一種系統(tǒng)文件的識別方法及系統(tǒng)的制作方法【專利摘要】本發(fā)明的實(shí)施例公開了一種系統(tǒng)文件的識別方法及系統(tǒng)��,涉及計(jì)算機(jī)安全【
技術(shù)領(lǐng)域:
】��。為提高對系統(tǒng)文件的識別的準(zhǔn)確性而發(fā)明���。系統(tǒng)文件的識別方法包括:提取待識別的目標(biāo)文件的文件特征���;利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別���;利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別;根據(jù)所述精確匹配識別和模糊匹配識別�,輸出識別結(jié)果。本發(fā)明適用于對系統(tǒng)文件的識別的場合���?�!緦@f明】一種系統(tǒng)文件的識別方法及系統(tǒng)【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)安全【
技術(shù)領(lǐng)域:
】���,尤其涉及一種系統(tǒng)文件的識別方法及系統(tǒng)?!?br>背景技術(shù):
】[0002]安全軟件(如毒霸)常常需要監(jiān)控和掃描系統(tǒng)中的所有可執(zhí)行(PortableExecute,PE)文件并判定其是否含有惡意代碼,掃描這些PE文件需要消耗一定的時間�。[0003]誤報(bào)是安全軟件需要解決的重大問題��,誤報(bào)系統(tǒng)文件是最重大的誤報(bào)�����,一旦出現(xiàn)可能造成最為嚴(yán)重的后果�,尤其是隨著微軟不斷通過WindowsUpdate升級其系統(tǒng),會不斷產(chǎn)生各種各樣新的系統(tǒng)文件以及原有系統(tǒng)文件的新版本,為保證不出現(xiàn)誤報(bào)問題����,需要有方法將系統(tǒng)文件進(jìn)行識別。[0004]但是����,傳統(tǒng)的方法不對系統(tǒng)文件進(jìn)行區(qū)分,也就是說�����,對所有文件均掃描特征碼或進(jìn)行云查殺��,這種方式導(dǎo)致識別效率極其低����,且常常需要消耗大量的時間。[0005]因此���,亟需設(shè)計(jì)一種系統(tǒng)文件的識別方法及系統(tǒng)�����,以提高系統(tǒng)文件的識別效率并減少誤報(bào)�。【
發(fā)明內(nèi)容】[0006]有鑒于此����,本發(fā)明實(shí)施例提供一種系統(tǒng)文件的識別方法及系統(tǒng),能提高對系統(tǒng)文件的識別的準(zhǔn)確性���。[0007]為達(dá)到上述目的��,本發(fā)明的實(shí)施例采用如下技術(shù)方案:[0008]一方面��,本發(fā)明實(shí)施例提供了一種系統(tǒng)文件的識別方法��,包括:[0009]提取待識別的目標(biāo)文件的文件特征�����;[0010]利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別�;[0011]利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別����;[0012]根據(jù)所述精確匹配識別和模糊匹配識別�����,輸出識別結(jié)果。[0013]優(yōu)選的�,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件。[0014]優(yōu)選的���,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征�����、文件頭信息特征���、文件引用信息特征、文件導(dǎo)出信息特征���、文件導(dǎo)入函數(shù)信息特征��、文件入口信息特征��、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)�����。[0015]優(yōu)選的�,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別包括:[0016]將所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致�����;[0017]如果完全一致則進(jìn)入下一特征的對比,或者如果不一致則輸出識別不通過的結(jié)果O[0018]優(yōu)選的����,所述文件版本信息特征包括所述目標(biāo)文件的文件名、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號�����、公司名�。[0019]優(yōu)選的,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別包括:[0020]將所述目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比�����,并判斷所述目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在所述動態(tài)鏈接列表庫里�����;[0021]如果全部包括在所述動態(tài)鏈接列表庫里則進(jìn)入下一特征的對比���,或者如果不是全部包括則輸出識別不通過的結(jié)果����。[0022]優(yōu)選的�����,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別還包括:[0023]將所述目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比�����,并判斷所述目標(biāo)文件的文件入口信息特征是否全部包括在所述入口信息特征庫里���;[0024]如果全部包括在所述入口信息特征庫里則進(jìn)入下一特征的對比�����,或者如果不是全部包括則輸出識別不通過的結(jié)果��。[0025]優(yōu)選的��,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別包括:[0026]將所述目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上����;[0027]如果在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比�,或者如果不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果。[0028]優(yōu)選的���,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別還包括:[0029]將所述目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上����;[0030]如果在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比,或者如果不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果��。