检测恶意文件的方法和设备-复审决定


发明创造名称:检测恶意文件的方法和设备
外观设计名称:
决定号:180416
决定日:2019-05-31
委内编号:1F240458
优先权日:
申请(专利)号:201210486966.1
申请日:2012-11-26
复审请求人:腾讯科技(深圳)有限公司
无效请求人:
授权公告日:
审定公告日:
专利权人:
主审员:田晶
合议组组长:张乾桢
参审员:胡平
国际分类号:G06F21/56
外观设计分类号:
法律依据:专利法第22条第3款
决定要点
:如果一项权利要求所要求保护的技术方案相对于作为最接近的现有技术的对比文件而言存在多个区别技术特征,其中部分区别技术特征已被其他对比文件公开且所起的作用相同,其余部分区别技术特征为本领域的公知常识,则该项权利要求所请求保护的技术方案不具备专利法第22条第3款规定的创造性。
全文:
本复审请求涉及申请号为201210486966.1,名称为“检测恶意文件的方法和设备”的发明专利申请(下称本申请)。本申请的申请人为腾讯科技(深圳)有限公司,申请日为2012年11月26日,公开日为2014年06月04日。
经实质审查,国家知识产权局实质审查部门于2017年09月05日发出驳回决定,驳回了本申请,其理由是:权利要求1-5不具备创造性,不符合专利法第22条第3款的规定。驳回决定所依据的文本为:申请日2012年11月26日提交的说明书摘要、说明书第1-19页、摘要附图、说明书附图第1-3页;2017年04月06日提交的权利要求第1-5项。
驳回决定中引用了3篇对比文件:
对比文件1:CN101964026A,公开日为2011年02月02日;
对比文件2:CN102592080A,公开日为2012年07月18日;
对比文件3:CN101221611A,公开日为2008年07月16日。
驳回理由具体为:(1)权利要求1的并列技术方案一“引用标签包含源地址属性值,所述恶意文件判定模型包含域名信任度阈值”和并列技术方案二“引用标签包含标签显示尺度属性值和源地址属性值,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值”与对比文件1相比,其区别技术特征均在于:1)若匹配成功,则确定文件为恶意文件;2)所述引用标签包含源地址属性值,所述恶意文件判定模型包含域名信任度阈值,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较判断所述文件是否包含恶意代码。区别技术特征1)是本领域技术人员进行恶意文件检测时的惯用手段。对于区别技术特征2),对比文件3公开了通过二次比较来确定是否为恶意文件的方案,在此基础上,本领域技术人员容易想到直接通过页面等级参数的高低来判断链接的可信性。因此,权利要求1不具备专利法第22条第3款规定的创造性。
(2)权利要求2-3的附加技术特征已被对比文件2所公开或者是本领域的常用技术手段,在其引用的权利要求不具备创造性的情况下,权利要求2-3也不具备专利法第22条第3款规定的创造性。
(3)权利要求4请求保护一种用户终端,其是与权利要求1的方法权利要求相对应的产品权利要求,基于与方法权利要求相同的理由,权利要求4也不具备专利法第22条第3款规定的创造性。
(4)权利要求5的附加技术特征已被对比文件2所公开或者是本领域的常用技术手段,在其引用的权利要求不具备创造性的情况下,权利要求5也不具备专利法第22条第3款规定的创造性。
驳回决定所针对的权利要求书如下:
“1. 一种检测恶意文件的方法,其特征在于,包括:
获取待检测的文件;
若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件;
其中,所述引用标签包含源地址属性值,所述恶意文件判定模型包含域名信任度阈值,
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功;
或者,
所述引用标签包含标签显示尺度属性值和源地址属性值,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。
2. 根据权利要求1所述的方法,其特征在于,
