WO2013182073A1 - 鉴定文件安全性的方法、系统及存储介质 - Google Patents

Description

鉴定文件安全性的方法、系统及存储介质

【技术领域】

本发明涉及互联网安全技术，特别是涉及鉴定文件安全性的方法、系统及存储介质。

【背景技术】

在互联网中，电脑病毒随处可见，电脑病毒可损坏用户的系统，窃取用户的数据，对于网络安全构成严重的威胁。因此，鉴定可行执行文件的安全性在现有互联网领域中显得尤为重要。

传统鉴定文件安全性的流程如下：首先，在发现可疑的执行文件后，上传文件信息与可执行样本程序到安全中心。进行简单匹配，将文件特征与现有样本库中的特征码进行比对，若文件特征与现有的黑、白名单中特征码对应，直接判断黑白。若不能对应，则进行自动分析，进入木马分析流水线，经过文件特征，行为特征，智能启发进行再次分析判断。对于仍不能判断黑或白的文件，进行人工分析，采用定期回扫与人工分析解决。

然而，由于样本库中黑名单和白名单不够完备，文件的安全性往往不能根据简单匹配而确定，一般需要进行自动分析和人工分析后才能最终确定。自动分析和人工分析得到的结果虽然准确，但是，自动分析和人工分析耗时长、响应慢，并最终导致获得文件安全性的效率不高。

【发明内容】

基于此，有必要提供一种能够提高获得文件的安全性效率的鉴定文件安全性的方法。

一种鉴定文件安全性的方法，包括以下步骤：

获取文件的文件标识；

根据所述文件标识，获取所述文件的应用数据；

根据所述应用数据获得所述文件的活跃度；

根据所述活跃度判断所述文件安全性。

此外，本发明还提供一种鉴定文件安全性的系统，所述系统包括：

接收模块，用于获取文件的文件标识；

存取模块，用于根据所述文件标识，获取所述文件的应用数据；

处理模块，用于根据所述应用数据获得所述文件的活跃度；

鉴定模块，用于根据所述活跃度判断所述文件安全性。

此外，还有必要提供一种包含计算机可执行指令的计算机存储介质，所述计算机可执行指令用于执行鉴定文件安全性的方法，上述方法包括以下步骤：

获取文件的文件标识；

根据所述文件标识，获取所述文件的应用数据；

根据所述应用数据获得所述文件的活跃度；

根据所述活跃度判断所述文件安全性。

上述鉴定文件安全性的方法，获取文件的文件标识，并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度，并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取，根据应用数据得到活跃度后，根据统计学的原理，利用活跃度便可判断文件的安全性，从而不必经过耗时长的自动分析和人工分析。因此，通过上述方法，可提高获得文件安全性的效率。此外，本发明还提供一种鉴定文件安全性的系统及存储介质。

而且，将判断为安全的文件直接存入到样本库，可进一步完善样本库中的白名单，增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率，进一步提高获得文件安全性的效率。

【附图说明】

图1为一个实施例中鉴定文件安全性的方法的流程示意图；

图2为另一个实施例中鉴定文件安全性的方法的流程示意图；

图3为一个实施例中鉴定文件安全性的系统的模块示意图；

图4为另一个实施例中鉴定文件安全性的系统的模块示意图；

图5为一个实施例中存储介质使计算机所执行方法的流程示意图；

图6为另一个实施例中鉴定文件安全性的系统的结构框图。

【具体实施方式】

如图1所示，在一个实施例中，鉴定文件安全性的方法包括以下步骤：

步骤S110，获取文件的文件标识。

在一个实施例中，每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控，当发现可疑文件时，则发出鉴定指令，以判断该可疑文件是否为病毒。当获得鉴定指令后，便获取可疑文件的文件标识。文件标识为文件的唯一标示。在一个实施例中，文件标识为文件的信息摘要值（Md5值）。

步骤S120，根据文件标识，获取文件的应用数据。

在一个实施例中，应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。

其中，文件机器数表示安装有该文件的计算机数量；总机器数表示注册计算机数量，即安装有某款安全软件的计算机数量；文件机器周增长数表示一周内新增加装有该文件的计算机数量；文件增长前机器数指的是一周前注册计算机的数量，即一周前的总机器数；文件使用时长即运行该文件的时长；开机时长指安装有该文件的计算机处于开机状态的时长；文件周使用时长即一周内运行该文件的时长；开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。