[0031]優(yōu)選的�����,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別還包括:[0032]在所述目標(biāo)文件的所有信息特征均通過模糊匹配后����,將所述目標(biāo)文件中的所有信息特征加入模糊特征庫里并輸出識別通過的結(jié)果。[0033]本發(fā)明實(shí)施例提供的一種系統(tǒng)文件的識別方法�����,通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件��,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性���。[0034]另一方面���,本發(fā)明實(shí)施例提供了一種系統(tǒng)文件的識別系統(tǒng)����,包括:特征提取模塊��,用于提取待識別的目標(biāo)文件的文件特征�;精確匹配模塊��,用于利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別�;模糊匹配模塊,用于利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別�����;結(jié)果輸出模塊�,用于根據(jù)所述精確匹配識別和模糊匹配識別,輸出識別結(jié)果���。[0035]優(yōu)選的��,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件�����。[0036]優(yōu)選的�,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征、文件頭信息特征����、文件引用信息特征、文件導(dǎo)出信息特征�、文件導(dǎo)入函數(shù)信息特征、文件入口信息特征�、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)。[0037]優(yōu)選的�����,所述精確匹配模塊包括:第一對比子模塊�,用于將所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致;跳躍子模塊�,用于如果所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征是完全一致的,則進(jìn)入下一特征的對比���;[0038]其中�,所述結(jié)果輸出模塊���,還用于如果所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征不一致�����,則輸出識別不通過的結(jié)果�����。[0039]優(yōu)選的�����,所述文件版本信息特征包括所述目標(biāo)文件的文件名�、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號�����、公司名���。[0040]優(yōu)選的�����,所述精確匹配模塊還包括:第二對比子模塊���,用于將所述目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比,并判斷所述目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在所述動態(tài)鏈接列表庫里;其中���,所述跳躍子模塊���,還用于如果所述目標(biāo)文件所引用的所有動態(tài)鏈接全部包括在所述動態(tài)鏈接列表庫里,則進(jìn)入下一特征的對比�;所述結(jié)果輸出模塊,還用于如果所述目標(biāo)文件所引用的所有動態(tài)鏈接不是全部包括在所述動態(tài)鏈接列表庫里�,則輸出識別不通過的結(jié)果。[0041]優(yōu)選的�����,所述精確匹配模塊還包括:第三對比子模塊���,用于將所述目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比�,并判斷所述目標(biāo)文件的文件入口信息特征是否全部包括在所述入口信息特征庫里���;其中�,所述跳躍子模塊����,還用于如果所述目標(biāo)文件的文件入口信息特征全部包括在所述入口信息特征庫里�,則進(jìn)入下一特征的對比��;所述結(jié)果輸出模塊����,還用于如果所述目標(biāo)文件的文件入口信息特征不是全部包括在所述入口信息特征庫里,則輸出識別不通過的結(jié)果�����。[0042]優(yōu)選的��,所述模糊匹配模塊包括:第四對比子模塊����,用于將所述目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上�;其中,所述跳躍子模塊�,還用于如果匹配程度在預(yù)設(shè)的閾值以上,則進(jìn)入下一特征的對比����;所述結(jié)果輸出模塊,還用于如果匹配程度不在預(yù)設(shè)的閾值以上����,則輸出識別不通過的結(jié)果���。[0043]優(yōu)選的,所述模糊匹配模塊還包括:第五對比子模塊����,用于將所述目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上;其中����,所述跳躍子模塊,還用于如果匹配程度在預(yù)設(shè)的閾值以上�����,則進(jìn)入下一特征的對比���;所述結(jié)果輸出模塊��,還用于如果匹配程度不在預(yù)設(shè)的閾值以上��,則輸出識別不通過的結(jié)果�。[0044]優(yōu)選的�����,所述模糊匹配模塊還包括:樣本學(xué)習(xí)子模塊,用于在所述目標(biāo)文件的所有信息特征均通過模糊匹配后�����,將所述目標(biāo)文件中的所有信息特征加入模糊特征庫里��;其中�,所述結(jié)果輸出模塊,還用于輸出識別通過的結(jié)果����。[0045]本發(fā)明實(shí)施例提供的一種系統(tǒng)文件的識別系統(tǒng),通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件����,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性��?�!緦@綀D】【附圖說明】[0046]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案�����,下面將對實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例���,對于本領(lǐng)域普通技術(shù)人員來講����,在不付出創(chuàng)造性勞動的前提下�����,還可以根據(jù)這些附圖獲得其它的附圖��。[0047]圖1為本發(fā)明一實(shí)施方式中系統(tǒng)文件的識別方法的流程圖����;[0048]圖2為本發(fā)明一實(shí)施方式中圖1中步驟S12的具體方法流程圖;[0049]圖3為本發(fā)明一實(shí)施方式中圖1中步驟S13的具體方法流程圖����;[0050]圖4為本發(fā)明一實(shí)施方式中系統(tǒng)文件的識別系統(tǒng)的結(jié)構(gòu)示意圖;[0051]圖5為本發(fā)明一實(shí)施方式中圖4中的精確匹配模塊30的結(jié)構(gòu)示意圖����;[0052]圖6為本發(fā)明一實(shí)施方式中圖4中的模糊匹配模塊40的結(jié)構(gòu)示意圖��?!揪唧w實(shí)施方式】[0053]下面結(jié)合附圖對本發(fā)明實(shí)施例一種系統(tǒng)文件的識別方法及系統(tǒng)進(jìn)行詳細(xì)描述�。