所述方法还包括:若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行 比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。
3. 根据权利要求1或2所述的方法,其特征在于,
所述文件为动画文件。
4. 一种用户终端,其特征在于,包括:
获取单元,用于获取待检测的文件;
匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配;
确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件;
其中,所述引用标签包含源地址属性值,所述恶意文件判定模型包含域名信任度阈值,
所述匹配单元具体用于,获得所述引用标签包含的源地址属性值所对应域 名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功;
或者,
所述引用标签包含标签显示尺度属性值和源地址属性值,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。
5. 根据权利要求4所述的用户终端,其特征在于,
所述确定单元还用于,若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
或者,
若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1 个相同,则确定所述文件为恶意文件;
或者,
若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。”
申请人(下称复审请求人)对上述驳回决定不服,于2017年12月18日向国家知识产权局提出了复审请求,同时提交了经修改的权利要求书全文替换页。复审请求人在原独立权利要求1、4中加入特征“文件为Flash文件”、“引用标签包含源地址属性值,或所述引用标签包含所述源地址属性值和标签显示尺度属性值,所述标签显示尺度属性值包含标签显示高度属性值、标签显示宽度属性值或标签显示面积属性值”,并删除原从属权利要求3。
复审请求人认为:修改后的权利要求1与对比文件1的区别技术特征为:1)待检测文件为flash文件;2)引用标签包含源地址属性值,或包含源地址属性值和标签显示尺度属性值,其中标签显示尺度属性值包含标签显示高度、宽度或面积属性值;3)将标签显示尺度属性值与恶意文件判定模型包含的标签显示尺度属性值阈值比较,获得标签包含的源地址属性值对应域名的信任度,将获得的信任度与判定模型包含的域名信任度阈值比较,若标签显示尺度属性值小于或等于标签显示尺度属性值阈值,和/或,若信任度小于或等于恶意文件判定模型包含的域名信任度阈值,则确定匹配成功。对于区别技术特征1),对比文件1需要检测两次,而本申请是直接获取检测对象,只进行一次检测就能确定是否是恶意文件,且对比文件1中的对象是table,title或者img,本申请中是flash对象,这不属于同一类对象;对于区别技术特征2),限定了属性值为引用标签包含源地址属性值,或引用标签包含源地址属性值和标签显示属性值,标签显示尺度属性值包含标签显示高度、宽度或面积属性值,而对比文件1中的属性值是width和height,本申请只要采用一种属性值就能匹配,而且还能进一步采用标签显示面积属性值,能够利用更少的参数得到所需的结果;对于区别技术特征3),可以拆分为两个方案,一是比较标签显示尺度属性值,相比于对比文件1,能够利用更少的参数得到所需的结果;另一个方案是比较域名的信任度,然而,对比文件3识别的文件是识别电子文档,具体识别对象是超链接,而本申请识别的是flash文件,检测对象不同,且本申请所要解决的是如何在浏览网页过程中找出恶意flash文件,对比文件3解决的是在电子文档中找出误导超链接,两者应用场景不同。
提交复审请求时的独立权利要求1、3如下:
“1. 一种检测恶意文件的方法,其特征在于,包括:
获取待检测的文件,所述文件为Flash文件;
若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件,所述引用标签包含源地址属性值,或所述引用标签包含所述源地址属性值和标签显示尺度属性值,所述标签显示尺度属性值包含标签显示高度属性值、标签显示宽度属性值或标签显示面积属性值;