需要指出的是，在其他实施例中，应用数据不限于上述数据，且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。

在一个实施例中，上述鉴定文件安全性的方法还包括对应于文件标识，统计并上传每个文件的应用数据的步骤。

具体的，客户端实时监控计算机上的文件，统计并上传每个文件的应用数据。服务器在获得上述应用数据后，将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后，根据文件标识查询对应的应用数据。若查询到相关记录，则更新应用数据并获取该应用数据；若未查找到相关的记录，则表示该文件为新文件，创建新的记录，并统计该文件的应用数据。

步骤S130，根据应用数据获得文件的活跃度。

活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度，可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中，使用该文件的用户所占的比例。例如，随机抽取5000个用户，其中有4000用户使用某一文件，则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少，以及增加或减少的速度。例如，随机抽取5000个用户，其中有4000用户使用某一文件，下一周统计时有4200个用户使用该文件，则该文件的趋势为增加，且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得，也可仅由覆盖率、使用频率和趋势中的一个或两个确定。

在一个实施例中，获得文件的应用数据后，可根据下列方式获得文件的活跃度：

活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。

其中，a、b、c、d均为参数，其数值可以根据实际情况进行选择。在一个实施例中，a为0.8；b为0.1；c为0.08；d为0.02。

需要指出的是，在其他实施例中，获得文件的活跃度不限于上述方式，文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且，参数不限于为上述数值。

步骤S140，根据活跃度判断文件安全性。

在一个实施例中，上述步骤S140为根据活跃度判断文件为安全文件或不安全文件。具体地，获取至少一阈值；将活跃度与阈值进行对比，对文件的安全性做判断。

在一个实施例中，阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验进行设定。当文件的活跃度低于该阈值时，则判断该文件为不安全文件。当文件的活跃度高于该阈值时，则判断该文件为安全文件。

在另一个实施例中，阈值为一个。当文件的活跃度低于该阈值时，则判断该文件为安全文件。当文件的活跃度低于该阈值时，判断该文件为可疑文件。如图2所示，在判断为可疑文件后，依据步骤S210至步骤S240中的任何一种或几种判断文件的安全性。

步骤S210，验证文件的文件签名判断文件的安全性。

当文件为可疑文件时，通过验证签名判断其安全性。具体的，由于被签名的文件不可更改，文件被修改时，其签名便失效。因此，当验证文件签名可信赖时，表示文件未被修改，没有被植入病毒的可能，故可判断该文件为安全文件。当验证文件签名不可信赖时，表示文件被修改过，存在被植入病毒的可能，故判断该文件为不安全文件或可疑文件。

步骤S220，利用文件的文件信息与样本库中的数据进行简单匹配，判断文件的安全性。

具体地，利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码，由反病毒公司制作，一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串，而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时，将文件的文件特征与黑、白名单中的特征码进行对比，若有对应的记录，则可直接判断出文件的安全性。

步骤S230，对文件的文件信息进行自动分析，判断文件的安全性。

具体地，文件信息中还包含文件的行为特征。自动分析即对文件的文件特征、行为特征进行智能启发分析判断，从而得到文件的安全性。

步骤S240，定期回扫文件，并将其转送至人工分析判断所述文件的安全性。

具体地，对于不确定其安全性的文件，需要定期进行扫描，监控其运行状态，并将该文件转送到人工处理平台。因此，工作人员便可对被发送至人工处理平台的文件进行人工分析，进而得到该文件的安全性。

需要指出的是，上述步骤S210~S240可以依次执行，也可选择其中任意几种步骤执行，还可以选择其中任意一种执行。当选择其中任意一种执行时，直接判断文件为安全文件或不安全文件。

在一个实施例中，阈值可包括第一阈值及第二阈值，且第一阈值小于第二阈值。具体地，在一个实施例中，第一阈值为60%，第二阈值为90%。需要指出的是，在其他实施例中，第一阈值和第二阈值是可变化的，可根据活跃度的计算方式和参数的不同而进行调整。

当活跃度高于第二阈值时，则判断文件为安全文件。即在一个实施例中活跃度高于90%。则表示该文件的覆盖率广、使用频率高，这种文件一般为系统文件。因此，可直接通过活跃度判断该文件为安全文件。