[0054]應(yīng)當(dāng)明確,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例���,而不是全部的實(shí)施例���。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其它實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍���。[0055]本發(fā)明具體實(shí)施例提供了一種系統(tǒng)文件的識別方法�,主要包括如下步驟:[0056]SI1、提取待識別的目標(biāo)文件的文件特征���;[0057]S12���、利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別���;[0058]S13、利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別��;[0059]S14���、根據(jù)所述精確匹配識別和模糊匹配識別����,輸出識別結(jié)果��。[0060]本發(fā)明實(shí)施例所提供的一種系統(tǒng)文件的識別方法�,通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性����。此外,由于采用本發(fā)明實(shí)施例的方案能夠提高對系統(tǒng)文件識別的準(zhǔn)確性��,這樣便于安全軟件如毒霸等在進(jìn)行監(jiān)控和掃描時�����,可僅針對非系統(tǒng)文件進(jìn)行監(jiān)控和掃描時,提高監(jiān)控和掃描的效率����;另夕卜,根據(jù)本發(fā)明系統(tǒng)文件的識別方法��,可通過對匹配條件的嚴(yán)格限定來增加安全性��,即使是被感染的系統(tǒng)文件��,也能夠識別出來�,以減少誤報(bào)。[0061]以下將對本發(fā)明實(shí)施例所提供的一種系統(tǒng)文件的識別方法進(jìn)行詳細(xì)說明���。[0062]參看圖1��,為本發(fā)明一實(shí)施方式中系統(tǒng)文件的識別方法的流程圖��。[0063]在步驟Sll中��,提取待識別的目標(biāo)文件的文件特征��。[0064]在本實(shí)施方式中���,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件,當(dāng)然���,該目標(biāo)文件也可以包括其他操作系統(tǒng)的系統(tǒng)文件,在此僅以Windows操作系統(tǒng)作為一個例子進(jìn)行說明�,對其他的操作系統(tǒng)(例如Android操作系統(tǒng)���、1S操作系統(tǒng)��、Linux操作系統(tǒng)等等)不做限定��,在此就不舉例�。[0065]在本實(shí)施方式中����,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征、文件頭信息特征����、文件引用信息特征、文件導(dǎo)出信息特征��、文件導(dǎo)入函數(shù)信息特征、文件入口信息特征�、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)。在本實(shí)施方式中���,所述文件特征為按照固定方式進(jìn)行提取��。[0066]在步驟S12中��,利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別�����。[0067]在本實(shí)施方式中���,系統(tǒng)文件精確匹配特征庫是在判斷之前就已經(jīng)由運(yùn)維人員建立好的。[0068]在本實(shí)施方式中����,利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別的步驟S12具體還包括步驟S121-S126,如圖2所示����。[0069]圖2為本發(fā)明一實(shí)施方式中圖1中步驟S12的具體方法流程圖。[0070]在步驟S121中����,將目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致���。[0071]在本實(shí)施方式中,文件列表庫是在判斷之前就已經(jīng)建立好的��,且已經(jīng)將該文件列表庫預(yù)先存儲在固定的存儲單元里��,以便于作為一個樣本庫進(jìn)行對比��。[0072]在本實(shí)施方式中����,所述文件版本信息特征包括所述目標(biāo)文件的文件名��、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號����、公司名。[0073]在步驟S122中�,如果步驟S121判斷是完全一致則進(jìn)入下一特征的對比,如果步驟S121判斷是不一致則輸出識別不通過的結(jié)果���。在本實(shí)施方式中���,通過本步驟可以控制匹配的風(fēng)險(xiǎn)�����。[0074]在本實(shí)施方式中�����,步驟S122中的進(jìn)入下一特征的對比則表示進(jìn)入步驟S123中執(zhí)行�。[0075]在步驟S123中�����,將目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比��,并判斷目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在所述動態(tài)鏈接列表庫里��。[0076]在本實(shí)施方式中���,動態(tài)鏈接列表庫是在判斷之前就已經(jīng)建立好的�,且已經(jīng)將該動態(tài)鏈接列表庫預(yù)先存儲在固定的存儲單元里���,以便于作為一個樣本庫進(jìn)行對比����。[0077]在步驟S124中,如果步驟S123判斷全部包括在所述動態(tài)鏈接列表庫里則進(jìn)入下一特征的對比����,或者如果步驟S123判斷不是全部包括則輸出識別不通過的結(jié)果。在本實(shí)施方式中��,通過本步驟S124可以進(jìn)一步控制安全風(fēng)險(xiǎn)��,防止對被感染系統(tǒng)文件的誤判�。[0078]在本實(shí)施方式中�,要求目標(biāo)文件所引用的動態(tài)鏈接(DynamicLinkLibrary,DLL)必須全部為已有動態(tài)鏈接列表庫中的項(xiàng)目,否則不能通過匹配����。在本實(shí)施方式中,步驟S124中的進(jìn)入下一特征的對比則表示進(jìn)入步驟S125中執(zhí)行�。[0079]在步驟S125中,將目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比�����,并判斷目標(biāo)文件的文件入口信息特征是否全部包括在入口信息特征庫里��。[0080]在本實(shí)施方式中,入口信息特征庫是在判斷之前就已經(jīng)建立好的���,且已經(jīng)將該入口信息特征庫預(yù)先存儲在固定的存儲單元里���,以便于作為一個樣本庫進(jìn)行對比。