其中,所述引用标签包含所述源地址属性值,所述恶意文件判定模型包含域名信任度阈值,
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
获得所述引用标签包含的所述源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功;
或者,
所述引用标签包含所述标签显示尺度属性值和所述源地址属性值,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。”
“3. 一种用户终端,其特征在于,包括:
获取单元,用于获取待检测的文件,所述文件为Flash文件;
匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,所述引用标签包含源地址属性值,或所述引用标签包含所述源地址属性值和标签显示尺度属性值,所述标签显示尺度属性值包含标签显示高度属性值、标签显示宽度属性值或标签显示面积属性值;
确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件;
其中,所述引用标签包含所述源地址属性值,所述恶意文件判定模型包含域名信任度阈值,
所述匹配单元具体用于,获得所述引用标签包含的所述源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功;
或者,
所述引用标签包含所述标签显示尺度属性值和所述源地址属性值,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。”
经形式审查合格,国家知识产权局于2018年01月02日依法受理了该复审请求,并将其转送至实质审查部门进行前置审查。
实质审查部门在前置审查意见书中坚持驳回决定。
随后,国家知识产权局成立合议组对本案进行审理。
合议组于2019年01月24日向复审请求人发出复审通知书,指出:权利要求1-4不具备创造性,不符合专利法第22条第3款的规定,具体地理由是:(1)权利要求1与对比文件1相比,区别技术特征在于:1)若匹配成功,还可以直接确定文件为恶意文件;而对比文件1是进一步基于危险数据特征库,对可能包含危险数据的对象进行检测和判断,来确定对象内容是否包含危险数据的;2)所述引用标签的属性值包含的是源地址属性值,或者包含的是源地址属性值和标签显示尺度属性值;标签显示尺度属性值所包含的除了标签显示高度属性值、标签显示宽度属性值之外,还可以为标签显示面积属性值,且这些属性值是“或”的关系;所述恶意文件判定模型包含域名信任度阈值,或者包含的是域名信任度阈值和标签显示尺度属性值阈值;当引用标签的属性值包含的是源地址属性值时,将引用标签的属性值与预置的恶意文件判定模型匹配包括:将获得的引用标签包含的源地址属性值对应域名的信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若信任度小于或等于域名信任度阈值,则确定引用标签包含的源地址属性值与恶意文件判定模型匹配成功;当引用的标签的属性值包含的是源地址属性值和标签显示尺度属性值时,将引用标签的属性值与预置的恶意文件判定模型匹配包括:将获得的引用标签包含的源地址属性值对应域名的信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,并将标签显示尺度属性值与恶意文件判定模型包含的标签显示尺度属性值阈值比较,若信任度小于或等于域名信任度阈值,和/或,若标签显示尺度属性值小于或等于标签显示尺度属性值阈值,则确定引用标签包含的属性值与恶意文件判定模型匹配成功。基于上述区别技术特征可以确定,权利要求1实际解决的技术问题为如何更高效的确定恶意文件,并如何利用引用标签的属性来更准确的判断是否为恶意文件。区别技术特征1)属于本领域常用技术手段,对于区别技术特征2),对比文件3公开了判断包含URL信息的页面等级参数小于等于阈值时,通过判断URL信息相关的超链接是否是误导的来提醒用户废除该超链接的方案,在此基础上,本领域技术人员容易想到通过多种方式利用标签的不同属性信息及其组合,和阈值判断来确定为恶意文件的可能性大小,并通过更少的标签参数对标签属性信息进行描述。因此,权利要求1不具备专利法第22条第3款规定的创造性。(2)权利要求2的附加技术特征也已被对比文件2所公开或者是本领域的常用技术手段,在其引用的权利要求不具备创造性的情况下,也不具备专利法第22条第3款规定的创造性。(3)权利要求3-4请求保护一种用户终端,其是与权利要求1-2的方法权利要求相对应的产品权利要求,基于与方法权利要求相同的理由,权利要求3-4也不具备专利法第22条第3款规定的创造性。