当活跃度介于第一阈值与第二阈值之间时，即在一个实施例中介于60%与90%之间。则表示该文件有一定的覆盖率和使用频率，这样的文件一般为装机流行软件。此时，单凭活跃度不能确定其安全性，需要验证其文件签名。若文件签名可信赖，则判断文件为安全文件。

当活跃度低于第一阈值时，即在一个实施例中活跃度低于60%。则表示该文件为非常见的软件，或当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖时，依次执行如下步骤判断文件的安全性：利用文件的文件信息与样本库中的数据进行简单匹配，判断文件的安全性；针对通过简单匹配不能判断其安全性的文件，对文件的文件信息进行自动分析，判断文件的安全性；针对自动分析不能判断其安全性的文件，定期回扫文件，并将其转送至人工分析判断文件的安全性。

在一个实施例中，鉴定文件安全性的方法还包括：将判断为安全文件的文件的文件信息存储到样本库中。

在传统的鉴定文件安全性的方法中，不能根据简单匹配快速判断文件的安全性的原因是：样本库中黑、白名单不够完备。本发明通过获得文件的活跃度，并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中，因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率，从而不需要经过自动分析和人工分析。

如图3所示，本发明还提供一种鉴定文件安全性的系统，该系统包括接收模块110、存取模块120、存取模块130及鉴定模块140。其中：

接收模块110用于获取文件的文件标识。

在一个实施例中，每款安全软件都需要在各个用户的计算机上安装客户端。客户端对用户计算机上的文件进行实时监控，当发现可疑文件时，则发出鉴定指令，以判断该可疑文件是否为病毒。当接收模块110获得鉴定指令后，便获取可疑文件的文件标识。文件标识为文件的唯一标示。在一个实施例中，文件标识为文件的信息摘要值（Md5值）。

存取模块120用于根据文件标识，获取文件的应用数据。

在一个实施例中，应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比。文件机器数占比为文件机器数对总机器数的占比。文件周增长占比为文件机器周增长数对文件增长前机器数的占比。文件次使用时长占比为文件使用时长对开机时长的占比。文件周使用时长占比为文件周使用时长对开机周时长的占比。

其中，文件机器数表示安装有该文件的计算机数量；总机器数表示注册计算机数量，即安装有某款安全软件的计算机数量；文件机器周增长数表示一周内新增加装有该文件的计算机数量；文件增长前机器数指的是一周前注册计算机的数量，即一周前的总机器数；文件使用时长即运行该文件的时长；开机时长指安装有该文件的计算机处于开机状态的时长；文件周使用时长即一周内运行该文件的时长；开机周时长指安装有该文件的计算机在一周内处于开机状态的时长。

需要指出的是，在其他实施例中，应用数据不限于上述数据，且应用数据也可以包含文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中任意一种或几种的组合。

在一个实施例中，上述鉴定文件安全性的系统还包括数据收集模块，数据收集模块用于对应于文件标识，统计并上传每个文件的应用数据。

具体的，数据收集模块实时监控计算机上的文件，统计并上传每个文件的应用数据。服务器在获得上述应用数据后，将应用数据与文件标识对应存储。当收到鉴定指令并获取文件的文件标识后，根据文件标识查询对应的应用数据。若查询到相关记录，则更新应用数据并获取该应用数据；若未查找到相关的记录，则表示该文件为新文件，创建新的记录，并统计该文件的应用数据。

处理模块130用于根据应用数据获得文件的活跃度。

活跃度根据统计学的原理获得。文件的活跃度表示文件的流行程度，可反映该文件的覆盖率、使用频率、趋势等。覆盖率是指在特定范围的计算机用户中，使用该文件的用户所占的比例。例如，随机抽取5000个用户，其中有4000用户使用某一文件，则表示该文件的覆盖率为80%。使用频率是指计算机用户使用文件的时间在使用计算机的过程中所占的比例。趋势即指使用某一文件的计算机用户是增多还是在减少，以及增加或减少的速度。例如，随机抽取5000个用户，其中有4000用户使用某一文件，下一周统计时有4200个用户使用该文件，则该文件的趋势为增加，且增加速度为4%。文件的活跃度可根据文件的覆盖率、使用频率和趋势以及对应的归一化常数通过线性组合获得，也可仅由覆盖率、使用频率和趋势中的一个或两个确定。