[0081]在本實(shí)施方式中�,文件入口信息特征僅僅包括入口點(diǎn)位置及所在節(jié)區(qū),本步驟中的這個入口信息匹配并不是對入口點(diǎn)代碼進(jìn)行解析并匹配����,而是簡單的對于入口點(diǎn)位置及所在節(jié)區(qū)進(jìn)行匹配,這樣一來達(dá)到提高識別效率的目的�。[0082]在步驟S126中,如果步驟S125判斷全部包括在所述入口信息特征庫里則進(jìn)入下一特征的對比�,或者如果步驟S125判斷不是全部包括則輸出識別不通過的結(jié)果。在本實(shí)施方式中�����,通過本步驟S126可以防止對被感染系統(tǒng)文件的誤判�。[0083]在本實(shí)施方式中,只對文件特征中所包括的文件版本信息特征���、文件引用信息特征以及文件入口信息特征這三個信息特征進(jìn)行精確匹配識別��,當(dāng)然在實(shí)際操作時���,可以根據(jù)不同的需求增加其他信息特征來做精確匹配識別���,具體方法與之前的三個信息特征的精確匹配識別方法相同,也可以根據(jù)不同需求減少信息特征進(jìn)行精確匹配識別���,在此不做限定���。[0084]此外,本步驟中�,在利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別時,如果識別不通過����,即特征不匹配��,則對此次匹配的結(jié)果和不匹配的原因進(jìn)行記錄��;目標(biāo)文件繼續(xù)進(jìn)入下一步的模糊匹配過程����,一旦之后的模糊匹配通過�,這些記錄的數(shù)據(jù)通過反饋機(jī)制提交給本系統(tǒng)的管理運(yùn)營人員�����,人工分析后可能的結(jié)果如下:(I)所述目標(biāo)文件是被感染或被修改或破解的文件���,棄用����;(2)是未學(xué)習(xí)到的系統(tǒng)文件���,進(jìn)行學(xué)習(xí)�����。[0085]參看圖1����,在步驟S13中����,利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別。[0086]在本實(shí)施方式中,系統(tǒng)文件模糊匹配特征庫為學(xué)習(xí)獲得��。在建立系統(tǒng)文件模糊匹配特征庫的初始�����,需要單獨(dú)的學(xué)習(xí)流程�,學(xué)習(xí)要求有大量已知的系統(tǒng)文件,這可通過毒霸的文件云系統(tǒng)和監(jiān)控收集系統(tǒng)來實(shí)現(xiàn)��。學(xué)習(xí)時��,提取學(xué)習(xí)源樣本的樣本素材��,即樣本特征�,按照庫格式存儲在數(shù)據(jù)庫中即可。文件素材為按照固定方法提取的文件外圍信息�、文件頭信息、版本信息等文件的相關(guān)特征����。數(shù)據(jù)庫庫可以采用本地的SQLite數(shù)據(jù)庫���,也可以采用MySQL等關(guān)系型數(shù)據(jù)庫����。為保證匹配的質(zhì)量,初始的學(xué)習(xí)源文件優(yōu)選在10萬以上�����,且應(yīng)該盡量涵蓋Windows和IE的盡可能多的文件�。[0087]在本實(shí)施方式中,利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別的步驟S13具體還包括步驟S131-S135���,如圖3所示��。[0088]圖3為本發(fā)明一實(shí)施方式中圖1中步驟S13的具體方法流程圖��。[0089]在步驟S131中�,將目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上���。[0090]在本實(shí)施方式中����,在進(jìn)行了上述的精確匹配識別之后��,還要進(jìn)行以下的幾步模糊匹配識別���,通過精確匹配識別與模糊匹配識別相結(jié)合的方法來進(jìn)行識別系統(tǒng)文件��,進(jìn)而達(dá)到減少誤報(bào)的目的��。[0091]在本實(shí)施方式中��,第一模糊特征庫是在判斷之前就已經(jīng)建立好的��,且已經(jīng)將該第一模糊特征庫預(yù)先存儲在固定的存儲單元里��,以便于作為一個樣本庫進(jìn)行對比��。在本實(shí)施方式中��,第一模糊特征庫里存儲有多個文件頭信息特征���。[0092]在本實(shí)施方式中��,預(yù)設(shè)的閾值優(yōu)選為95%�����。[0093]在步驟S132中�����,如果步驟S131判斷在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比�����,或者如果步驟S131判斷不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果�。[0094]在本實(shí)施方式中�,步驟S132中的進(jìn)入下一特征的對比則表示進(jìn)入步驟S133中執(zhí)行。[0095]在步驟S133中����,將目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上。[0096]在本實(shí)施方式中�,第二模糊特征庫是在判斷之前就已經(jīng)建立好的,且已經(jīng)將該第二模糊特征庫預(yù)先存儲在固定的存儲單元里��,以便于作為一個樣本庫進(jìn)行對比���。[0097]在本實(shí)施方式中����,預(yù)設(shè)的閾值優(yōu)選為95%�����。[0098]在步驟S134中,如果在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比��,或者如果不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果����。[0099]在本實(shí)施方式中,由于只有設(shè)置文件頭信息特征和文件導(dǎo)入函數(shù)信息特征這兩個信息特征進(jìn)行模糊匹配識別����,當(dāng)然在實(shí)際操作時,可以根據(jù)不同的需求增加其他信息特征來做模糊匹配識別���,具體方法與之前的兩個信息特征的模糊匹配識別方法相同��,也可以根據(jù)不同需求減少信息特征進(jìn)行模糊匹配識別����,在此不做限定���。[0100]在本實(shí)施方式中����,如果設(shè)置兩個或兩個以上信息特征進(jìn)行模糊匹配識別時����,需要所有單項(xiàng)匹配的匹配程度均在95%以上通過才能是匹配成功���,即才能輸出識別通過的結(jié)果O[0101]在步驟S135中�����,在目標(biāo)文件的所有信息特征均通過模糊匹配后���,將目標(biāo)文件中的所有信息特征加入模糊特征庫里并輸出識別通過的結(jié)果�����。[0102]在本實(shí)施方式中��,如果之前步驟S121-S126的精確匹配識別和之前步驟S131-S135的模糊匹配識別均通過后�,則將目標(biāo)文件中的所有信息特征加入相對應(yīng)的模糊特征庫里����,以作為樣本進(jìn)行自學(xué)習(xí)。[0103]本實(shí)施方式中��,利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別的步驟�����,主要是有效利用同名系統(tǒng)文件之間的相似性來匹配未知系統(tǒng)文件,通過自學(xué)習(xí)功能可以有效支持新出現(xiàn)的系統(tǒng)文件���。