[发明专利]恶意文件的判断方法及设备

权利要求书

1.一种恶意文件的判断方法，包括：

提取接收的文件的来源信息数据；

对所述来源信息数据与特征库的信息数据进行匹配，其中，所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；

根据匹配结果判断所述文件是否为恶意文件。

2.根据权利要求1所述的方法，其中，所述提取文件的来源信息数据的提取方式如下：

根据所述文件的格式提取所述文件的属性信息；

计算所述属性信息的哈希值；

将所述哈希值整理为日志，存储为来源信息数据。

3.根据权利要求2所述的方法，其中，根据所述文件的格式获取所述文件的属性信息，包括：

所述文件为超文本标记语言html格式时，提取所述文件的统一资源定位符url和/或文本；

所述文件为dex格式时，提取所述文件的各个函数代码段；

所述文件为可移植执行体pe格式时，提取所述文件的各个函数代码段。

4.根据权利要求1至3任一项所述的方法，其中，根据匹配结果判断所述文件是否为恶意文件，包括：

获取所述来源信息数据与所述黑名单的第一匹配次数、所述来源信息数据与所述白名单的第二匹配次数；

根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件。

5.根据权利要求4所述的方法，其中，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，包括：

比较所述第一匹配次数是否不小于所述第二匹配次数；

若是，判断所述文件为恶意文件；

若否，判断所述文件为非恶意文件。

6.根据权利要求4所述的方法，其中，根据所述第一匹配次数和所述第二匹配次数的数值，判断所述文件是否为恶意文件，还包括：

比较所述第一匹配次数与所述第二匹配次数；

若所述第一匹配次数大于等于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否不小于第一预定阈值，若是，判断所述文件为恶意文件；若否，判断所述文件为非恶意文件；

若所述第一匹配次数小于所述第二匹配次数，比较两者的差值的绝对值与第一匹配次数的比值是否小于等于第二预定阈值，若是，判断所述文件为恶意文件，若否，判断所述文件为非恶意文件。

7.根据权利要求6所述的方法，其中，所述第一预定阈值与所述第二预定阈值相同或者不同。

8.根据权利要求1至7任一项所述的方法，其中，根据匹配结果判断所述文件是否为恶意文件之后，还包括：

若所述文件为恶意文件，添加所述文件的来源信息数据至所述黑名单，对所述黑名单进行更新；

若所述文件为非恶意文件，添加所述文件的来源信息数据至所述白名单，对所述白名单进行更新。

9.根据权利要求8所述的方法，其中，还包括：

将所述文件的来源信息数据转换为url格式添加至所述黑名单或所述白名单。

10.一种恶意文件的判断设备，包括：

提取器，配置为提取接收的文件的来源信息数据；

匹配器，配置为对所述来源信息数据与特征库的信息数据进行匹配，其中，所述特征库包括存储恶意文件来源信息数据的黑名单以及存储非恶意文件来源信息数据的白名单；

判断器，配置为根据匹配结果判断所述文件是否为恶意文件。