在一个实施例中，存取模块120获得文件的应用数据后，处理模块130可根据下列方式获得文件的活跃度：

活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d。

其中，a、b、c、d均为参数，其数值可以根据实际情况进行选择。在一个实施例中，a为0.8；b为0.1；c为0.08；d为0.02。

需要指出的是，在其他实施例中，处理模块130获得文件的活跃度不限于上述方式，文件的活跃度可仅由文件机器数占比、文件周增长占比、文件次使用时长占比和文件周使用时长占比中的一个或任意几个的组合以及对应的参数获得。而且，参数不限于为上述数值。

鉴定模块140用于根据活跃度判断文件安全性。

在一个实施例中，鉴定模块140用于根据活跃度判断文件为安全文件或不安全文件。具体地，鉴定模块140获取至少一阈值；将活跃度与阈值进行对比，对文件的安全性做判断。

在一个实施例中，阈值可仅为一个。阈值由编程人员根据实际工作中总结的经验进行设定。当文件的活跃度低于该阈值时，鉴定模块140则判断该文件为不安全文件。当文件的活跃度高于该阈值时，鉴定模块140则判断该文件为安全文件。

在另一个实施例中，阈值为一个。当文件的活跃度低于该阈值时，鉴定模块140则判断该文件为安全文件。当文件的活跃度低于该阈值时，鉴定模块140判断该文件为可疑文件。如图4所示，鉴定文件安全性的系统还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。其中：

签名验证模块150用于验证文件的文件签名判断文件的安全性。

当文件为可疑文件时，签名验证模块150通过验证签名判断其安全性。具体的，由于被签名的文件不可更改，文件被修改时，其签名便失效。因此，当验证文件签名可信赖时，表示文件未被修改，没有被植入病毒的可能，故签名验证模块150可判断该文件为安全文件。当验证文件签名不可信赖时，表示文件被修改过，存在被植入病毒的可能，故签名验证模块150判断该文件为不安全文件或可疑文件。

匹配模块160用于利用文件的文件信息与样本库中的数据进行简单匹配，判断文件的安全性。

具体地，匹配模块160利用文件的文件特征与样本库中黑、白名单的特征码进行匹配。特征码又称为电脑病毒特征码，由反病毒公司制作，一般为被反病毒公司确定只有该病毒才可能会有的二进制字符串，而且该字符串一般为文件中对应代码或汇编指令的地址。在进行简单匹配时，将文件的文件特征与黑、白名单中的特征码进行对比，若有对应的记录，则匹配模块160可直接判断出文件的安全性。

自动分析模块170用于对文件的文件信息进行自动分析，判断文件的安全性。

具体地，文件信息中还包含文件的行为特征。自动分析模块170对文件的文件特征、行为特征进行智能启发分析判断，从而得到文件的安全性。

回扫转送模块180用于定期回扫文件，并将其转送至人工分析判断文件的安全性。

具体地，对于不确定其安全性的文件，回扫转送模块180需要定期进行扫描，监控其运行状态，并将该文件转送到人工处理平台。因此，工作人员便可对被发送至人工处理平台的文件进行人工分析，进而得到该文件的安全性。

需要指出的是，在其他实施例中，可仅包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180中的任意一种或几种。

在一个实施例中，阈值可包括第一阈值及第二阈值，且第一阈值小于第二阈值。具体地，在一个实施例中，第一阈值为60%，第二阈值为90%。需要指出的是，在其他实施例中，第一阈值和第二阈值是可变化的，可根据活跃度的计算方式和参数的不同而进行调整。

鉴定文件安全性的系统还包括签名验证模块150、匹配模块160、自动分析模块170及回扫转送模块180。鉴定模块140用于当活跃度高于第二阈值时，则判断文件为安全。当活跃度介于第一阈值与第二阈值之间时，调用签名验证模块150验证所述文件签名，若文件签名可信赖，则判断文件为安全。当活跃度介于所述第一阈值与第二阈值之间且若文件签名不可信赖或活跃度低于第一阈值时，依次调用匹配模块160、自动分析模块170及回扫转送模块180判断文件的安全性。

