专利名称:未知文件处理方法与装置的制作方法
技术领域:
本申请涉及计算机技术领域,特别是涉及一种未知文件处理方法与装置。
背景技术:
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除、和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。目前,在使用杀毒软件进行系统防御和病毒查杀时,一方面,杀毒软件根据自身存储的病毒特征数据库中的病毒特征匹配待查杀文件,若匹配一致,则认为待查杀文件为病毒文件,进行病毒查杀处理;若匹配不一致,则认为待查杀文件为正常文件,进行放行 ’另一方面,上述查杀过程仅在本地进行。然而,对于某些可疑的未知文件,因其不属于现有杀毒软件病毒库中的病毒文件,病毒库中不具有相应的病毒特征,现有的杀毒软件将其放行,因而现有的杀毒软件无法对可疑的未知文件进行有效检测,无法进行有效的可疑未知文件防御;而本地查杀比较局限,无法使用查杀结果影响其它机器的病毒查杀。
发明内容
鉴于上述现有杀毒软件无法对未知文件进行有效检测和防御,且查杀结果影响受限的问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的未知文件处理方法与装置。依据本发明的一个方面,提供了一种未知文件处理方法,包括企业内网控制服务器从终端获取待检测文件的文件特征,其中,待检测文件为终端中新增加的文件和/或进行了修改的文件,所述终端中新增加的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的新文件;所述进行了修改的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的修改后的文件;控制服务器判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;若待检测文件的文件特征与正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配,则控制服务器确定待检测文件为未知文件;控制服务器向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;控制服务器接收并收集终端上传的未知文件的文件信息。可选地,待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值;在企业内网控制服务器从终端获取待检测文件的文件特征的步骤之前,还包括控制服务器获取正常可执行文件的文件内容和病毒文件的文件内容;分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值;将正常可执行文件的MD5值保存为正常可执行文件的文件特征,将病毒文件的MD5值保存为病毒文件的文件特征。可选地,控制服务器从终端获取待检测文件的文件特征的步骤包括控制服务器接收终端使用HTTP协议封装的待检测文件的MD5值。可选地,控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括控制服务器接收并收集终端通过终端后台直接上传的未知文件的文件信息,其中,未知文件的文件信息使用HTTP协议封装。可选地,在控制服务器接收并收集终端上传的未知文件的文件信息的步骤之后,还包括控制服务器对未知文件的文件信息进行分析,确定未知文件是否为安全文件;若确定未知文件不为安全文件,则记录未知文件的MD5值,禁止未知文件运行。可选地,控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括控制服务器接收并收集终端上传的未知文件的MD5值,以及以下信息至少之一未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。根据本发明的另一方面,提供了一种未知文件处理装置,设置于企业内网的控制服务器端,该文件信息收集装置包括获取模块,用于从企业内网的终端获取待检测文件的文件特征,其中,待检测文件为终端中新增加的文件和/或进行了修改的文件,终端中新增加的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的新文件;进行了修改的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的修改后的文件;判断模块,用于判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块,用于若判断模块判断待检测文件的文件特征与正常可执行文件的文件特征和病毒文件的文件特征均不匹配,则确定待检测文件为未知文件;收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;接收并收集终端上传的未知文件的文件信息。