• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 19
    • 下载费用:30 金币  

    助赢重庆时时彩网页: 检测恶意文件的方法和设备.pdf

    关 键 词:
    检测 恶意 文件 方法 设备
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201210486966.1

    申请日:

    2012.11.26

    公开号:

    CN103839004A

    公开日:

    2014.06.04

    当前法律状态:

    实审

    有效性:

    审中

    法律详情: 实质审查的生效IPC(主分类):G06F 21/56申请日:20121126|||公开
    IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
    申请人: 腾讯科技(深圳)有限公司
    发明人: 刘健; 张辉; 邵付东
    地址: 518031 广东省深圳市福田区振兴路赛格科技园2栋东403室
    优先权:
    专利代理机构: 深圳市深佳知识产权代理事务所(普通合伙) 44285 代理人: 唐华明
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201210486966.1

    授权公告号:

    |||

    法律状态公告日:

    2015.04.29|||2014.06.04

    法律状态类型:

    实质审查的生效|||公开

    摘要

    本发明实施例公开了一种检测恶意文件的方法和设备。其中检测恶意文件的方法包括:获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。本发明实施例方案有利于提高恶意文件检测的灵活性、准确性和方案可行性。

    权利要求书

    权利要求书
    1.  一种检测恶意文件的方法,其特征在于,包括:
    获取待检测的文件;
    若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑似恶意文件。

    2.  根据权利要求1所述的方法,其特征在于,
    所述引用标签包含标签显示尺度属性值,
    所述恶意文件判定模型包含标签显示尺度属性值阈值;
    所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
    将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,则确定所述引用标签包含的标签显示尺度属性值与所述恶意文件判定模型匹配成功。

    3.  根据权利要求1所述的方法,其特征在于,
    所述引用标签包含源地址属性值,
    所述恶意文件判定模型包含域名信任度阈值;
    所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
    获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功。

    4.  根据权利要求1所述的方法,其特征在于,
    所述引用标签包含标签显示尺度属性值和源地址属性值,
    所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
    所述将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配包括:
    将所述引用标签包含的标签显示尺度属性值,与所述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。

    5.  根据权利要求1至4任一项所述的方法,其特征在于,
    所述方法还包括:若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
    或者,
    若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
    或者,
    若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
    或者,
    若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。

    6.  根据权利要求1至4任一项所述的方法,其特征在于,
    所述文件为动画文件。

    7.  一种用户终端,其特征在于,包括:
    获取单元,用于获取待检测的文件;
    匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配;
    确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件。

    8.  根据权利要求7所述的用户终端,其特征在于,
    所述引用标签包含标签显示尺度属性值,
    所述恶意文件判定模型包含标签显示尺度属性值阈值,
    所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,则确定所述引用标签包含的标签显示尺度属性值与所述恶意文件判定模型匹配成功。
    或者,
    所述引用标签包含源地址属性值,
    所述恶意文件判定模型包含域名信任度阈值,
    所述匹配单元具体用于,获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与所述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的源地址属性值与所述恶意文件判定模型匹配成功。

    9.  根据权利要求7所述的用户终端,其特征在于,
    所述引用标签包含标签显示尺度属性值和源地址属性值,
    所述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,
    所述匹配单元具体用于,将所述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得所述引用标签包含的源地址属性值所对应域名的信任度,将获得的所述信任度与 所述恶意文件判定模型包含的域名信任度阈值进行比较,若所述标签显示尺度属性值小于或等于所述标签显示尺度属性值阈值,和/或,若所述信任度小于或等于所述恶意文件判定模型包含的域名信任度阈值,则确定所述引用标签包含的属性值与所述恶意文件判定模型匹配成功。

    10.  根据权利要求7至9任一项所述的用户终端,其特征在于,
    所述确定单元还用于,若解析出所述文件中不包含引用标签,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
    或者,
    若解析出所述文件中不包含引用标签,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件;
    或者,
    若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出所述文件的第一哈希值,将所述第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若所述第一哈希值与所述至少1个恶意文件的哈希值的其中1个相同,则确定所述文件为恶意文件;
    或者,
    若所述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取所述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出所述第一特征字符串与所述恶意文件特征字符库中的第二特征字符串相同,则确定所述文件为恶意文件。