在一个实施例中，鉴定文件安全性的系统还包括样本管理模块，样本管理模块用于将判断为安全文件的文件的文件信息存储到样本库中。

传统的鉴定文件安全性的系统不能根据匹配模块160快速判断文件的安全性的原因是：样本库中黑、白名单不够完备。本发明通过获得文件的活跃度，并将利用活跃度判断为安全文件的文件的文件信息直接存入到样本库中，因此可进一步完善样本库中白名单的内容。增大后续的鉴定过程中可直接通过匹配模块160进行简单匹配得到文件的安全性的概率，从而不需要经过自动分析和人工分析。

上述鉴定文件安全性的方法和系统，上述鉴定文件安全性的方法，获取文件的文件标识，并根据文件标识获取文件的应用数据。根据应用数据获得文件的活跃度，并根据活跃度判断文件安全性。文件的应用数据可通过用户实时反馈获取，根据应用数据得到活跃度后，根据统计学的原理，利用活跃度便可判断文件的安全性，从而不必经过耗时长的自动分析和人工分析。因此，通过上述方法和系统，可提高获得文件安全性的效率。

而且，将判断为安全的文件直接存入到样本库，可进一步完善样本库中的白名单，增大后续的鉴定过程中可直接通过简单匹配得到文件的安全性的概率，进一步提高获得文件安全性的效率。

如图5所示，本发明还提供一种包含计算机可执行指令的计算机存储介质，所述计算机可执行指令用于执行鉴定文件安全性的方法，上述方法包括以下步骤：

步骤S310，获取文件的文件标识。

步骤S320，根据文件标识，获取文件的应用数据。

步骤S330，根据应用数据获得文件的活跃度。

步骤S340，根据活跃度判断文件安全性。

其中，步骤S310、步骤S320、步骤S330及步骤S340分别与步骤S110、步骤S120、步骤S130及步骤S140的执行过程相同，故在此不再赘述。

在一个实施例中，上述方法还包括：将判断为安全文件的文件的文件信息存储到样本库中。

在一个实施例中，上述方法还包括：对应于文件标识，统计并上传每个文件的应用数据。

本发明还提供另一种鉴定文件安全性的系统，如图6所示，为了便于说明，仅示出了与本发明实施例相关的部分，具体技术细节未揭示的，请参照本发明实施例方法部分。该终端可以为包括手机、平板电脑、PDA（Personal Digital Assistant，个人数字助理）、POS（Point of Sales，销售终端）、车载电脑等任意终端设备，以终端为手机为例：

图6示出的是与本发明实施例提供的终端相关的手机的部分结构的框图。参考图6，手机包括： 射频 （ Radio Frequency ， RF ） 电路610、存储器620、输入单元630、显示单元640、传感器650、音频电路660、无线保真（wireless fidelity，WiFi）模块670、处理器680、以及电源690等部件。本领域技术人员可以理解，图6中示出的手机结构并不构成对手机的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

下面结合图6对手机的各个构成部件进行具体的介绍：

RF电路610可用于收发信息或通话过程中，信号的接收和发送，特别地，将基站的下行信息接收后，给处理器680处理；另外，将设计上行的数据发送给基站。通常，RF电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器（Low Noise Amplifier，LNA）、双工器等。此外，RF电路610还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议，包括但不限于全球移动通讯系统（Global System of Mobile communication，GSM）、通用分组无线服务（General Packet Radio Service，GPRS）、码分多址（Code Division Multiple Access，CDMA）、宽带码分多址（Wideband Code Division Multiple Access, WCDMA）、长期演进 （Long Term Evolution,LTE）)、电子邮件、短消息服务（Short Messaging Service，SMS）等。

存储器620可用于存储软件程序以及模块，处理器680通过运行存储在存储器620的软件程序以及模块，从而执行手机的各种功能应用以及数据处理。存储器620可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序（比如声音播放功能、图像播放功能等）等；存储数据区可存储根据手机的使用所创建的数据（比如音频数据、电话本等）等。此外，存储器620可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。

输入单元630可用于接收输入的数字或字符信息，以及产生与手机的用户设置以及功能控制有关的键信号输入。具体地，输入单元630可包括触控面板631以及其他输入设备632。触控面板631，也称为触摸屏，可收集用户在其上或附近的触摸操作（比如用户使用手指、触笔等任何适合的物体或附件在触控面板631上或在触控面板631附近的操作），并根据预先设定的程式驱动相应的连接装置。可选的，触控面板631可包括触摸检测装置和触摸控制器两个部分。其中，触摸检测装置检测用户的触摸方位，并检测触摸操作带来的信号，将信号传送给触摸控制器；触摸控制器从触摸检测装置上接收触摸信息，并将它转换成触点坐标，再送给处理器680，并能接收处理器680发来的命令并加以执行。此外，可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板631。除了触控面板631，输入单元630还可以包括其他输入设备632。具体地，其他输入设备632可以包括但不限于物理键盘、功能键（比如音量控制按键、开关按键等）、轨迹球、鼠标、操作杆等中的一种或多种。