针对复审请求人在复审请求时所陈述的意见,合议组在复审通知书中指出:(1)对比文件1已经公开了检测包含Flash对象的网页信息的方案,即对比文件1的方案同样是对包含flash对象的网页文件信息进行检测,来判断该flash对象中是否包含危险数据。虽然对比文件1在检测出一个或多个可能包含危险数据的HTML对象后,还要判断该HTML对象是直接还是间接可能包含危险数据的对象,若判断出该HTML对象为间接可能包含危险数据的对象,再对该HTML对象进一步处理以获得直接可能包含危险数据的对象,对该对象内容进行处理以确定该对象内容是否包含危险数据。然而,在基于标签属性信息和预设的判定模型比较来判断是否为恶意文件时,如果标签的属性信息能够和判定模型中的信息匹配成功,此时就已经说明包含该标签属性信息的文件极有可能是恶意文件,因此,为了提高对这类恶意文件的检测效率,基于上述匹配成功的结果来直接将包含这类标签属性信息的文件确定为恶意文件,从而保证对恶意文件查找的高效性,减少不必要的冗余操作,这是本领域技术人员在高效率的进行恶意文件检测时的常用技术手段。(2)在基于标签显示尺度属性值来获取标签属性信息,从而基于标签属性信息来进行相关信息的匹配和检测时,对比文件1中已经公开了可以基于标签的width、height、display等属性信息来对标签的显示尺度属性信息进行获取,并进一步用于相关信息的匹配和检测的方案。同时,本领域技术人员知晓面积信息也常常是用来反映标签显示尺度属性的信息。在对比文件1的基础上,为了使得所利用的标签属性信息更为精简,本领域技术人员容易想到使用更少的标签参数来对相应的标签属性信息进行描述(例如仅仅使用标签显示面积属性信息来描述标签显示尺度属性信息),使得对于标签属性信息的利用既全面,又高效。(3)虽然对比文件3识别的文件是识别电子文档,具体识别对象是超链接,而本申请识别的是flash文件,检测对象不同,但是,对比文件3已经公开了判断包含URL信息的页面等级参数小于等于阈值时,通过判断和URL信息相关的超链接是否是误导的来提醒用户废除该超链接的方案,其作用在对比文件3中和在本申请中相同,都是基于对源地址属性信息和阈值的比较判断来确定某个特定对象的源地址属性相关信息中是否包含恶意信息。由于对flash文件进行检测时,在对flash文件的属性信息进行判断分析时,也需要结合其源地址属性相关信息来判断其中是否包含恶意信息,即:对于flash文件的检测同样需要基于对包含网址源地址信息的检测,来进一步进行分析判断。因此,在对比文件3的基础上,本领域技术人员在进行flash恶意文件检测时,容易想到对对比文件1进行改进,通过更为丰富的利用标签的不同属性信息(标签显示尺度属性信息、源地址属性信息等等)及其组合,并通过和预先设定的阈值进行比较判断,来确定包含该标签信息的文件为恶意文件的可能性大小。
复审请求人于2019年03月05日提交了意见陈述书,并同时提交了经修改的权利要求全文替换页。复审请求人对权利要求1、3进行修改,分别删除技术特征“所述引用标签包含所述源地址属性值,所述恶意文件判定模型包含域名信任度阈值,所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括: 获得所述引用标签包含的所述源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功;或者,所述引用标签包含所述标签显示尺度属性值和所述源地址属性值”,并增加技术特征“所述确定所述文件为恶意文件或疑似恶意文件,包括:获取所述文件的风险等级;根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件;所述获取所述文件的风险等级,包括:当所述高度属性值和/或所述宽度属性值小于或等于第一阈值时,采用如下方式计算所述风险等级:T=T a1;其中,所述T表示所述风险等级,a1表示第一预设等级;所述根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件,包括:当所述T等于所述a1时,确定所述文件的安全状态为所述疑似恶意文件;当所述T等于2*a1时,确定所述文件的安全状态为所述恶意文件”。