可选地,待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值;该文件信息收集装置还包括保存模块,用于在获取模块从企业内网的终端获取待检测文件的文件特征之前,获取正常可执行文件的文件内容和病毒文件的文件内容;分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值;将正常可执行文件的MD5值保存为正常可执行文件的文件特征,将病毒文件的MD5值保存为病毒文件的文件特征。可选地,获取模块,用于从企业内网的终端获取终端使用HTTP协议封装的待检测文件的MD5值。可选地,收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;以及,接收并收集终端通过终端后台直接上传的未知文件的文件信息,其中,未知文件的文件信息使用HTTP协议封装。可选地,还包括分析模块,用于在收集模块接收并收集终端上传的未知文件的文件信息之后,对未知文件的文件信息进行分析,确定未知文件是否为安全文件;若确定未知文件不为安全文件,则记录未知文件的MD5值,禁止未知文件运行。可选地,收集模块收集的未知文件的文件信息包括未知文件的MD5值,以及以下信息至少之一未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。根据本发明的未知文件处理方案,在企业内网的控制服务器端除了保存有病毒文件的文件特征(即病毒特征)外,还同时保存有正常可执行文件的文件特征,通过这些文件特征,当企业内网的终端新增加了文件或对文件进行了修改时,可以对终端的这些待检测文件进行检测,当终端上报的待检测文件的文件特征与控制服务器中保存的这些文件特征均不匹配时,则说明终端的待检测文件为未知文件,此时,通知终端并要求终端上报待检测文件的文件信息,控制服务器通过终端上报的内容收集该未知文件的文件信息,以便进行后续其它终端未知文件的识别和判定。未知文件有可能是正常文件,但更可能是对系统具有危害的文件(如变形的病毒文件等),若按照现有方案不对未知文件信息加以收集进而进行未知文件控制,则可能导致危害系统及用户的后果;而通过本发明的方案,通过对未知文件的文件信息的收集,可以了解未知文件情况,进而判定未知文件的性质,及时管理和防御,可以大大提高整个系统中所有终端的安全性,降低系统安全风险;并且,控制服务器端可以使用本次收集的未知文件的文件信息,对后续其它终端的待检测文件进行检测和判断,将一个终端的未知文件影响扩大到整个系统,进一步提高了系统的安全性,以及未知文件检测和处理效率。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图I是根据本发明实施例一的一种未知文件处理方法的步骤流程图;图2是根据本发明实施例二的一种未知文件处理方法的步骤流程图;图3是根据本发明实施例三的一种未知文件处理方法的步骤流程图;图4是根据本发明实施例四的一种未知文件处理装置的结构框图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。实施例一参照图1,示出了根据本发明实施例一的一种未知文件处理方法的步骤流程图。本实施例的未知文件处理方法包括以下步骤步骤S102 :企业内网的控制服务器从企业内网的终端获取待检测文件的文件特征。
其中,待检测文件为终端中新增加的文件和/或进行了修改的文件。 终端中新增加的文件可能是仅本机新增的文件,而企业内网中的其它终端中可能已有也可能均未有的新文件;也可能是对于整个企业内网来说的新文件,即,终端通过企业内网确认的、企业内网的所有终端中当前均不存在的新文件。同样,进行了修改的文件可能是修改后的文件仅限于本机的文件,而企业内网中的其它终端中可能已有也可能均未有的该修改后的文件;也可能是对于整个企业内网来说的进行了修改的文件,即,终端通过企业内网确认的、企业内网的所有终端中当前均不存在的修改后的文件。终端之间可以通过信息交互确定其它终端中是否存在相应的文件。这样,对于整个企业内网来说,大大减少了待检测文件数据和因为检测产生的信息交互量,提高了检测效率。当终端新增加了文件或进行了文件修改时,终端将该新增加文件或修改的文件的文件特征自动上报给控制服务器,触发控制服务器获取终端的待检测文件的文件特征。例如,当终端中有某个文件被修改,则触发控制服务器获取该文件进行后续的未知文件检测的文件信息收集;或者,当由第三方设备如U盘向终端复制了文件,则触发控制服务器获取该文件进行后续的未知文件检测的文件信息收集;或者,当初始终端进行系统安装时,触发控制服务器获取所有安装入终端的文件的文件特征,并进行后续的未知文件检测的文件信息收集。但不限于此,在实际应用中,本领域技术人员也可设置适当的规则,当满足设置的规则时,由终端上报或者服务器主动获取待检测文件的文件特征。