显示单元640可用于显示由用户输入的信息或提供给用户的信息以及手机的各种菜单。显示单元640可包括显示面板641，可选的，可以采用液晶显示器（Liquid Crystal Display，LCD）、有机发光二极管（Organic Light-Emitting Diode, OLED）等形式来配置显示面板641。进一步的，触控面板631可覆盖显示面板641，当触控面板631检测到在其上或附近的触摸操作后，传送给处理器680以确定触摸事件的类型，随后处理器680根据触摸事件的类型在显示面板641上提供相应的视觉输出。虽然在图6中，触控面板631与显示面板641是作为两个独立的部件来实现手机的输入和输入功能，但是在某些实施例中，可以将触控面板631与显示面板641集成而实现手机的输入和输出功能。

手机还可包括至少一种传感器650，比如光传感器、运动传感器以及其他传感器。具体地，光传感器可包括环境光传感器及接近传感器，其中，环境光传感器可根据环境光线的明暗来调节显示面板641的亮度，接近传感器可在手机移动到耳边时，关闭显示面板641和/或背光。作为运动传感器的一种，加速计传感器可检测各个方向上（一般为三轴）加速度的大小，静止时可检测出重力的大小及方向，可用于识别手机姿态的应用（比如横竖屏切换、相关游戏、磁力计姿态校准）、振动识别相关功能（比如计步器、敲击）等; 至于手机还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器，在此不再赘述。

音频电路660、扬声器661，传声器662可提供用户与手机之间的音频接口。音频电路660可将接收到的音频数据转换后的电信号，传输到扬声器661，由扬声器661转换为声音信号输出；另一方面，传声器662将收集的声音信号转换为电信号，由音频电路660接收后转换为音频数据，再将音频数据输出处理器680处理后，经RF电路610以发送给比如另一手机，或者将音频数据输出至存储器620以便进一步处理。

WiFi属于短距离无线传输技术，手机通过WiFi模块670可以帮助用户收发电子邮件、浏览网页和访问流式媒体等，它为用户提供了无线的宽带互联网访问。虽然图6示出了WiFi模块670，但是可以理解的是，其并不属于手机的必须构成，完全可以根据需要在不改变发明的本质的范围内而省略。

处理器680是手机的控制中心，利用各种接口和线路连接整个手机的各个部分，通过运行或执行存储在存储器620内的软件程序和/或模块，以及调用存储在存储器620内的数据，执行手机的各种功能和处理数据，从而对手机进行整体监控。可选的，处理器680可包括一个或多个处理单元；优选的，处理器680可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器680中。

手机还包括给各个部件供电的电源690（比如电池），优选的，电源可以通过电源管理系统与处理器680逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。

尽管未示出，手机还可以包括摄像头、蓝牙模块等，在此不再赘述。

在本发明实施例中，该终端所包括的处理器680还具有以下功能：执行鉴定文件安全性的方法，包括：

获取文件的文件标识；

根据所述文件标识，获取所述文件的应用数据；

根据所述应用数据获得所述文件的活跃度；

根据所述活跃度判断所述文件安全性。

进一步的，终端的处理器680还具有以下功能：根据应用数据获得文件的活跃度的方式为：

活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d，其中a、b、c、d为参数。

进一步的，终端的处理器680还具有以下功能：根据活跃度判断文件的安全性的步骤为：

获取至少一阈值；

将活跃度与所述阈值进行对比，对文件的安全性做判断。

进一步的，终端的处理器680还具有以下功能：对文件的安全性做判断的步骤为根据活跃度判断文件为安全文件或可疑文件，若根据活跃度判断文件为可疑文件时，上述方法还包括以下步骤中的至少一种：