复审请求人认为:对比文件1并未公开如何计算得到文件的风险等级,对比文件1通过特征比对的方式判断文件的安全性,一方面需要消耗较多的比对时间,另一方面会导致结果绝对化。本申请能够量化文件的安全程度,在得到具体的风险等级范围之后,可评判出文件的安全程度,如果安全则无需处理,如果不安全则直接删除,如果疑似病毒还可以提示用户让用户选择处理方式,从而降低病毒误删率。
复审请求人答复复审通知书时新修改的权利要求1、3如下:
“1. 一种检测恶意文件的方法,其特征在于,包括:
获取待检测的文件,所述文件为Flash文件;
若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件,所述引用标签包含源地址属性值和标签显示尺度属性值,所述标签显示尺度属性值包含标签显示高度属性值、标签显示宽度属性值或标签显示面积属性值;
其中,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值;
所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功;
所述确定所述文件为恶意文件或疑似恶意文件,包括:
获取所述文件的风险等级;
根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件;
所述获取所述文件的风险等级,包括:
当所述高度属性值和/或所述宽度属性值小于或等于第一阈值时,采用如下方式计算所述风险等级:
T=T a1;
其中,所述T表示所述风险等级,a1表示第一预设等级;
所述根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文 件或所述疑似恶意文件,包括:
当所述T等于所述a1时,确定所述文件的安全状态为所述疑似恶意文件;
当所述T等于2*a1时,确定所述文件的安全状态为所述恶意文件。”
“3. 一种用户终端,其特征在于,包括:
获取单元,用于获取待检测的文件,所述文件为Flash文件;
匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,所述引用标签包含所述源地址属性值和标签显示尺度属性值,所述标签显示尺度属性值包含标签 显示高度属性值、标签显示宽度属性值或标签显示面积属性值;
确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件;
其中,所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值;
所述匹配单元用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功;
所述确定所述文件为恶意文件或疑似恶意文件,包括:
获取所述文件的风险等级;
根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件;
所述获取所述文件的风险等级,包括:
当所述高度属性值和/或所述宽度属性值小于或等于第一阈值时,采用如下方式计算所述风险等级:
T=T a1;
其中,所述T表示所述风险等级,a1表示第一预设等级;
所述根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件,包括:
当所述T等于所述a1时,确定所述文件的安全状态为所述疑似恶意文件;
当所述T等于2*a1时,确定所述文件的安全状态为所述恶意文件。”
在上述程序的基础上,合议组认为本案事实已经清楚,可以作出审查决定。
二、决定的理由
(一)审查文本的认定
复审请求人于2019年03月05日答复复审通知书时提交了权利要求书全文修改替换页。经审查,该修改符合专利法实施细则第61条第1款和专利法第33条的规定。本复审决定所依据的文本为:申请日2012年11月26日提交的说明书摘要、说明书第1-19页、摘要附图、说明书附图第1-3页;2019年03月05日提交的权利要求第1-4项。
(二)关于专利法第22条第3款