[0104]參看圖1�����,在步驟S14中��,輸出識別結(jié)果���。[0105]在本實(shí)施方式中,如果之前步驟S121-S126的精確匹配識別和之前步驟S131-S135的模糊匹配識別均通過后����,則輸出識別通過的結(jié)果,否則就輸出識別不通過的結(jié)果O[0106]輸出識別通過的結(jié)果表明所述目標(biāo)文件為系統(tǒng)文件�����,輸出識別不通過的結(jié)果表明所述目標(biāo)文件是非系統(tǒng)文件�����。在進(jìn)行病毒查殺時,不需要對經(jīng)過識別確認(rèn)為系統(tǒng)文件的文件進(jìn)行掃描��,而僅對非系統(tǒng)文件進(jìn)行查殺�����,由此能夠提高查殺效率����。[0107]本發(fā)明實(shí)施例提供的一種系統(tǒng)文件的識別方法��,通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件����,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性。此外�,由于采用本發(fā)明實(shí)施例的方案能夠提高對系統(tǒng)文件識別的準(zhǔn)確性,這樣便于安全軟件如毒霸等在進(jìn)行監(jiān)控和掃描時��,可僅針對非系統(tǒng)文件進(jìn)行監(jiān)控和掃描時����,提高監(jiān)控和掃描的效率;另夕卜��,根據(jù)本發(fā)明系統(tǒng)文件的識別方法,通過對匹配條件的嚴(yán)格限定來增加安全性��,即使是被感染的系統(tǒng)文件�,也能夠識別出來,以減少誤報(bào)��。[0108]本發(fā)明具體實(shí)施例還提供一種系統(tǒng)文件的識別系統(tǒng)10����,如圖4所示,主要包括:特征提取模塊20��,用于提取待識別的目標(biāo)文件的文件特征�;精確匹配模塊30,用于利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別���;模糊匹配模塊40�,用于利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別����;結(jié)果輸出模塊50,用于根據(jù)所述精確匹配識別和模糊匹配識別�����,輸出識別結(jié)果。[0109]本發(fā)明實(shí)施例所提供的一種系統(tǒng)文件的識別系統(tǒng)10�����,通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件���,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性����。此外���,由于采用本發(fā)明實(shí)施例的方案能夠提高對系統(tǒng)文件識別的準(zhǔn)確性,這樣便于安全軟件如毒霸等在進(jìn)行監(jiān)控和掃描時�����,可僅針對非系統(tǒng)文件進(jìn)行監(jiān)控和掃描時�����,提高監(jiān)控和掃描的效率����;另外�,根據(jù)本發(fā)明系統(tǒng)文件的識別方法���,可通過對匹配條件的嚴(yán)格限定來增加安全性��,即使是被感染的系統(tǒng)文件��,也能夠識別出來��,以減少誤報(bào)�。[0110]以下將對本發(fā)明實(shí)施例所提供的一種系統(tǒng)文件的識別系統(tǒng)10進(jìn)行詳細(xì)說明�。[0111]參看圖4,所示為本發(fā)明一實(shí)施方式中系統(tǒng)文件的識別系統(tǒng)10的結(jié)構(gòu)示意圖���。[0112]在本實(shí)施方式中�,系統(tǒng)文件的識別系統(tǒng)10主要包括特征提取模塊20���、精確匹配模塊30���、模糊匹配模塊40以及結(jié)果輸出模塊50。[0113]特征提取模塊20�,用于提取待識別的目標(biāo)文件的文件特征。[0114]在本實(shí)施方式中,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件���,當(dāng)然�����,該目標(biāo)文件也可以包括其他操作系統(tǒng)的系統(tǒng)文件,在此僅以Windows操作系統(tǒng)作為一個例子進(jìn)行說明�,對其他的操作系統(tǒng)(例如Android操作系統(tǒng)�����、1S操作系統(tǒng)��、Linux操作系統(tǒng)等等)不做限定��,在此就不舉例�����。[0115]在本實(shí)施方式中��,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征����、文件頭信息特征、文件引用信息特征�����、文件導(dǎo)出信息特征�、文件導(dǎo)入函數(shù)信息特征、文件入口信息特征����、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)。在本實(shí)施方式中���,所述文件特征為按照固定方式進(jìn)行提取�。[0116]精確匹配模塊30����,用于利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別。[0117]在本實(shí)施方式中�����,精確匹配模塊30包括第一對比子模塊301���、第二對比子模塊302���、第三對比子模塊303以及跳躍子模塊304���,如圖5所示。[0118]參看圖5�,所示為本發(fā)明一實(shí)施方式中圖4中的精確匹配模塊30的結(jié)構(gòu)示意圖。[0119]第一對比子模塊301�,用于將目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致。[0120]在本實(shí)施方式中�,文件列表庫是在判斷之前就已經(jīng)建立好的,且已經(jīng)將該文件列表庫預(yù)先存儲在固定的存儲單元里�����,以便于作為一個樣本庫進(jìn)行對比�����。在本實(shí)施方式中���,所述文件版本信息特征包括所述目標(biāo)文件的文件名、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號�、公司名。[0121]跳躍子模塊304�����,用于如果目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征是完全一致的,則進(jìn)入下一特征的對比����。[0122]其中,結(jié)果輸出模塊50����,用于如果目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征不一致,則輸出識別不通過的結(jié)果���。[0123]第二對比子模塊302�����,用于將目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比���,并判斷目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在動態(tài)鏈接列表庫里。[0124]在本實(shí)施方式中�,動態(tài)鏈接列表庫是在判斷之前就已經(jīng)建立好的,且已經(jīng)將該動態(tài)鏈接列表庫預(yù)先存儲在固定的存儲單元里��,以便于作為一個樣本庫進(jìn)行對比����。