验证文件的文件签名判断文件的安全性；

利用文件的文件信息与样本库中的数据进行简单匹配，判断文件的安全性；

对文件的文件信息进行自动分析，判断文件的安全性；

定期回扫文件，并将其转送至人工分析判断文件的安全性。

进一步的，终端的处理器680还具有以下功能：阈值包括第一阈值及第二阈值，且第一阈值小于第二阈值，将所述活跃度与阈值进行对比，对文件的安全性做判断的步骤包括：

当活跃度高于第二阈值时，则判断所述文件为安全；

当活跃度介于第一阈值与第二阈值之间时，则验证所述文件签名，若文件签名可信赖，则判断文件为安全；

当活跃度介于第一阈值与第二阈值之间且若文件签名不可信赖或活跃度低于第一阈值时，依次执行以下步骤判断文件的安全性：

利用文件的文件信息与样本库中的数据进行简单匹配，判断文件的安全性；

对文件的文件信息进行自动分析，判断文件的安全性；

定期回扫文件，并将其转送至人工分析判断文件的安全性。

进一步的，终端的处理器680还具有以下功能：将判断为安全文件的文件的文件信息存储到样本库中。

进一步的，终端的处理器680还具有以下功能：对应于文件标识，统计并上传每个文件的应用数据。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

Claims (24)

1. 一种鉴定文件安全性的方法，包括以下步骤：

   获取文件的文件标识；

   根据所述文件标识，获取所述文件的应用数据；

   根据所述应用数据获得所述文件的活跃度；

   根据所述活跃度判断所述文件安全性。
2. 根据权利要求1所述的鉴定文件安全性的方法，其特征在于，所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
3. 根据权利要求2所述的鉴定文件安全性的方法，其特征在于，根据所述应用数据获得所述文件的活跃度的方式为：

   活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d，其中a、b、c、d为参数。
4. 根据权利要求1所述的鉴定文件安全性的方法，其特征在于，所述根据所述活跃度判断文件的安全性的步骤为：

   获取至少一阈值；

   将所述活跃度与所述阈值进行对比，对所述文件的安全性做判断。
5. 根据权利要求4所述的鉴定文件安全性的方法，其特征在于，所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件，若根据所述活跃度判断所述文件为可疑文件时，所述方法还包括以下步骤中的至少一种：

   验证所述文件的文件签名判断所述文件的安全性；

   利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

   对所述文件的文件信息进行自动分析，判断所述文件的安全性；

   定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性。
6. 根据权利要求4所述的鉴定文件安全性的方法，其特征在于，所述阈值包括第一阈值及第二阈值，且所述第一阈值小于所述第二阈值，所述将所述活跃度与所述阈值进行对比，对所述文件的安全性做判断的步骤包括：

   当所述活跃度高于第二阈值时，则判断所述文件为安全；

   当所述活跃度介于所述第一阈值与第二阈值之间时，则验证所述文件签名，若所述文件签名可信赖，则判断所述文件为安全；

   当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时，依次执行以下步骤判断所述文件的安全性：

   利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

   对所述文件的文件信息进行自动分析，判断所述文件的安全性；

   定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性。
7. 根据权利要求1所述的鉴定文件安全性的方法，其特征在于，所述方法还包括：

   将判断为安全文件的所述文件的文件信息存储到样本库中。
8. 根据权利要求1所述的鉴定文件安全性的方法，其特征在于，所述方法还包括：

   对应于文件标识，统计并上传每个文件的应用数据。
9. 一种鉴定文件安全性的系统，其特征在于，包括：

   接收模块，用于获取文件的文件标识；

   存取模块，用于根据所述文件标识，获取所述文件的应用数据；

   处理模块，用于根据所述应用数据获得所述文件的活跃度；

   鉴定模块，用于根据所述活跃度判断所述文件安全性。
10. 根据权利要求9所述的鉴定文件安全性的系统，其特征在于，所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
11. 根据权利要求10所述的鉴定文件安全性的系统，其特征在于，所述处理模块获得所述文件的活跃度的方式为：

    活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d，其中a、b、c、d为参数。
12. 根据权利要求9所述的鉴定文件安全性的系统，其特征在于，所述鉴定模块用于：

    获取至少一阈值；

    将所述活跃度与所述阈值进行对比，对所述文件的安全性做判断。
13. 根据权利要求12所述的鉴定文件安全性的系统，其特征在于，所述鉴定模块用于根据所述活跃度判断所述文件为安全文件或可疑文件，所述系统还包括以下模块中的至少一种：