    说明书

    说明书检测恶意文件的方法和设备
    技术领域
    本发明涉及网络安全技术领域,具体涉及检测恶意文件的方法和设备。
    背景技术
    随着互联网技术的发展,动画(Flash)文件等广泛应用于创建网络上多媒体应用程序,包括丰富的视频、声音、图形和动画等。目前,绝大多数浏览器都内置或者支持安装Flash文件播放插件(例如Adobe Flash Player),用于播放网页上的Flash文件。其中,恶意Flash文件可能携带恶意链接,因此运行恶意Flash文件可能影响数据和系统安全。
    目前,针对Flash文件常见的检测方法是计算Flash文件的Hash值,然后将其与预先收集的恶意Flash文件的Hash值进行比较,如果匹配上,则判定该Flash文件为恶意文件;否则,认为该Flash文件是安全的。
    本发明的发明人研究和实践发现,现有技术至少存在以下技术问题:
    由于文件(例如Flash文件)的Hash值具有唯一性,黑客只需每次在生成恶意文件时随机的插入一些的无效代码,即可批量生成Hash值截然不同的恶意文件,从而绕过基于文件Hash值的检测机制?;蛘?,即使检测系统可以持续补充恶意文件的Hash值,但是由于理论上黑客可以生成无数多个Hash值不同的恶意文件,因此,现有机制也可能会造成检测系统收集到的恶意文件Hash值越来越多而难于管理维护,降低了方案可行性。
    发明内容
    本发明实施例提供检测恶意文件的方法和设备,以期提高恶意文件检测的灵活性、准确性和方案可行性。
    本发明实施例一方面提供一种检测恶意文件的方法,可包括:
    获取待检测的文件;
    若解析出所述文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定所述文件为恶意文件或疑 似恶意文件。
    本发明实施例另一方面提供一种用户终端,可包括:
    获取单元,用于获取待检测的文件;
    匹配单元,若解析出所述获取单元获取的文件中包含引用标签,将所述引用标签包含的属性值与预置的恶意文件判定模型进行匹配;
    确定单元,用于若所述匹配单元匹配成功,则确定所述文件为恶意文件或疑似恶意文件。
    由上可见,本发明实施例提供的检测恶意文件方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,来判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此,这相对现有技术利用文件Hash值判定而言就有利于提升检测的灵活性和可靠性,并且也并不一定需要依赖海量Hash值的维护,可行性更高。
    附图说明
    为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
    图1是本发明实施例提供一种检测恶意文件的方法的流程示意图;
    图2是本发明实施例提供另一种检测恶意文件的方法的流程示意图;
    图3是本发明实施例提供的一种用户终端的示意图;
    图4是本发明实施例提供的另一种用户终端的示意图;
    图5是本发明实施例提供的一种安全防护系统的示意图。
    具体实施方式
    本发明实施例提供一种检测恶意文件的方法和设备,以期提高恶意文件检 测的灵活性、准确性和方案可行性。
    为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例?;诒痉⒚髦械氖凳├?,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明?;さ姆段?。
    以下分别进行详细说明。
    本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
    本发明检测恶意文件的方法的一个实施例,该方法可包括:获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
    首先参见图1,图1是本发明实施例提供的一种检测恶意文件的方法的流程示意图。如图1所示,本发明实施例提供的一种检测恶意文件的方法可包括以下内容:
    101、获取待检测的文件。
    在本发明的一些实施例中,获取的待检测文件可以是Flash文件或其它类型的可运行文件。其中,可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如,当用户终端从某网站服务器下载网页进行浏览时,用户终端将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash 文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
    102、若解析出上述文件中包含引用标签,将上述引用标签包含的属性值与预置的恶意文件判定模型进行匹配。
    在本发明一些实施例中,可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
    举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。其中,上述标签显示尺度属性值例如包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
    又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
    又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,则将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可以包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值 小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
    103、若引用标签包含的属性值与恶意文件判定模型匹配成功,则确定上述文件为恶意文件或疑似恶意文件。
    在本发明一些实施例中,若解析出上述文件中不包含引用标签,则还可进一步计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则还可提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则还可进一步计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,还可进一步提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等 等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则不可播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