[0125]其中���,跳躍子模塊304,還用于如果目標(biāo)文件所引用的所有動態(tài)鏈接全部包括在動態(tài)鏈接列表庫里�����,則進(jìn)入下一特征的對比�����。[0126]其中���,結(jié)果輸出模塊50�����,還用于如果目標(biāo)文件所引用的所有動態(tài)鏈接不是全部包括在動態(tài)鏈接列表庫里��,則輸出識別不通過的結(jié)果�。在本實(shí)施方式中���,要求目標(biāo)文件所引用的動態(tài)鏈接(DynamicLinkLibrary,DLL)必須全部為已有動態(tài)鏈接列表庫中的項(xiàng)目�,否則不能通過匹配����。[0127]第三對比子模塊303,用于將目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比�����,并判斷目標(biāo)文件的文件入口信息特征是否全部包括在入口信息特征庫里�����。[0128]在本實(shí)施方式中�,入口信息特征庫是在判斷之前就已經(jīng)建立好的,且已經(jīng)將該入口信息特征庫預(yù)先存儲在固定的存儲單元里����,以便于作為一個樣本庫進(jìn)行對比。[0129]在本實(shí)施方式中�����,文件入口信息特征僅僅包括入口點(diǎn)位置及所在節(jié)區(qū)����,本步驟中的這個入口信息匹配并不是對入口點(diǎn)代碼進(jìn)行解析并匹配����,而是簡單的對于入口點(diǎn)位置及所在節(jié)區(qū)進(jìn)行匹配����,這樣一來達(dá)到提高識別效率的目的。[0130]其中����,跳躍子模塊304,還用于如果目標(biāo)文件的文件入口信息特征全部包括在入口信息特征庫里��,則進(jìn)入下一特征的對比��。[0131]其中�,結(jié)果輸出模塊50,還用于如果目標(biāo)文件的文件入口信息特征不是全部包括在入口信息特征庫里����,則輸出識別不通過的結(jié)果。[0132]在本實(shí)施方式中����,只對文件特征中所包括的文件版本信息特征、文件引用信息特征以及文件入口信息特征這三個信息特征進(jìn)行精確匹配識別,當(dāng)然在實(shí)際操作時����,可以根據(jù)不同的需求增加其他信息特征來做精確匹配識別,具體方法與之前的三個信息特征的精確匹配識別方法相同�����,也可以根據(jù)不同需求減少信息特征進(jìn)行精確匹配識別���,在此不做限定。[0133]此外��,本實(shí)施方式中�����,在利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別時�����,如果識別不通過����,即特征不匹配,則對此次匹配的結(jié)果和不匹配的原因進(jìn)行記錄;目標(biāo)文件繼續(xù)進(jìn)入下一步的模糊匹配過程���,一旦之后的模糊匹配通過�,這些記錄的數(shù)據(jù)通過反饋機(jī)制提交給本系統(tǒng)的管理運(yùn)營人員��,人工分析后可能的結(jié)果如下:(I)所述目標(biāo)文件是被感染或被修改或破解的文件���,棄用��;(2)是未學(xué)習(xí)到的系統(tǒng)文件����,進(jìn)行學(xué)習(xí)�����。[0134]參看圖4�����,模糊匹配模塊40�����,用于利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別。[0135]在本實(shí)施方式中��,系統(tǒng)文件模糊匹配特征庫為學(xué)習(xí)獲得���。在建立系統(tǒng)文件模糊匹配特征庫的初始���,需要單獨(dú)的學(xué)習(xí)流程,學(xué)習(xí)要求有大量已知的系統(tǒng)文件����,這可通過毒霸的文件云系統(tǒng)和監(jiān)控收集系統(tǒng)來實(shí)現(xiàn)���。學(xué)習(xí)時�����,提取學(xué)習(xí)源樣本的樣本素材�����,即樣本特征�����,按照庫格式存儲在數(shù)據(jù)庫中即可��。文件素材為按照固定方法提取的文件外圍信息�、文件頭信息、版本信息等文件的相關(guān)特征�����。數(shù)據(jù)庫庫可以采用本地的SQLite數(shù)據(jù)庫�,也可以采用MySQL等關(guān)系型數(shù)據(jù)庫。為保證匹配的質(zhì)量���,初始的學(xué)習(xí)源文件優(yōu)選在10萬以上���,且應(yīng)該盡量涵蓋Windows和IE的盡可能多的文件。[0136]在本實(shí)施方式中���,模糊匹配模塊40包括第四對比子模塊401�����、第五對比子模塊402以及樣本學(xué)習(xí)子模塊403���,如圖6所示�。[0137]參看圖6��,所示為本發(fā)明一實(shí)施方式中圖4中的模糊匹配模塊40的結(jié)構(gòu)示意圖��。[0138]第四對比子模塊401�,用于將目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上。[0139]在本實(shí)施方式中�,在進(jìn)行了上述的精確匹配識別之后,還要進(jìn)行以下的模糊匹配識別���,通過精確匹配識別與模糊匹配識別相結(jié)合的方法來進(jìn)行識別系統(tǒng)文件�,進(jìn)而達(dá)到減少誤報(bào)的目的���。[0140]在本實(shí)施方式中,第一模糊特征庫是在判斷之前就已經(jīng)建立好的�,且已經(jīng)將該第一模糊特征庫預(yù)先存儲在固定的存儲單元里,以便于作為一個樣本庫進(jìn)行對比���。[0141]在本實(shí)施方式中����,預(yù)設(shè)的閾值優(yōu)選為95%�����。[0142]其中,跳躍子模塊304���,還用于如果匹配程度在預(yù)設(shè)的閾值以上���,則進(jìn)入下一特征的對比。[0143]其中�,結(jié)果輸出模塊50,還用于如果匹配程度不在預(yù)設(shè)的閾值以上��,則輸出識別不通過的結(jié)果����。[0144]第五對比子模塊402,用于將目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上����。[0145]在本實(shí)施方式中,第二模糊特征庫是在判斷之前就已經(jīng)建立好的�,且已經(jīng)將該第二模糊特征庫預(yù)先存儲在固定的存儲單元里,以便于作為一個樣本庫進(jìn)行對比����。[0146]在本實(shí)施方式中���,預(yù)設(shè)的閾值優(yōu)選為95%。[0147]其中����,跳躍子模塊304,還用于如果匹配程度在預(yù)設(shè)的閾值以上�,則進(jìn)入下一特征的對比。[0148]其中�����,結(jié)果輸出模塊50�,還用于如果匹配程度不在預(yù)設(shè)的閾值以上,則輸出識別不通過的結(jié)果�����。[0149]樣本學(xué)習(xí)子模塊403����,用于在目標(biāo)文件的所有信息特征均通過模糊匹配后�,將目標(biāo)文件中的所有信息特征加入模糊特征庫里。