    签名验证模块，用于验证所述文件的文件签名判断所述文件的安全性；

    匹配模块，用于利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

    自动分析模块，用于对所述文件的文件信息进行自动分析，判断所述文件的安全性；

    回扫转送模块，用于定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性。
14. 根据权利要求12所述的鉴定文件安全性的系统，其特征在于，所述阈值包括第一阈值及第二阈值，且所述第一阈值小于所述第二阈值，所述系统还包括：

    签名验证模块，用于验证所述文件的文件签名判断所述文件的安全性；

    匹配模块，用于利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

    自动分析模块，用于对所述文件的文件信息进行自动分析，判断所述文件的安全性；

    回扫转送模块，用于定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性；

    所述鉴定模块用于：

    当所述活跃度高于第二阈值时，则判断所述文件为安全；

    当所述活跃度介于所述第一阈值与第二阈值之间时，调用所述签名验证模块验证所述文件签名，若所述文件签名可信赖，则判断所述文件为安全；

    当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时，依次调用所述匹配模块、自动分析模块及回扫转送模块判断所述文件的安全性。
15. 根据权利要求9所述的鉴定文件安全性的系统，其特征在于，所述系统还包括样本管理模块，所述样本管理模块用于将判断为安全文件的所述文件的文件信息存储到样本库中。
16. 根据权利要求9所述的鉴定文件安全性的系统，其特征在于，所述系统还包括数据收集模块，所述数据收集模块用于对应于文件标识，统计并上传每个文件的应用数据。
17. 一种包含计算机可执行指令的计算机存储介质，所述计算机可执行指令用于执行鉴定文件安全性的方法，所述方法包括以下步骤：

    获取文件的文件标识；

    根据所述文件标识，获取所述文件的应用数据；

    根据所述应用数据获得所述文件的活跃度；

    根据所述活跃度判断所述文件安全性。
18. 根据权利要求17所述的存储介质，其特征在于，所述应用数据包括文件机器数占比、文件周增长占比、文件次使用时长占比、文件周使用时长占比中的至少一种。
19. 根据权利要求18所述的存储介质，其特征在于，根据所述应用数据获得所述文件的活跃度的方式为：

    活跃度=文件机器数占比*a+文件周增长占比*b+文件次使用时长占比*c+文件周使用时长占比*d，其中a、b、c、d为参数。
20. 根据权利要求17所述的存储介质，其特征在于，所述根据所述活跃度判断文件的安全性的步骤为：

    获取至少一阈值；

    将所述活跃度与所述阈值进行对比，对所述文件的安全性做判断。
21. 根据权利要求20所述的存储介质，其特征在于，所述对所述文件的安全性做判断的步骤为根据所述活跃度判断所述文件为安全文件或可疑文件，若根据所述活跃度判断所述文件为可疑文件时，所述方法还包括以下步骤中的至少一种：

    验证所述文件的文件签名判断所述文件的安全性；

    利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

    对所述文件的文件信息进行自动分析，判断所述文件的安全性；

    定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性。
22. 根据权利要求20所述的存储介质，其特征在于，所述阈值包括第一阈值及第二阈值，且所述第一阈值小于所述第二阈值，所述将所述活跃度与所述阈值进行对比，对所述文件的安全性做判断的步骤包括：

    当所述活跃度高于第二阈值时，则判断所述文件为安全；

    当所述活跃度介于所述第一阈值与第二阈值之间时，则验证所述文件签名，若所述文件签名可信赖，则判断所述文件为安全；

    当所述活跃度介于所述第一阈值与第二阈值之间且若所述文件签名不可信赖或所述活跃度低于第一阈值时，依次执行以下步骤判断所述文件的安全性：

    利用所述文件的文件信息与样本库中的数据进行简单匹配，判断所述文件的安全性；

    对所述文件的文件信息进行自动分析，判断所述文件的安全性；

    定期回扫所述文件，并将其转送至人工分析判断所述文件的安全性。
23. 根据权利要求17所述的存储介质，其特征在于，所述方法还包括：

    将判断为安全文件的所述文件的文件信息存储到样本库中。
24. 根据权利要求17所述的存储介质，其特征在于，所述方法还包括：

    对应于文件标识，统计并上传每个文件的应用数据。

Images