技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種掃描文件的方法、裝置和系統(tǒng)。

背景技術(shù)

惡意程序是一個(gè)概括性的術(shù)語，指任何故意創(chuàng)建用來執(zhí)行未經(jīng)授權(quán)并通常是有害行為的軟件程序。計(jì)算機(jī)病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導(dǎo)區(qū)病毒、腳本病毒(batch，windows?shell，java等)、木馬、犯罪軟件、間諜軟件和廣告軟件等等，都是一些可以稱之為惡意程序的例子。

為了防止惡意程序?qū)τ?jì)算機(jī)的攻擊，一般都需要在計(jì)算機(jī)上安裝殺毒軟件對(duì)系統(tǒng)中的文件進(jìn)行掃描，以鑒別出惡意程序并進(jìn)行查殺。

為了快速地識(shí)別和查殺惡意程序，同時(shí)為了減輕客戶端的資源消耗，目前的安全防護(hù)軟件越來越多地使用云安全技術(shù)。云安全技術(shù)即把客戶端的文件傳給服務(wù)器端，在服務(wù)器端中存儲(chǔ)了大量樣本文件，服務(wù)器端通過將客戶端上傳的文件與其存儲(chǔ)的樣本文件進(jìn)行比對(duì)，從而對(duì)客戶端文件的安全性做出判定，然后客戶端安全軟件根據(jù)服務(wù)器端傳回的信息對(duì)惡意程序進(jìn)行報(bào)告和處理。

由于惡意程序的種類和數(shù)量不斷地增加，服務(wù)器端中的樣本文件也要不斷地更新，因此客戶端每天需要將數(shù)以萬計(jì)的樣本文件上傳到服務(wù)器端，云安全中心利用定期升級(jí)的第三方殺毒軟件(即除云安全中心之外的其他殺毒軟件)每天對(duì)全部的樣本文件進(jìn)行掃描，以鑒別出其中的可疑樣本文件。但是，第三方殺毒軟件的掃描能力是有限的，隨著樣本文件數(shù)量的增多，這種方式顯然會(huì)降低文件掃描效率。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的掃描文件的方法、裝置和系統(tǒng)。

依據(jù)本發(fā)明的一個(gè)方面，提供了一種掃描文件的方法，包括：

針對(duì)待掃描樣本文件，分別計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率；

對(duì)所述待掃描樣本文件按照其被鑒別為可疑的概率進(jìn)行排序；

獲取掃描文件的個(gè)數(shù)K，從排序后的待掃描樣本文件中抽取可疑概率高的K個(gè)待掃描樣本文件，K為正整數(shù)；

對(duì)所述K個(gè)待掃描樣本文件進(jìn)行掃描，鑒別出其中的可疑樣本文件。

本發(fā)明實(shí)施例中，在分別計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率之前，還包括：

檢測(cè)全部樣本文件的等級(jí)，所述樣本文件的等級(jí)包括安全等級(jí)、未知等級(jí)、可疑/高度可疑等級(jí)、以及惡意等級(jí)；

獲取未知等級(jí)的樣本文件，將獲取到的未知等級(jí)的樣本文件作為待掃描樣本文件。

本發(fā)明實(shí)施例中，檢測(cè)全部樣本文件的等級(jí)之前，還包括：

服務(wù)器接收客戶端上傳的全部樣本文件；

所述檢測(cè)全部樣本文件的等級(jí)為：服務(wù)器檢測(cè)全部樣本文件的等級(jí)；

所述計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率為：服務(wù)器計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率。

本發(fā)明實(shí)施例中，排序?yàn)榘凑沾龗呙铇颖疚募昏b別為可疑的概率從大到小進(jìn)行排序；

所述K個(gè)待掃描樣本文件為排序后的待掃描樣本文件中的前K個(gè)待掃描樣本文件。

本發(fā)明實(shí)施例中，分別計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率，包括：

針對(duì)每個(gè)待掃描樣本文件，獲取該待掃描樣本文件對(duì)應(yīng)的本次掃描的時(shí)間點(diǎn)n₂以及上次掃描的時(shí)間點(diǎn)n₁；

計(jì)算從時(shí)間點(diǎn)n₁開始到時(shí)間點(diǎn)n₂為止，所述待掃描樣本文件在本次掃描中被鑒別為可疑的概率Pr(N≥n₁，N≤n₂|α，β)：

Pr(N≥n₁，N≤n₂|α，β)＝Pr(N≥n₁|α，β)-Pr(N≥n₂+1|α，β)；

其中，參數(shù)α和β為通過對(duì)待掃描樣本文件數(shù)據(jù)進(jìn)行最大似然估計(jì)得到的參數(shù)。

本發(fā)明實(shí)施例中，在分別計(jì)算每個(gè)待掃描樣本文件被鑒別為可疑的概率之前，還包括：

為每個(gè)待掃描樣本文件建立一個(gè)信息庫，所述信息庫中包括該待掃描樣本文件對(duì)應(yīng)的上次掃描的時(shí)間點(diǎn)n₁。

本發(fā)明實(shí)施例中，計(jì)算從時(shí)間點(diǎn)n₁開始到時(shí)間點(diǎn)n₂為止，所述待掃描樣本文件在本次掃描中被鑒別為可疑的概率Pr(N≥n₁，N≤n₂|α，β)，包括：