[0150]在本實(shí)施方式中����,由于只有設(shè)置文件頭信息特征和文件導(dǎo)入函數(shù)信息特征這兩個信息特征進(jìn)行模糊匹配識別�,當(dāng)然在實(shí)際操作時�,可以根據(jù)不同的需求增加其他信息特征來做模糊匹配識別,具體方法與之前的兩個信息特征的模糊匹配識別方法相同���,也可以根據(jù)不同需求減少信息特征進(jìn)行模糊匹配識別�,在此不做限定����。[0151]在本實(shí)施方式中,如果設(shè)置兩個或兩個以上信息特征進(jìn)行模糊匹配識別時�,需要所有單項(xiàng)匹配的匹配程度均在95%以上通過才能是匹配成功,即才能輸出識別通過的結(jié)果O[0152]本實(shí)施方式中�,利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別的步驟,主要是有效利用同名系統(tǒng)文件之間的相似性來匹配未知系統(tǒng)文件����,通過自學(xué)習(xí)功能可以有效支持新出現(xiàn)的系統(tǒng)文件。[0153]結(jié)果輸出模塊50���,還用于輸出識別通過的結(jié)果����。[0154]在本實(shí)施方式中,如果之前的精確匹配模塊30與模糊匹配模塊40均識別通過后�����,則結(jié)果輸出模塊50輸出識別通過的結(jié)果�����,否則結(jié)果輸出模塊50就輸出識別不通過的結(jié)果���。[0155]本發(fā)明實(shí)施例提供的一種系統(tǒng)文件的識別系統(tǒng)10�,通過采用精確匹配識別與模糊匹配識別相結(jié)合的方法進(jìn)行識別系統(tǒng)文件����,能夠提高對系統(tǒng)文件識別的準(zhǔn)確性。此外����,由于采用本發(fā)明實(shí)施例的方案能夠提高對系統(tǒng)文件識別的準(zhǔn)確性,這樣便于安全軟件如毒霸等在進(jìn)行監(jiān)控和掃描時���,可僅針對非系統(tǒng)文件進(jìn)行監(jiān)控和掃描時,提高監(jiān)控和掃描的效率��;另夕卜,根據(jù)本發(fā)明系統(tǒng)文件的識別系統(tǒng)���,通過對匹配條件的嚴(yán)格限定來增加安全性���,即使是被感染的系統(tǒng)文件,也能夠識別出來����,以減少誤報(bào)。[0156]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分流程�,是可以通過計(jì)算機(jī)程序來指令相關(guān)的硬件來完成,所述的程序可存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中�,該程序在執(zhí)行時,可包括如上述各方法的實(shí)施例的流程�����。其中����,所述的存儲介質(zhì)可為磁碟、光盤���、只讀存儲記憶體(Read-OnlyMemory,ROM)或隨機(jī)存儲記憶體(RandomAccessMemory,RAM)等����。[0157]以上所述,僅為本發(fā)明的【具體實(shí)施方式】��,但本發(fā)明的保護(hù)范圍并不局限于此����,任何熟悉本【
技術(shù)領(lǐng)域:
】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi),可輕易想到的變化或替換���,都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此�����,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)�?��!緳?quán)利要求】1.一種系統(tǒng)文件的識別方法��,其特征在于�,所述識別方法包括:提取待識別的目標(biāo)文件的文件特征��;利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別����;利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別;根據(jù)所述精確匹配識別和模糊匹配識別���,輸出識別結(jié)果��。2.根據(jù)權(quán)利要求1所述的系統(tǒng)文件的識別方法�,其特征在于�����,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件����。3.根據(jù)權(quán)利要求2所述的系統(tǒng)文件的識別方法,其特征在于�����,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征、文件頭信息特征����、文件引用信息特征、文件導(dǎo)出信息特征�、文件導(dǎo)入函數(shù)信息特征、文件入口信息特征�����、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)�����。4.根據(jù)權(quán)利要求3所述的系統(tǒng)文件的識別方法��,其特征在于�,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別包括:將所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致;如果完全一致則進(jìn)入下一特征的對比�,如果不一致則輸出識別不通過的結(jié)果。5.根據(jù)權(quán)利要求4所述的系統(tǒng)文件的識別方法�����,其特征在于����,所述文件版本信息特征包括所述目標(biāo)文件的文件名����、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號���、公司名。6.根據(jù)權(quán)利要求4所述的系統(tǒng)文件的識別方法���,其特征在于��,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別包括:將所述目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比��,并判斷所述目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在所述動態(tài)鏈接列表庫里���;如果全部包括在所述動態(tài)鏈接列表庫里則進(jìn)入下一特征的對比,如果不是全部包括則輸出識別不通過的結(jié)果���。7.根據(jù)權(quán)利要求6所述的系統(tǒng)文件的識別方法����,其特征在于���,所述利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別還包括:將所述目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比�����,并判斷所述目標(biāo)文件的文件入口信息特征是否全部包括在所述入口信息特征庫里��;如果全部包括在所述入口信息特征庫里則進(jìn)入下一特征的對比�����,如果不是全部包括則輸出識別不通過的結(jié)果����。8.根據(jù)權(quán)利要求7所述的系統(tǒng)文件的識別方法,其特征在于���,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別包括:將所述目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上����;如果在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比�,或者如果不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果。