文件特征是文件的特征信息,能够反映出一个文件不同于其它文件的特点,可以作为文件的唯一标识,如,通过文件信息计算的MD5值、文件的数字签名、文件的版本号、文件所属的产品名、文件所属的产品版本号、文件所属的公司名、公司版权信息、甚至整个文件等。步骤S104 :控制服务器判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配。控制服务器的文件特征数据库中同时存储有正常可执行文件的文件特征和病毒文件的文件特征(即病毒特征),存储的上述文件特征可以通过对收集到的大量文件数据进行分析提取,也可以通过其它适当方式收集存储。步骤S106 :若待检测文件的文件特征与正常可执行文件的文件特征和病毒文件的文件特征均不匹配,则控制服务器确定待检测文件为未知文件。步骤S108 :控制服务器向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息。步骤SllO :控制服务器接收并收集终端上传的未知文件的文件信息。通过本实施例,在控制服务器端除了保存有病毒文件的文件特征(即病毒特征)外,还同时保存有正常可执行文件的文件特征,,当企业内网的终端新增加了文件或对文件进行了修改时,通过这些文件特征可以对终端的这些待检测文件进行检测,当终端上报的待检测文件的文件特征与控制服务器中保存的这些文件特征均不匹配时,则说明终端的待检测文件为未知文件,此时,通知终端并要求终端上报待检测文件的文件信息,控制服务器通过终端上报的内容收集该未知文件的文件信息,以便进行后续其它终端未知文件的识别和判定。未知文件有可能是正常文件,但更可能是对系统具有危害的文件(如变形的病毒文件等),若按照现有方案不对未知文件信息加以收集进而进行未知文件控制,则可能导致危害系统及用户的后果;而通过本实施例的方案,通过对未知文件的文件信息的收集,可以了解未知文件情况,进而判定未知文件的性质,及时管理和防御,可以大大提高整个系统中所有终端的安全性,降低系统安全风险;并且,控制服务器端可以使用本次收集的未知文件的文件信息,对后续其它终端的待检测文件进行检测和判断,将一个终端的未知文件影响扩大到整个系统,进一步提高了系统的安全性,以及未知文件检测和处理效率。
需要说明的是,本发明的文件信息收集方案除可适用于企业内网场景外,也可适用于单机场景。实施例一从企业内网场景对本发明的文件信息收集方案进行了说明,下文实施例二从单机场景对本发明作以说明。实施例二参照图2,示出了根据本发明实施例二的一种未知文件处理方法的步骤流程图。本实施例以单机的本地杀毒软件为例,对本发明的文件信息收集方法作以说明。本实施例的未知文件处理方法包括以下步骤步骤S202 :企业内网终端的本地杀毒软件获取正常可执行文件的文件特征和病毒文件的文件特征,并保存至本地杀毒软件的文件特征数据库中。企业内网终端可以从企业内网的控制服务器端获取正常可执行文件的文件特征和病毒文件的文件特征,也可以是自身携带文件特征,还可以是对文件进行收集分析后生成文件特征。本实施例中,正常可执行文件的文件特征和病毒文件的文件特征都是MD5值的形式,MD5值信息量小,便于比较识别,且碰撞率低,能够有效区分各文件特征。当然,其它适当文件特征形式也同样适用,如通过Shal等安全散列算法得出的计算值。步骤S204 :本地杀毒软件获取待检测文件的文件特征。当企业内网终端新增加了文件和/或进行了文件修改,将触发本步骤。本实施例中的待检测文件为终端中新增加的文件和/或进行了修改的文件。本实施例中,待检测文件的文件特征与存储的正常可执行文件的文件特征和病毒文件的文件特征的形式一致,均为MD5值的形式。需要说明的是,在生成MD5值时,MD5的生成参数可以由本领域技术人员适当选取,如文件名、文件长度、特征词汇、文件内容等等。本实施例中,不论是待检测文件的MD5值,还是正常可执行文件的MD5值和病毒文件的MD5值均是对文件内容使用MD5算法后获得。对文件内容使用MD5算法获得MD5值,能够更有效地表示文件的文件特征。此外,文件特征的生成算法也不限于MD5算法,还可以为其它适当算法,如Shal等安全散列算法。步骤S206 :本地杀毒软件判断待检测文件的文件特征与文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配,若匹配,执行步骤S208 ;若不匹配,执行步骤S210。也即,判断待检测文件的MD5值与正常可执行文件的MD5值或病毒文件的MD5值
是否一致。步骤S208 :根据匹配结果,确定待检测文件为正常可执行文件或为病毒文件,若为正常可执行文件,则放行;若为病毒文件,则进行病毒查杀处理,结束本次流程。步骤S210 :本地杀毒软件确定待检测文件为未知文件,收集该未知文件的文件信
8
如,收集该未知文件的MD5值,以及以下信息至少之一该未知文件的数字签名、文件版本号、文件名、该未知文件所属的产品名、产品版本号、该未知文件所属的公司版权