    可以看出,本实施例检测恶意文件的方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    为便于更好的理解和实施本发明实施例的上述方面,下面通过举例应用场景进行进一步介绍。下面主要以检测Flash文件为例,其它类型文件的检测可以此类推。
    请参见图2,图2是本发明实施例提供的另一种检测恶意文件的方法的流程示意图。如图2所示,本发明实施例提供的另一种检测恶意文件的方法可包括以下内容:
    201、用户终端获取待检测的Flash文件f1。
    在本发明的一些实施例中,例如,当用户终端从某网站服务器下载网页进行浏览时,用户终端将下载网页需引用的Flash文件f1来运行,例如在下载到网页需引用的Flash文件f1后,为提高Flash文件f1运行的安全性,可先检测该Flash文件f1是否为恶意Flash文件,若检测出其不是恶意Flash文件,则再通过播放器播放。
    202、用户终端解析获得的Flash文件f1;
    其中,若解析出Flash文件f1中包含iframe标签,则执行步骤203;
    若解析出Flash文件f1中不包含iframe标签,则执行步骤209。
    203、用户终端设置Flash文件f1的风险等级T=0,即初始风险等级设为0;
    204、用户终端判断Flash文件f1中的iframe标签包含的width属性值和/或 height属性值,是否小于或等于阈值S1,其中,阈值S1可根据实际场景的需要具体设置,例如阈值S1可以人眼不宜识别的最大像素为宜,例如,阈值S1的取值范围可为0~10个像素,例如等于5个像素。
    若width属性值和/或height属性值大于阈值S1,执行步骤206;
    若width属性值和/或height属性值小于或等于阈值S1,执行步骤205。
    205、T=T+a1;
    206、用户终端获得iframe标签包含的src属性值所对应域名的信任度,并判断获得的信任度是否小于或等于域名信任度阈值S2;其中,域名信任度越大则表示越可信。其中,阈值S2可根据实际需要具体设置,假设域名信任度最高位10,最低为0,则域名信任度阈值S2取值范围可为5~10,当S2亦可取值能满足安全需要的其它值。
    若获得的信任度小于或等于域名信任度阈值S2,执行步骤208;
    若获得的信任度大于域名信任度阈值S2,执行步骤207。
    207、T=T+a2;
    208、用户终端根据风险等级T的取值范围来标记Flash文件f1的安全状态。
    举例来说,假设a1和a2相等,当风险等级T等于a1时,可标记Flash文件f1为疑似恶意文件,执行步骤209;当风险等级T等于2*a1时可标记Flash文件f1为恶意文件;当风险等级T等于0时执行步骤209。
    又假设,假设a2大于a1,当风险等级T等于0时执行步骤209;当风险等级T等于a1时标记Flash文件f1为疑似恶意文件,执行步骤209;当T大于a1时标记Flash文件f1为恶意文件。
    209、用户终端提取Flash文件f1包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定Flash文件f1为恶意文件,若第一特征字符串与上述恶意文件特征字符库中的任何特征字符串均不相同,则确定Flash文件f1为正常文件?;蛘?,用户终端计算出Flash文件f1的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比 较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定Flash文件f1为恶意文件,若第一哈希值与上述至少1个恶意文件的哈希值中的任何1个均不相同,则确定Flash文件f1为正常文件。
    其中,步骤209用户终端也可通过现有的其它检测方式进行检测。
    其中,对于正常Flash文件,可播放,对于检测出的恶意Flash文件,可隔离或直接删除。
    研究发现,由于Adobe Flash Player拥有庞大的安装量,用户基数大,利用Adobe Flash Player软件本身漏洞传播木马病毒开始受到黑客们的青睐。通过在Flash文件中嵌入恶意木马链接,当用户终端播放这些Flash文件时,就可能自动下载和执行木马、病毒等恶意程序,导致用户终端(如手机、计算机等)的软件系统被感染,从而威胁到系统和信息安全。
    可以理解的是,上述场景仅为举例,在实际应用中,可根据场景不同进行适应性变化方式。
    可以看出,本实施例检测恶意文件的方案中,若解析出获取的待检测的Flash文件中包含iframe标签,则将该iframe标签包含的width属性值、height属性值、src属性值所对应域名的信任度等于设定阈值进行比较,根据比较结构确定该文件为恶意文件或疑似恶意文件。由于是根据文件中所包含iframe标签中的width属性值、height属性值、src属性值所对应域名的信任度,来判定其是否为恶意文件或疑似恶意文件,而研究发现iframe标签中的属性值不会被任意设置,iframe标签中的属性值具有很强的标识作用,因此,这相对现有技术直接利用Flash文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    为便于更好的实施本发明实施例的上述方案,下面还提供用于实施方式方案的相关装置。
    参见图3,本发明还提供一种用户终端300,可包括:
    获取单元310、匹配单元320和确定单元330。
    其中,获取单元310,用于获取待检测的文件。
    在本发明的一些实施例中,获取单元310获取的待检测文件可以是Flash文 件或其它类型的可运行文件。其中,获取单元310可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如,当用户终端300从某网站服务器下载网页进行浏览时,用户终端300将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
    匹配单元320,若解析出获取单元310获取的文件中包含引用标签,将上述引用标签包含的属性值与预置的恶意文件判定模型进行匹配。
    确定单元330,用于若匹配单元320匹配成功,则确定上述文件为恶意文件或疑似恶意文件。
    在本发明一些实施例中,匹配单元320可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
    在本发明的一些实施例中,上述引用标签包含标签显示尺度属性值,
    上述恶意文件判定模型包含标签显示尺度属性值阈值,
    匹配单元320可具体用于,将上述引用标签包含的标签显示尺度属性值,与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
    在本发明的另一些实施例中,上述引用标签包含源地址属性值,上述恶意文件判定模型包含域名信任度阈值,匹配单元320可具体用于,获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。
    在本发明的又一些实施例中,上述引用标签包含标签显示尺度属性值和源地址属性值,上述恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,匹配单元320可具体用于,将上述引用标签包含的标签显示尺度属性 值与预置的恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
    在本发明的一些实施例中,确定单元330还用于,若解析出上述文件中不包含引用标签,则计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个相同,则确定上述文件为恶意文件;
    在本发明的又一些实施例中,确定单元330还用于,若解析出上述文件中不包含引用标签,则提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件;
    在本发明的另一些实施例中,确定单元330还用于,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个相同,则确定上述文件为恶意文件;
    在本发明的再一些实施例中,确定单元330还用于,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等 等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则可不播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
    可以理解的是,本实施例的用户终端300的各功能??榈墓δ芸筛萆鲜龇椒ㄊ凳├械姆椒ň咛迨迪?,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
    其中,用户终端300例如可是手机、计算机等。
    可以看出,本实施例用户终端300检测恶意文件时,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    参见图4,本发明还提供一种用户终端400,可包括:
    处理器410、存储器420、输入装置430和输出装置440。用户终端400中的处理器410的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器410、存储器420、输入装置430和输出装置440可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
    其中,处理器410执行如下步骤:
    获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
    在本发明的一些实施例中,处理器410获取的待检测文件可以是Flash文件或其它类型的可运行文件。其中,处理器410可从网络服务器或本地获取的待检测的文件,在该文件未运行之前检测其是否为恶意文件。例如当用户终端400从某网站服务器下载网页进行浏览时,用户终端400将下载网页需引用的页面 文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,处理器410可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
    在本发明一些实施例中,处理器410可将引用标签包含1个或多个属性值与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
    举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
    其中,上述标签显示尺度属性值例如可包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
    又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
    又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,则处理器410将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信 任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
    在本发明一些实施例中,若解析出上述文件中不包含引用标签,则处理器410还可进一步执行如下步骤:
    计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则处理器410还可进一步如下步骤:可提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则处理器410还可进一步执行如下步骤:
    计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,还处理器410还可进一步执行如下步骤:
    可进一步提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为 内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则处理器410可不播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则处理器410再播放该Flash文件。
    可以理解的是,本实施例的用户终端400的各功能??榈墓δ芸筛萆鲜龇椒ㄊ凳├械姆椒ň咛迨迪?,其具体实现过程可以参照上述方法实施例的相关描述,此处不再赘述。
    其中,用户终端400例如可是手机、计算机等。
    可以看出,本实施例用户终端400检测恶意文件时,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    参见图5,本发明实施例还提供的一种安全防护系统,可包括:
    用户终端510和服务器520。
    其中,用户终端510,用于从服务器520获取待检测的文件;若解析出该文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功,则确定该文件为恶意文件或疑似恶意文件。
    在本发明的一些实施例中,用户终端510获取的待检测文件可以是Flash文件或其它类型的可运行文件。例如,当用户终端510从某网站服务器下载网页进行浏览时,用户终端510将下载网页需引用的页面文件(例如Flash文件等等资源文件)运行,例如在下载到网页需引用的Flash文件后,可先检测该Flash文件是否为恶意文件,若不是恶意文件则再通过播放器播放。
    在本发明一些实施例中,用户终端510可将引用标签包含1个或多个属性值 与预置的恶意文件判定模型进行匹配。而在实际应用中,具体的匹配方式也可以是多种多样的。
    举例来说,若引用标签包含标签显示尺度属性值,恶意文件判定模型包含标签显示尺度属性值阈值;则用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配,可包括:将引用标签包含的标签显示尺度属性值,与恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较,若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,则可确定上述引用标签包含的标签显示尺度属性值与上述恶意文件判定模型匹配成功。
    其中,上述标签显示尺度属性值例如包括如下尺度属性值中的一个或多个:标签显示高度(height)属性值、标签显示宽度(widht)属性值和标签显示面积属性值。
    又举例来说,若引用标签包含源地址属性值,恶意文件判定模型包含域名信任度阈值;则用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:获得引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较,若获得的上述信任度小于或等于上述域名信任度阈值,则可确定上述引用标签包含的源地址属性值与上述恶意文件判定模型匹配成功。其中,域名信任度越大表示越可信。
    又举例来说,若引用标签包含标签显示尺度属性值和源地址属性值,恶意文件判定模型包含域名信任度阈值和标签显示尺度属性值阈值,用户终端510将引用标签包含的属性值与预置的恶意文件判定模型进行匹配可包括:将上述引用标签包含的标签显示尺度属性值,与上述恶意文件判定模型所包含的标签显示尺度属性值阈值进行比较;获得上述引用标签包含的源地址属性值所对应域名的信任度,将获得的上述信任度与上述恶意文件判定模型包含的域名信任度阈值进行比较(其中,域名信任度越大表示越可信),若上述标签显示尺度属性值小于或等于上述标签显示尺度属性值阈值,和/或,若上述信任度小于或等于上述恶意文件判定模型包含的域名信任度阈值,则可确定上述引用标签包含的属性值与上述恶意文件判定模型匹配成功。
    在本发明一些实施例中,若解析出上述文件中不包含引用标签,则用户终端510还可进一步用于,计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明的另一些实施例中,若解析出上述文件中不包含引用标签,则用户终端510还可进一步用于,提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    在本发明的一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,则用户终端510还可进一步用于,计算出上述文件的第一哈希值,将第一哈希值与存储的至少1个恶意文件的哈希值进行比较,若第一哈希值与上述至少1个恶意文件的哈希值的其中1个(如第二哈希值)相同,则确定上述文件为恶意文件。
    在本发明另一些实施例中,若上述引用标签包含的属性值与预置的恶意文件判定模型匹配失败,用户终端510还可进一步用于,提取上述文件包含的第一特征字符串,将提取的第一特征字符串与恶意文件特征字符库中的特征字符串(其中,恶意文件特征字符库中可包括若干条恶意文件具有的特征字符串)进行匹配,若匹配出第一特征字符串与上述恶意文件特征字符库中的第二特征字符串相同,则确定上述文件为恶意文件。
    其中,若检测的文件为Flash文件,则Flash文件包含的引用标签例如可为内嵌页标签(iframe标签),其中,iframe标签可包括:源地址属性值(如src属性值)、标签显示高度(height)属性值和标签显示宽度(widht)属性值等等。其中,若检测出获取的Flash文件为恶意文件或疑似恶意文件,则不可播放Flash文件而将其隔离或删除,若检测出获取的Flash文件为正常文件,则再播放该Flash文件。
    其中,用户终端510例如可是手机、计算机等。
    可以看出,本实施例安全防护系统中,用户终端510从服务器520获取待检测的文件,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时包括上述方法实施例中记载的检测恶意文件的方法的部分或全部步骤。
    需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和??椴⒉灰欢ㄊ潜痉⒚魉匦氲?。
    在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
    综上,本发明实施例检测恶意文件的方案中,若解析出获取的待检测的文件中包含引用标签,将该引用标签包含的属性值与预置的恶意文件判定模型进行匹配,若匹配成功则确定该文件为恶意文件或疑似恶意文件。由于是根据文件中包含引用标签中的属性值,判定其是否为恶意文件或疑似恶意文件,而发明人研究发现引用标签中的属性值不会被任意设置,引用标签中的属性值具有很强的标识作用,因此这相对现有技术利用文件Hash值判定而言,有利于提升检测的灵活性和可靠性,且也并不一定需依赖海量Hash值的维护,使得方案的可行性更高。
    进一步的,发明人研究发现,标签显示尺度属性值和/或源地址属性值能够在很大程度上区分恶意文件和正常文件,因此选择标签显示尺度属性值和/或源地址属性值等进行匹配判定,有利于进一步提升检测的可靠性。
    进一步的,将不同检测方式结合使用,有利于满足不同应用场景下的安全需求。
    在本申请所提供的几个实施例中,应该理解到,所揭露的装置,可通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
    所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上??梢愿菔导实男枰≡衿渲械牟糠只蛘呷康ピ词迪直臼凳├桨傅哪康?。
    另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
    所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中?;谡庋睦斫?,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
    以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理 解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

    关于本文
    本文标题:检测恶意文件的方法和设备.pdf
    链接地址://www.4mum.com.cn/p-6147377.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 每天计划 分分彩二星包胆聪明玩法 好运来江苏计划软件 pk10蜂巢团队计划官网 七乐彩走势图近100期 融资计划表 时时彩每天稳赚一千 北京pk赛车开奖app 内蒙古时时五星开奖走势图 后三不定位包胆技巧 极速16全包稳赚法 正规时时彩官网 打老虎机 pk10软件计划安卓版 两面盘彩票平台 七乐彩最精准专家计划