9.根據(jù)權(quán)利要求8所述的系統(tǒng)文件的識別方法�����,其特征在于,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別還包括:將所述目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上�����;如果在預(yù)設(shè)的閾值以上則進(jìn)入下一特征的對比���,或者如果不在預(yù)設(shè)的閾值以上則輸出識別不通過的結(jié)果�����。10.根據(jù)權(quán)利要求9所述的系統(tǒng)文件的識別方法,其特征在于�����,所述利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別還包括:在所述目標(biāo)文件的所有信息特征均通過模糊匹配后�����,將所述目標(biāo)文件的所有信息特征加入模糊特征庫里并輸出識別通過的結(jié)果���。11.一種系統(tǒng)文件的識別系統(tǒng)��,其特征在于��,所述識別系統(tǒng)包括:特征提取模塊���,用于提取待識別的目標(biāo)文件的文件特征�;精確匹配模塊����,用于利用系統(tǒng)文件精確匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行精確匹配識別;模糊匹配模塊�,用于利用系統(tǒng)文件模糊匹配特征庫對所述目標(biāo)文件的文件特征進(jìn)行模糊匹配識別;結(jié)果輸出模塊�����,用于根據(jù)所述精確匹配識別和模糊匹配識別���,輸出識別結(jié)果�����。12.根據(jù)權(quán)利要求11所述的系統(tǒng)文件的識別系統(tǒng)�,其特征在于�,所述目標(biāo)文件包括Windows操作系統(tǒng)的系統(tǒng)文件。13.根據(jù)權(quán)利要求12所述的系統(tǒng)文件的識別系統(tǒng),其特征在于����,所述文件特征包括所述目標(biāo)文件的文件外圍信息特征、文件頭信息特征�����、文件引用信息特征�����、文件導(dǎo)出信息特征����、文件導(dǎo)入函數(shù)信息特征���、文件入口信息特征��、文件版本信息特征以及文件資源信息特征中的至少一項(xiàng)��。14.根據(jù)權(quán)利要求13所述的系統(tǒng)文件的識別系統(tǒng)�����,其特征在于��,所述精確匹配模塊包括:第一對比子模塊���,用于將所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征進(jìn)行對比并判斷是否完全一致�;跳躍子模塊���,用于如果所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征是完全一致的����,則進(jìn)入下一特征的對比��;其中�����,所述結(jié)果輸出模塊���,還用于如果所述目標(biāo)文件的文件版本信息特征與預(yù)先存儲的文件列表庫中的相應(yīng)特征不一致��,則輸出識別不通過的結(jié)果�����。15.根據(jù)權(quán)利要求14所述的系統(tǒng)文件的識別系統(tǒng)���,其特征在于�,所述文件版本信息特征包括所述目標(biāo)文件的文件名�����、文件版本中的主系統(tǒng)版本號和子系統(tǒng)版本號��、公司名����。16.根據(jù)權(quán)利要求14所述的系統(tǒng)文件的識別系統(tǒng),其特征在于�����,所述精確匹配模塊還包括:第二對比子模塊��,用于將所述目標(biāo)文件的文件引用信息特征與預(yù)先存儲的動態(tài)鏈接列表庫中的相應(yīng)特征進(jìn)行對比����,并判斷所述目標(biāo)文件所引用的所有動態(tài)鏈接是否全部包括在所述動態(tài)鏈接列表庫里�;其中,所述跳躍子模塊,還用于如果所述目標(biāo)文件所引用的所有動態(tài)鏈接全部包括在所述動態(tài)鏈接列表庫里���,則進(jìn)入下一特征的對比��;所述結(jié)果輸出模塊���,還用于如果所述目標(biāo)文件所引用的所有動態(tài)鏈接不是全部包括在所述動態(tài)鏈接列表庫里,則輸出識別不通過的結(jié)果�。17.根據(jù)權(quán)利要求16所述的系統(tǒng)文件的識別系統(tǒng),其特征在于��,所述精確匹配模塊還包括:第三對比子模塊����,用于將所述目標(biāo)文件的文件入口信息特征與預(yù)先存儲的入口信息特征庫中的相應(yīng)特征進(jìn)行對比,并判斷所述目標(biāo)文件的文件入口信息特征是否全部包括在所述入口信息特征庫里��;其中�,所述跳躍子模塊,還用于如果所述目標(biāo)文件的文件入口信息特征全部包括在所述入口信息特征庫里�,則進(jìn)入下一特征的對比;所述結(jié)果輸出模塊�,還用于如果所述目標(biāo)文件的文件入口信息特征不是全部包括在所述入口信息特征庫里,則輸出識別不通過的結(jié)果����。18.根據(jù)權(quán)利要求17所述的系統(tǒng)文件的識別系統(tǒng)����,其特征在于����,所述模糊匹配模塊包括:第四對比子模塊,用于將所述目標(biāo)文件的文件頭信息特征與預(yù)先存儲的第一模糊特征庫中的文件頭信息特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上��;其中��,所述跳躍子模塊�,還用于如果匹配程度在預(yù)設(shè)的閾值以上,則進(jìn)入下一特征的對比�����;所述結(jié)果輸出模塊��,還用于如果匹配程度不在預(yù)設(shè)的閾值以上���,則輸出識別不通過的結(jié)果����。19.根據(jù)權(quán)利要求18所述的系統(tǒng)文件的識別系統(tǒng)��,其特征在于����,所述模糊匹配模塊還包括:第五對比子模塊,用于將所述目標(biāo)文件的文件導(dǎo)入函數(shù)信息特征與預(yù)先存儲的第二模糊特征庫中的導(dǎo)入函數(shù)特征進(jìn)行模糊匹配并判斷匹配程度是否在預(yù)設(shè)的閾值以上���;其中����,所述跳躍子模塊�����,還用于如果匹配程度在預(yù)設(shè)的閾值以上��,則進(jìn)入下一特征的對比��;所述結(jié)果輸出模塊�����,還用于如果匹配程度不在預(yù)設(shè)的閾值以上�����,則輸出識別不通過的結(jié)果。20.根據(jù)權(quán)利要求19所述的系統(tǒng)文件的識別系統(tǒng)��,其特征在于�,所述模糊匹配模塊還包括:樣本學(xué)習(xí)子模塊,用于在所述目標(biāo)文件的所有信息特征均通過模糊匹配后��,將所述目標(biāo)文件的所有信息特征加入模糊特征庫里�;其中,所述結(jié)果輸出模塊�,還用于輸出識別通過的結(jié)果?���!疚臋n編號】G06F21/56GK104268249SQ201410522818【公開日】2015年1月7日申請日期:2014年9月30日優(yōu)先權(quán)日:2014年9月30日【發(fā)明者】周楊,劉桂峰,姚輝申請人:珠海市君天電子科技有限公司