专利法第22条第3款规定:创造性,是指与现有技术相比,该发明具有突出的实质性特点和显著的进步,该实用新型具有实质性特点和进步。
如果一项权利要求所要求保护的技术方案相对于作为最接近的现有技术的对比文件而言存在多个区别技术特征,其中部分区别技术特征已被其他对比文件公开且所起的作用相同,其余部分区别技术特征为本领域的公知常识,则该项权利要求所请求保护的技术方案不具备专利法第22条第3款规定的创造性。
本复审请求审查决定引用的对比文件与复审通知书及驳回决定中引用的对比文件相同,即:
对比文件1:CN101964026A,公开日为2011年02月02日;
对比文件2:CN102592080A,公开日为2012年07月18日;
对比文件3:CN101221611A,公开日为2008年07月16日。
(I)权利要求1-4不具备创造性,不符合专利法第22条第3款的规定
1、权利要求1请求保护一种检测恶意文件的方法,对比文件1公开了一种检测网页是否包含危险数据的网页挂马检测方法,并公开了以下内容(参见说明书第[0028]-[0058]段):
提供了一个包括可能包含危险数据的HTML对象的对象特征的对象特征库(相当于预置的恶意文件判定模型),根据对象特征库对所获取的网页内容进行静态分析(相当于获取待检测的文件),如进行特征匹配,以检测出可能包含危险数据的HTML对象。例如,HTML对象:〈iframe src=http://*******.com/bbb.htmwidth=0height=0〉〈/iframe〉为iframe对象(相当于引用标签),而且其中的参数width和height(相当于引用标签包含的属性值,该属性值中的显示尺度属性值包括标签显示高度属性值、标签显示宽度属性值)都被设置为0,该对象就非常有可能是包含危险数据的对象(相当于解析出文件中包含引用标签,将引用标签包含的属性值与预置的恶意文件判定模型进行匹配)。
因此,对象特征库中可以包括display属性为none(display,width和height属性相当于引用标签属性值中的显示尺度属性值,“display属性为none”相当于将引用标签包含的标签显示尺度属性值与某个值进行比较,此时标签显示尺度属性值等于该设定值),或者width和height属性小于一定值的iframe对象(相当于将引用标签包含的标签显示尺度属性值与某个值进行比较,此时标签显示尺度属性值小于该设定值)作为其项目之一。当网页内容中的某个对象与该项目相匹配时,就认定该网页对象属于可能包含危险数据的HTML对象(相当于若匹配成功,则确定文件为疑似恶意文件,即确定引用标签包含的属性值与恶意文件判定模型匹配成功)。
如果检测出一个或多个可能包含危险数据的HTML对象,则对于这些HTML对象中的每个,判断该HTML对象是直接还是间接可能包含危险数据的对象。若判断出该HTML对象为间接可能包含危险数据的对象,则对该HTML对象进一步处理以获得直接可能包含危险数据的对象。提取获得的直接可能包含危险数据的对象的对象内容,对该对象内容进行处理以确定该对象内容是否包含危险数据,可以通过根据危险数据特征库中所包含的危险数据特定特征来对对象内容进行特征匹配,从而进行内容分析,以确定该对象内容是否包含危险数据。
这种构造特定对象执行引擎来模拟执行对象内容,并通过监控对象内容执行期间的异常行为来确定该对象内容是否包括危险数据的方式同样适用于其他对象内容,如Adobe Flash对象等(相当于文件为Flash文件)。
权利要求1与对比文件1相比,其区别技术特征在于:(1)若匹配成功,还可以直接确定文件为恶意文件;而对比文件1是进一步基于危险数据特征库,对可能包含危险数据的对象进行检测和判断,来确定对象内容是否包含危险数据的;(2)所述引用标签的属性值包含的是源地址属性值和标签显示尺度属性值;标签显示尺度属性值所包含的除了标签显示高度属性值、标签显示宽度属性值之外,还可以为标签显示面积属性值,且这些属性值是“或”的关系;所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值;将引用标签的属性值与预置的恶意文件判定模型匹配包括:将获得的引用标签包含的源地址属性值对应域名的信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,并将标签显示尺度属性值与恶意文件判定模型包含的标签显示尺度属性值阈值比较,若信任度小于或等于域名信任度阈值,和,若标签显示尺度属性值小于或等于标签显示尺度属性值阈值,则确定引用标签包含的属性值与恶意文件判定模型匹配成功;(3)确定所述文件为恶意文件或疑似恶意文件,包括:获取所述文件的风险等级;根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件;所述获取所述文件的风险等级,包括:当所述高度属性值和/或所述宽度属性值小于或等于第一阈值时,采用如下方式计算所述风险等级:T=T