技術領域

本發明涉及一種網絡安全領域，特別是涉及一種未知文件樣本安全性鑒定的方法及裝置。

背景技術

惡意程序(通常稱為病毒)指任何故意創建用來執行未經授權并通常是有害行為的程序。惡意程序包括：計算機病毒、后門程序、鍵盤記錄器、密碼盜取者、Word和Excel宏病毒、引導區病毒、腳本病毒、木馬、犯罪軟件、間諜軟件和廣告軟件等。

現有云查殺技術大致如下：客戶端不用建立病毒庫，而主要負責掃描和發現本地的未知文件樣本(即安全性不能確定的文件樣本)；客戶端提取掃描出的未知文件樣本的特征，并上傳至服務器端，通過查詢服務器端的病毒庫，來確定所述未知文件樣本的安全性。

現有云查殺技術，由于服務器端的病毒庫有限，很有可能出現如下問題：服務器端根據客戶端上報的新文件特征通過查詢病毒庫也無法確定文件的安全性。這些無法確定安全的可疑文件中，可能是未知的木馬和病毒，對客戶端會造成極大的安全威脅。

發明內容

本發明的主要目的在于，提供一種未知文件樣本安全性鑒定的方法及裝置，以使鑒定結果可靠性高。

本發明第一個方面提供一種未知文件樣本安全性鑒定的方法，包括：

接收客戶端上報的攜帶有未知文件樣本特征的上報信息，其中，所述特征為所述客戶端從所述未知文件樣本中提取出的；

根據所述特征，查詢所述未知文件樣本是否在預設白名單中；

若不在所述預設白名單中，則根據所述特征，采用預設的鑒定策略對所述未知文件樣本進行安全性鑒定，得出安全性鑒定結果。

可選的，前述的未知文件樣本安全性鑒定的方法，其中，所述特征包括：第一子特征和第二子特征；相應的，

所述根據所述特征，查詢所述未知文件樣本是否在預設白名單中，具體為：

根據所述第一子特征，查詢所述未知文件樣本是否在預設白名單中；

所述根據所述特征，采用預設的鑒定策略對所述未知文件樣本進行鑒定，得出安全性鑒定結果，具體為：

根據所述第二子特征，采用預設的鑒定策略對所述未知文件樣本進行鑒定，得出安全性鑒定結果。

可選的，前述的未知文件樣本安全性鑒定的方法，其中，所述第一子特征包括：文件的消息摘要算法第5版MD5信息及文件的安全哈希算法SHA1信息。

可選的，前述的未知文件樣本安全性鑒定的方法，其中，所述第二子特征包括：文件本身的內容信息、文件的環境功能信息、文件的屬性信息、文件的行為信息、路徑、文件特征FileDNA及圖標特征IconDNA。

可選的，前述的未知文件樣本安全性鑒定的方法，其中，所述安全性鑒定結果為鑒定分數；相應的，

所述根據所述特征，采用預設的鑒定策略對所述未知文件樣本進行安全性鑒定，得出安全性鑒定結果之后，還包括：

判斷所述鑒定分數是否大于或等于預設分數；

若大于或等于，則所述未知文件樣本為安全文件；

否則，所述未知文件為不安全文件。

可選的，前述的未知文件樣本安全性鑒定的方法，還包括：

接收客戶端發送的更新數據包，并預加載所述更新數據包；

采用預加載所述更新數據包后的所述預設的鑒定策略，對已知文件樣本進行鑒定，得出安全性鑒定結果；

若得到的所述安全性鑒定結果與所述已知文件樣本的已知安全性結果相同，則加載所述更新數據包，以更新所述預設的鑒定策略。

本發明第二個方面提供一種未知文件樣本安全性鑒定裝置，該裝置設置在服務器側，其包括：

接收模塊，用于接收客戶端上報的攜帶有未知文件樣本特征的上報信息，其中，所述特征為所述客戶端從所述未知文件樣本中提取出的；

查詢模塊，用于根據所述特征，查詢所述未知文件樣本是否在預設白名單中；

鑒定模塊，用于當未知文件樣本不在預設白名單中時，根據所述特征，采用預設的鑒定策略對所述未知文件樣本進行安全性鑒定，得出安全性鑒定結果。

可選的，前述的未知文件樣本安全性鑒定裝置，其中，所述特征包括：第一子特征和第二子特征；相應的，

所述查詢模塊，具體用于根據所述第一子特征，查詢所述未知文件樣本是否在預設白名單中；

所述鑒定模塊，具體用于根據所述第二子特征，采用預設的鑒定策略對所述未知文件樣本進行鑒定，得出安全性鑒定結果。

可選的，前述的未知文件樣本安全性鑒定裝置，其中，所述安全性鑒定結果為鑒定分數；相應的，所述未知文件樣本安全性鑒定裝置還包括：