信息等。 步骤S212 :本地杀毒软件对该未知文件的文件信息进行分析,确定该未知文件是否为安全文件;若确定该未知文件不为安全文件,则记录该未知文件的MD5值,禁止该未知文件运行;若确定该未知文件为安全文件,则放行。通过本实施例,实现了本地杀毒软件对未知文件的检测和防御,降低了本地系统的安全风险。实施例三参照图3,示出了根据本发明实施例三的一种未知文件处理方法的步骤流程图。本实施例仍为企业内网场景下的文件信息收集方案,本实施例以企业内网的控制服务器端杀毒软件为例,对本发明的文件信息收集方法作以说明。本实施例的未知文件处理方法包括以下步骤步骤S302 :企业内网的控制服务器获取正常可执行文件的文件内容和病毒文件的文件内容。步骤S304 :控制服务器分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值。步骤S306 :控制服务器将正常可执行文件的MD5值和病毒文件的MD5值保存至控制服务器的杀毒软件的文件特征数据库中,分别作为正常可执行文件的文件特征和病毒文件的文件特征。步骤S308 :企业内网的终端发现待检测文件,获得待检测文件的文件内容,对待检测文件的文件内容使用MD5算法,得到待检测文件的MD5值。其中,待检测文件为终端中新增加的文件和/或进行了修改的文件。步骤S310 :终端使用HTTP协议将待检测文件的MD5值封装成消息,向控制服务器发送。如,终端把待检测文件的MD5值作为POST的内容以HTTP协议发送请求到控制服务器。步骤S312 :控制服务器接收终端使用HTTP协议封装的消息,从消息中获取待检测文件的MD5值。步骤S314 :控制服务器判断待检测文件的MD5值与文件特征数据库中存储的正常可执行文件的MD5值和病毒文件的MD5值是否匹配,若匹配,则执行步骤S316 ;若不匹配,则执行步骤S318。步骤S316 :控制服务器根据匹配结果,确定待检测文件为正常可执行文件或为病毒文件,向终端返回待检测文件为正常可执行文件或为病毒文件的消息,结束本次流程。终端在接收到控制服务器返回的消息后,可以根据消息内容进行后续的处理,如查杀病毒或执行待检测文件等。步骤S318 :控制服务器确定待检测文件为未知文件,向终端返回待检测文件为未知文件的消息,并通知终端上传该未知文件的文件信息。步骤S320 :终端使用HTTP协议封装该未知文件的文件信息,并通过终端后台直接上传给控制服务器。如,终端上传该未知文件的MD5值,以及以下信息至少之一该未知文件的数字签名、文件版本号、文件名、该未知文件所属的产品名、产品版本号、该未知文件所属的公司版权信息等。·
本实施例中,终端把未知文件的MD5值,以及文件数字签名、文件名、文件版本号、产品名、产品版本号、公司copyright (版权信息),作为POST的内容以HTTP协议发送控制服务器。步骤S322 :控制服务器接收终端通过终端后台直接上传的未知文件的文件信息并保存,向终端返回上传成功消息。步骤S324 :控制服务器对该未知文件的文件信息进行分析,确定该未知文件是否为安全文件;若确定为安全文件,则通知终端放行该未知文件;若确定不为安全文件,则记录该未知文件的MD5值,通知终端禁止该未知文件运行。例如,终端所在电脑在使用者的主观意识下,插入U盘,向内网的终端复制了一个文件。这时候,终端便会把文件特征发往控制服务器做查询,控制服务器判断是未知文件时向终端下发上传通知,那么终端便把该文件的文件信息发往控制服务器,控制服务器将会记录该文件的文件信息,以便给管理员做参考。如,实现360私有云的功能。360私有云需要构建私有库,私有库用于控制所有内网文件的放行与禁用,通过对文件信息进行分析,可以确定是放行还是该禁止该文件。通过本实施例,实现了基于企业内网的杀毒软件终端以及控制服务器的C/S架构,终端通过HTTP协议做文件的查询,控制服务器通过查询结果,对未知文件做上传通知,终端通过下一个HTTP请求发送未知文件的文件信息。本实施例的方案可以在企业内网利用杀毒软件终端,把监控到的文件的文件特征(譬如文件的MD5值),发送到控制服务器鉴定,当控制服务器鉴定结果为不是正常文件,也不是病毒时,该文件即是未知文件,控制服务器即通知杀毒软件终端提交文件信息,提交的文件信息将会保存在控制服务器上。控制服务器能控制所有终端上传有需要的文件,也有能力通知终端主动后台扫描所有文件,并把未知文件提交控制服务器。相比传统企业级杀毒软件不管控任何未知文件,内网安全风险以及取证都要相对容易。实施例四参照图4,示出了根据本发明实施例四的一种未知文件处理装置的结构框图。本实施例的未知文件处理装置设置于企业内网的控制服务器端,该装置包括获取模块402,用于从企业内网的终端获取待检测文件的文件特征,其中,待检测文件为终端中新增加的文件和/或进行了修改的文件;判断模块404,用于判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块406,用于若判断模块404判断待检测文件的文件特征与正常可执行文件的文件特征和病毒文件的文件特征均不匹配,则确定待检测文件为未知文件;收集模块408,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;接收并收集终端上传的未知文件的文件信息。优选地,待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值;本实施例的文件信息收集装置还包括保存模块410,用于在获取模块402从终端获取待检测文件的文件特征之前,获取正常可执行文件的文件内容和病毒文件的文件内容;分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值;将正常可执行文件的MD5值保存为正常可执行文件的文件特征,将病毒文件的MD5值保存为病毒文件的文件特征。优选地,获取模块402,用于从企业内网的终端获取终端使用HTTP协议封装的待 检测文件的MD5值。优选地,收集模块408,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;以及,接收并收集终端通过终端后台直接上传的未知文件的文件信息,其中,未知文件的文件信息使用HTTP协议封装。优选地,本实施例的文件信息收集装置还包括分析模块412,用于在收集模块408收集未知文件的文件信息之后,对未知文件的文件信息进行分析,确定未知文件是否为安全文件;若确定未知文件不为安全文件,则记录未知文件的MD5值,禁止未知文件运行。优选地,收集模块408收集的未知文件的文件信息包括未知文件的MD5值,以及以下信息至少之一未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。优选地,终端中新增加的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的新文件;进行了修改的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的修改后的文件。本实施例的文件信息收集装置用于实现前述多个方法实施例中相应的控制服务器端的文件信息收集方法,并具有相应的方法实施例的有益效果,在此不再赘述。本发明提供的未知文件处理方案有效解决了现有杀毒软件无法对未知文件进行有效检测和防御的问题,实现了未知文件的检测和防御。此外,控制服务器在分布式的杀毒软件终端上传企业内所有的未知文件的机制,能实现更多基于此功能的其他应用,譬如文件的传输取证,对未知文件的自动鉴定系统,基于网内的未知文件数量比例以及计算机内的未知文件数量的安全评估系统等等。在此提供的算法不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造具有本发明方案的系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的未知文件的文件信息收集方案中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种未知文件处理方法,包括企业内网控制服务器从终端获取待检测文件的文件特征,其中,所述待检测文件包括所述终端中新增加的文件和/或进行了修改的文件;所述控制服务器判断所述待检测文件的文件特征与所述控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;若所述待检测文件的文件特征与所述正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配,则所述控制服务器确定所述待检测文件为未知文件;所述控制服务器向所述终端返回所述待检测文件为未知文件的消息,并通知所述终端上传所述未知文件的文件信息;所述控制服务器接收并收集所述终端上传的所述未知文件的文件信息;其中,所述终端中新增加的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的新文件;所述进行了修改的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的修改后的文件。
2.根据权利要求I所述的方法,其特征在于,所述待检测文件的文件特征为对所述待检测文件的文件内容使用MD5算法后的MD5值;在所述企业内网控制服务器从终端获取待检测文件的文件特征的步骤之前,还包括:所述控制服务器获取所述正常可执行文件的文件内容和所述病毒文件的文件内容;分别对所述正常可执行文件的文件内容和所述病毒文件的文件内容使用MD5算法,获取所述正常可执行文件的MD5值和所述病毒文件的MD5值;将所述正常可执行文件的MD5值保存为所述正常可执行文件的文件特征,将所述病毒文件的MD5值保存为所述病毒文件的文件特征。
3.根据权利要求2所述的方法,其特征在于,所述控制服务器从终端获取待检测文件的文件特征的步骤包括所述控制服务器接收所述终端使用HTTP协议封装的所述待检测文件的MD5值。
4.根据权利要求3所述的方法,其特征在于,所述控制服务器接收并收集所述终端上传的所述未知文件的文件信息的步骤包括所述控制服务器接收并收集所述终端通过终端后台直接上传的所述未知文件的文件信息,其中,所述未知文件的文件信息使用HTTP协议封装。
5.根据权利要求2所述的方法,其特征在于,在所述控制服务器接收并收集所述终端上传的所述未知文件的文件信息的步骤之后,还包括所述控制服务器对所述未知文件的文件信息进行分析,确定所述未知文件是否为安全文件;若确定所述未知文件不为安全文件,则记录所述未知文件的MD5值,禁止所述未知文件运行。
6.根据权利要求2所述的方法,其特征在于,所述控制服务器接收并收集所述终端上传的所述未知文件的文件信息的步骤包括控制服务器接收并收集所述终端上传的所述未知文件的MD5值,以及以下信息至少之一所述未知文件的数字签名、文件版本号、文件名、所述未知文件所属的产品名、产品版本号、所述未知文件所属的公司版权信息。
7.一种未知文件处理装置,其设置于企业内网的控制服务器端,所述装置包括获取模块,用于从所述企业内网的终端获取待检测文件的文件特征,其中,所述待检测文件包括所述终端中新增加的文件和/或进行了修改的文件,所述终端中新增加的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的新文件;所述进行了修改的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的修改后的文件;判断模块,用于判断所述待检测文件的文件特征与所述控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块,用于若所述判断模块判断所述待检测文件的文件特征与所述正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配,则确定所述待检测文件为未知文件;收集模块,用于向所述终端返回所述待检测文件为未知文件的消息,并通知所述终端上传所述未知文件的文件信息;接收并收集所述终端上传的所述未知文件的文件信息。
8.根据权利要求7所述的装置,其特征在于,所述待检测文件的文件特征为对所述待检测文件的文件内容使用MD5算法后的MD5值;所述装置还包括保存模块,用于在所述获取模块从所述企业内网的终端获取所述待检测文件的文件特征之前,获取所述正常可执行文件的文件内容和所述病毒文件的文件内容;分别对所述正常可执行文件的文件内容和所述病毒文件的文件内容使用MD5算法,获取所述正常可执行文件的MD5值和所述病毒文件的MD5值;将所述正常可执行文件的MD5值保存为所述正常可执行文件的文件特征,将所述病毒文件的MD5值保存为所述病毒文件的文件特征。
9.根据权利要求8所述的装置,其特征在于,所述获取模块,用于从所述企业内网的终端获取所述终端使用HTTP协议封装的所述待检测文件的MD5值。
10.根据权利要求9所述的装置,其特征在于,所述收集模块,用于向所述终端返回所述待检测文件为未知文件的消息,并通知所述终端上传所述未知文件的文件信息;以及,接收并收集所述终端通过终端后台直接上传的所述未知文件的文件信息,其中,所述未知文件的文件信息使用HTTP协议封装。
11.根据权利要求8所述的装置,其特征在于,还包括分析模块,用于在所述收集模块接收并收集所述终端上传的所述未知文件的文件信息之后,对所述未知文件的文件信息进行分析,确定所述未知文件是否为安全文件;若确定所述未知文件不为安全文件,则记录所述未知文件的MD5值,禁止所述未知文件运行。
12.根据权利要求8所述的装置,其特征在于,所述收集模块收集的所述未知文件的文件信息包括所述未知文件的MD5值,以及以下信息至少之一所述未知文件的数字签名、文件版本号、文件名、所述未知文件所属的产品名、产品版本号、所述未知文件所属的公司版权信息。
全文摘要
本申请提供了一种未知文件处理方法与装置,其中,所述装置设置于企业内网的控制服务器端并且包括获取模块,用于从企业内网的终端获取待检测文件的文件特征;判断模块用于判断待检测文件的文件特征与服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块用于若均不匹配,则确定待检测文件为未知文件;收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;接收并收集终端上传的未知文件的文件信息。通过本申请提高了系统的安全性,以及未知文件检测和处理效率。
文档编号G06F21/56GK102945349SQ20121040161
公开日2013年2月27日 申请日期2012年10月19日 优先权日2012年10月19日
发明者邓振波, 李宇, 温铭, 张家柱 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司