a1;其中,所述T表示所述风险等级,a1表示第一预设等级;所述根据风险等级的取值范围来确定所述文件的安全状态为所述恶意文件或所述疑似恶意文件,包括:当所述T等于所述a1时,确定所述文件的安全状态为所述疑似恶意文件;当所述T等于2*a1时,确定所述文件的安全状态为所述恶意文件。基于上述区别技术特征可以确定,权利要求1实际解决的技术问题为如何更高效的确定恶意文件,并如何利用引用标签的属性来更准确的判断是否为恶意文件,以及如何让用户更准确的得知文件中是否存在恶意病毒。
对于区别技术特征1),在基于标签属性信息和预设的判定模型比较来判断是否为恶意文件时,如果标签的属性信息能够和判定模型中的信息匹配成功,此时就已经说明包含该标签属性信息的文件极有可能是恶意文件,因此,为了提高对这类恶意文件的检测效率,基于上述匹配成功的结果来直接将包含这类标签属性信息的文件确定为恶意文件,从而保证对恶意文件查找的高效性,减少不必要的冗余操作,这是本领域技术人员在高效率的进行恶意文件检测时的常用技术手段。
对于区别技术特征2),对比文件3公开了一种用于检测并补救误导超链接的方法(参见说明书第5-8页,图1-2):识别超链接、超链接内的URL以及URL内的域名,然后给所识别的域名分配页面等级参数(即对比文件3公开了一个域名列表,该列表中包括公知和高页面等级的域名,例如www.ibm.com等,还有一些“公知”的已经被识别为欺骗性的或误导的域名,被分配了不受欢迎页面等级参数,将识别的域名与域名列表匹配获得页面等级参数。可见,域名列表相当于预置的恶意文件判定模型,页面等级参数相当于信任度,对超链接内的URL的分析相当于对源地址属性值进行分析)。如果该页面等级参数不高于阈值(即源地址属性值对应域名的信任度小于等于域名信任度阈值),则进一步判断该超链接是否是误导的,如果是误导的,则对用户进行警告或废除该超链接(即确定引用标签包含的源地址属性是恶意的,相当于与恶意文件判定模型匹配成功)。
即对比文件3公开了判断包含URL信息的页面等级参数小于等于阈值时,通过判断和URL信息相关的超链接是否是误导的来提醒用户废除该超链接的方案,在对比文件3中所起的作用和在本申请中相同,都是基于对源地址属性信息和阈值的比较判断来确定某个特定对象的源地址属性相关信息中是否包含恶意信息,即对比文件3给出了与对比文件1结合的启示。由于对flash文件进行检测时,在对flash文件的属性信息进行判断分析时,也需要结合其源地址属性等相关信息来判断其中是否包含恶意信息,即:对于flash文件的检测同样需要基于对包含源地址信息等相关属性信息的检测,来进一步进行分析判断。在对比文件3的基础上,本领域技术人员容易想到对对比文件1进行改进,通过多种方式利用标签的不同属性信息(标签显示尺度属性信息、源地址属性信息等等)及其组合,并通过和预先设定的阈值进行比较判断,来确定包含该标签信息的文件为恶意文件的可能性大小。同时,为了使得所利用的标签属性信息更为精简,本领域技术人员容易想到使用更少的标签参数来对相应的标签属性信息进行描述(例如仅仅使用标签显示面积属性信息来描述标签显示尺度属性信息),使得对于标签属性信息的利用既全面,又高效。
对于区别技术特征3),为了让用户对于文件的恶意程度能够有更为直观的了解,通过量化的方式对文件的恶意程度进行反映是本领域常用的方式,在对文件的恶意程度进行量化描述时,本领域技术人员常常会基于对风险等级的多种因素的考量,来衡量一个文件的恶意程度,例如:风险等级越高则文件的恶意程度越大,风险等级越低则文件的恶意程度越小,如果风险等级既不是太高也不是太低则文件可能为疑似恶意文件。同时,在对文件的风险等级进行量化描述时,也常常会设置多个阈值,通过将预判的风险等级量化描述结果和阈值进行比较,来方便而快速的确定文件所处的恶意程度的严重性,从而让用户能够方便的根据判断结果对文件进行后续的相关处理操作,提高识别和处理效率。因此,基于风险等级的划分,来更为准确的判断文件是否安全,对文件的安全程度进行量化,让用户能够从数量上判断文件是安全的,还是不安全的,还是疑似病毒的,从而能够更为准确的作出相应的处理,这是本领域基于对风险系数量化来确定文件是否存在恶意病毒时的常用方式。
