以及所述特征信息进行分析，判断是否存在特定的异常情况包括：

如果同一文件下载链接网站域名下存在多个不同的文件下载链接，并且不同的文件下载链接对应的是同一个文件，则存在异常情况。

3.根据权利要求2所述的方法，其特征在于，通过以下方式判断不同的文件下载链接对应的文件是否为同一个文件：

如果不同的文件下载链接对应的文件具有相同的文件名、MD5值，并且文件大小相等，则不同的文件下载链接对应的是同一个文件；

或者，

如果不同的文件下载链接对应的文件具有不同的文件名及MD5值，但文件大小相等，则取各个文件中相同位置处的数据进行比较，如果相同，则不同的文件下载链接对应的是同一个文件；

或者，

如果不同的文件下载链接对应的文件具有不同的文件名、MD5值及文件大小，则取各个文件中相同位置处的数据进行比较，如果相同，则不同的文件下载链接对应的是同一个文件。

4.一种追踪恶意文件的方法，其特征在于，包括：

根据按照权利要求1至3任一项所述的发现疑似恶意信息的方法发出的疑似恶意信息的报警消息，对恶意文件进行归类，形成恶意文件家族；

分析出恶意文件家族中的各文件对应的文件下载链接以及文件下载链接的网站域名包含的第一特征信息；

分析出恶意文件家族中的各文件对应的文件下载链接父页面以及父页面的网站域名包含的第二特征信息；

根据所述第一特征信息以及第二特征信息，分析出恶意文件家族中的恶意文件在传播方式上的发展变化趋势信息；

根据所述在传播方式上的发展变化趋势信息对恶意家族中的恶意文件进行追踪。

5.根据权利要求4所述的方法，其特征在于，所述第一特征信息包括所述文件下载链接的网站域名的持有人以及指向的IP地址；所述第二特征信息包括所述文件下载链接的父页面的网站域名的持有人、指向的IP地址以及是否为所述父页面自身传播，或借助所述父页面传播。

6.根据权利要求5所述的方法，其特征在于，所述分析出恶意文件家族中的恶意文件在传播方式上的的发展变化趋势信息包括：

分析出恶意文件家族中的恶意文件是否固定在特定域名持有人的站点进行传播；

所述根据所述在传播方式上的发展变化趋势信息对恶意家族中的恶意文件进行追踪包括：

在域名持有人为所述特定持有人的站点，对所述恶意文件家族中的恶意文件进行追踪。

7.一种发现疑似恶意信息的装置，其特征在于，包括：

统计单元，用于统计文件下载链接、文件下载链接网站域名、文件下载链接所在的父页面以及父页面的网站域名之间的对应关系；

特征信息获取单元，用于获取各个文件下载链接对应的文件的特征信息；

判断单元，用于根据所述对应关系以及所述特征信息进行分析，判断是否存在特定的异常情况，如果是，且未被标识为恶意信息，则发出用以表示存在疑似恶意信息的报警消息；其中，所述疑似恶意信息包括疑似新的恶意文件，和/或疑似新的恶意文件的下载链接，和/或疑似新的恶意文件下载链接的父页面。

8.根据权利要求7所述的装置，其特征在于，所述判断单元具体用于：如果同一文件下载链接网站域名下存在多个不同的文件下载链接，并且不同的文件下载链接对应的是同一个文件，则存在异常情况。