综上所述,本领域技术人员将对比文件1、3和本领域的常用技术手段相结合从而得到权利要求1请求保护的技术方案是显而易见的,因此,权利要求1不具有突出的实质性特点,不具备专利法第22条第3款规定的创造性。
2、权利要求2引用权利要求1,对比文件2公开了一种flash恶意文件检测方法(参见说明书第[0003],[0052]-[0066]段):目前,针对flash文件常见的一种杀毒方法为计算flash文件唯一的MD5哈希值,然后与预先收集的包含恶意文件的flash文件的MD5哈希值进行比较,如果能够匹配上,则说明该flash文件为恶意文件,不能匹配,则说明该flash文件为正常文件。对比文件2公开了一种flash恶意文件检测方法,包括:对flash文件进行解析,提取其中的虚拟机字节码,虚拟机字节码为flash文件里面的ActionScript字节码;将虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计虚拟机字节码出现的次数,若次数超过阈值,则确定flash文件为恶意文件。
即对比文件2公开了基于哈希值比较,或者基于虚拟机字节码与特征字节码的比较来判断flash文件是否为恶意文件的方案,作用在对比文件2中和在本申请中相同,都是基于对哈希值或者特征字符码的比较和判断来检测flash恶意文件,对比文件2给出了与对比文件1和3结合的启示。
进一步的,由于对比文件1已经公开了基于解析文件的引用标签,并将引用标签的属性值信息和预设信息进行匹配,来判断是否为恶意文件的技术方案,本领域技术人员容易想到当解析文件不含有引用标签或引用标签包含的属性值与预置的恶意文件判定模型匹配失败时,为了同样能够实现对于恶意文件的检测和判断,通过使用对比文件2所公开的“通过比较哈希值或基于对特征字符串与特征字符库中的字符串进行比较的方式”来检测文件中是否包含恶意代码。
综上所述,本领域技术人员将对比文件1、3、2和本领域的常用技术手段相结合从而得到权利要求2请求保护的技术方案是显而易见的,在其引用的权利要求不具备创造性的情况下,权利要求2也不具备专利法第22条第3款规定的创造性。
3、权利要求3-4请求保护一种用户终端,其是与权利要求1-2的方法权利要求相对应的产品权利要求,基于与方法权利要求相同的理由,权利要求3-4也不具备专利法第22条第3款规定的创造性。
(II)对复审请求人相关意见的评述
合议组认为:虽然对比文件1没有公开文件的风险等级的具体计算方式,然而,为了让用户对于文件的恶意程度能够有更为直观的了解,通过量化的方式对文件的恶意程度进行反映是本领域常用的方式,在对文件的恶意程度进行量化描述时,本领域技术人员常常会基于对风险等级的多种因素进行考量,来衡量一个文件的恶意程度,例如:风险等级越高则文件的恶意程度越大,风险等级越低则文件的恶意程度越小,如果风险等级既不是太高也不是太低则文件可能为疑似恶意文件。同时,在对文件的风险等级进行量化描述时,也常常会设置多个阈值,通过将预判的风险等级量化描述结果和阈值进行比较,来方便而快速的确定文件所处的恶意程度的严重性,从而让用户能够方便的根据判断结果对文件进行后续的相关处理操作,提高识别和处理效率。因此,基于风险等级的划分,来更为准确的判断文件是否安全,对文件的安全程度进行量化,让用户能够从数量上判断文件是安全的,还是不安全的,还是疑似病毒的,从而能够更为准确地作出相应的处理,这是本领域基于对风险系数量化来确定文件是否存在恶意病毒时的常用方式。
因此,复审请求人所陈述的上述意见,合议组不予支持。
三、决定
维持国家知识产权局于2017年09月05日对本申请作出的驳回决定。
如对本复审请求审查决定不服,根据专利法第41条第2款的规定,复审请求人可以自收到本决定之日起三个月内向北京知识产权法院起诉。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
   
验证码: