本发明涉及文件安全技术领域,具体而言,涉及一种文件安全判断方法及装置。
背景技术
相关技术中,在确定文件是否安全时,一般是通过漏洞检测技术或者数据准入技术实现,例如,在进行漏洞检测时,将未知文件投入沙箱环境中运行,监控运行过程,感知未知文件是否触发漏洞,若是,则可以将该未知文件视为存在恶意,然后对触发的漏洞信息进行记录,可以确定该文件可能存在安全问题,即可以通过感知文件是否触发漏洞,来确定文件是否安全。另外,相关技术中,也可以是在确定需要访问应用的文件后,对文件安全性进行判定,这里可以通过设置网络安全基线进行安全性判定,如对网络入口处的服务端设置网络安全基线,以对文件的安全性进行判断,其中,网络安全基线可以是用户根据自己的网络安全控制基准进行设置。在利用上述的方式进行文件安全性判定时,文件需要放置到沙箱中,或者与安全控制基线进行比较,需要对网络安全相关了解,并需要自己设置网络安全标准或者检测方式,这种方式对于普通用户,无法实现文件安全检查,普通用户也无法使用,网络安全设置较为复杂,导致用户使用不便,降低了用户的体验感。
针对上述的相关技术中,在判定文件安全时,需要用户自身设置安全控制环境,导致用户使用不便,降低了用户的体验感的技术问题,目前尚未提出有效的解决方案。
技术实现要素:
本发明实施例提供了一种文件安全判断方法及装置,以至少解决相关技术中,在判定文件安全时,需要用户设置安全控制环境,导致用户使用不便,降低了用户的体验感的技术问题。
根据本发明实施例的一个方面,提供了一种文件安全判断方法,包括:确定预定应用正在进行文件处理;在应用层的文件处理接口设置挂钩hook;通过所述hook获取正在处理的文件对应的数据;根据所述数据判断所述文件是否安全。
进一步地,在根据所述数据判断所述文件不安全的情况下,所述方法还包括:上报所述文件的信息,其中,所述信息包括以下至少之一:所述文件的来源、所述文件的内容、所述文件的大小、所述文件的名称。
进一步地,在根据所述数据判断所述文件不安全的情况下,所述方法还包括:上报所述预定应用对所述文件的操作信息。
进一步地,根据上述任一项所述的方法,在根据所述数据判断所述文件不安全的情况下,所述方法还包括:发出提示信息,其中,所述提示信息用于提示所述预定应用所述文件不安全。
根据本发明实施例的另一方面,还提供了一种文件安全判断装置,包括:确定单元,用于确定预定应用正在进行文件处理;设置单元,用于在应用层的文件处理接口设置挂钩hook;获取单元,用于通过所述hook获取正在处理的文件对应的数据;判断单元,用于根据所述数据判断所述文件是否安全。
进一步地,所述装置还包括:第一上报单元,用于在根据所述数据判断所述文件不安全的情况下,上报所述文件的信息,其中,所述信息包括以下至少之一:所述文件的来源、所述文件的内容、所述文件的大小、所述文件的名称。
进一步地,所述装置还包括:第二上报单元,用于在根据所述数据判断所述文件不安全的情况下,上报所述预定应用对所述文件的操作信息。
进一步地,根据上述任一项所述的装置,还包括:提示单元,用于发出提示信息,其中,所述提示信息用于提示所述预定应用所述文件不安全。
根据本发明实施例的另一方面,还提供了一种存储介质,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行上述任意一项所述的文件安全判断方法。
根据本发明实施例的另一方面,还提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述任意一项所述的文件安全判断方法。
在本发明实施例中,可以先确定出预定应用正在进行文件处理,在应用层的文件处理接口设置挂钩hook,以通过该hook获取正在处理的文件对应的数据,并根据该数据判断文件是否安全。在实施例中,可以通过设置在应用层的挂钩hook来获取到处理的文件,以判断出文件的安全性,这里是在应用层自主设置一个挂钩hook,主动进行处理,进而解决相关技术中,在判定文件安全时,需要用户设置安全控制环境,导致用户使用不便,降低了用户的体验感的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的文件安全判断方法的流程图;
图2是根据本发明实施例的文件安全判断装置的示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于用户理解本发明,下面对本发明实施例中涉及的部分术语或名词做出解释:
hook,挂钩,应用于网络文件处理中,可以是在http中,通过hook使得文件处理由静态变为动态,文件处理有被动变为主动,通过hook自主判断文件中数据安全性,并告知处理端根据判断结果进行文件后续处理。由于http的请求类型的不同,挂钩的数量和类型也不同。
本发明实施例中的hook可以应用在动态文件和/或静态文件鉴定,也可以应用于捕捉文件的修改,尤其是对于重要文件的修改,在相关技术中,可能限定该重要文件不可以做改动,但是存在意外改动的情况,通过hook可以捕捉到重要文件是否进行修改,并在重要文件被修改的情况下,停止修改重要文件的动作,并记录该重要文件是否被修改的信息,当然本申请中的hook还可以记录用户对相关文件的操作信息。
根据本发明实施例,提供了一种文件安全判断的方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
以下实施例可以应用于各种文件安全判断实施方式中,对于文件的具体类型不做限定,如word问价、ppt文件、图片文件等,在当前的网络中,存在很严重的传输安全隐患,尤其是对于网络中传输的文件,很容易由于一个危险文件,在不断传输后,感染其他文件,造成多个文件出现安全隐患,本发明实施例可以针对这种情况,在应用层设置挂钩hook,通过hook来获取正要处理的文件,并判断出传输的文件是否存在危险,若判断出文件出现安全,可以停止传输文件,并停止处理该文件,保证传输文件的安全特性。
下面结合优选的实施例步骤对本发明进行说明,图1是根据本发明实施例的文件安全判断方法的流程图,如图1所示,该方法包括如下步骤:
步骤s102,确定预定应用正在进行文件处理。
其中,上述在确定预定应用正在进行文件处理,可以是在预定应用上设置监测模块,以监测预定应用是否正在进行文件处理,该文件处理可以包括但不限于:文件传输、文件整理、文件发送等方式。本发明实施例中对于文件的类型不做限定,在文件中可能包括不同大小的数据,本发明实施例通过对数据的安全性进行判断,确定处理的文件是否安全。
对于上述步骤中的预定应用,可以是不同终端中安装的应用,终端的类型不做限定,例如,手机、ipad、pc等。在终端中可能安装有多个应用,对于终端中频繁处理文件的应用或者经常进行文件更新的应用,可以设置相应的监测模块,以通过监测模块确定预定应用是否正在进行文件处理。
步骤s104,在应用层的文件处理接口设置挂钩hook。
通过上述步骤,可以在应用层设置挂钩hook,其中,该应用层可以是终端(如pc)中的应用层,即可以设置终端中的应用层的文件处理接口设置hook,该文件处理接口可以是处理文件的各种接口部位,如拷贝文件过程中使用的终端的硬盘接口、sata(serialata)串口、ide(integrateddriveelectronics)并口、usb接口、移动终端的type-c接口;或者文件电脑之间传输文件的控制接口;或者移动终端传输文件的接口,传输文件的内容可以包括但不限于:剪切文件、复制文件、拷贝文件,只要是在终端的应用层进行文件处理,可以对各个文件传输接口设置hook。
其中,上述的应用层可以是文件传输的应用层,挂钩hook可以与挂钩函数联系在一起,以通过挂钩函数来抽取经过应用层的文件。该应用层可以是在文件系统的顶层,文件系统中可以包括文件传输层、文件物理层、文件网络层、文件连接层、文件应用层,即可以对应于文件传输网络协议,文件物理层可以指示文件传输的物理媒介,例如光纤、电缆等,文件连接层可以将文件分解,以将文件通过数据帧来进行传输,通过文件连接层可以将文件进行包装,并将文件发送;文件网络层可以是在文件连接层将文件送入网络后,进行文件过渡传输的中间层,以将文件送入目的地;文件传输层可以是通过终端进程将文件传送给目标终端的层级,而应用层可以理解为对文件进行解读的层级。本发明实施例中可以在文件的应用层设置一个或多个文件处理接口,并在每个文件处理接口设置挂钩hook,通过hook来监测文件是否安全。
步骤s106,通过hook获取正在处理的文件对应的数据。
上述的正在处理的文件可以包括但不限于:打开的静态文件、正在执行的静态文件(即动态文件)、已安装的静态文件、电脑中已存储的文件、机器与机器之间相互传输的文件、存储介质与机器之间传输的文件,本发明实施例中的机器可以是台式电脑、笔记本、移动终端(如手机)等,在机器之间相互传输文件时,可以通过设置的hook获取到正在处理的文件中的数据。当然,本申请中的hook也可以是对于存储介质(如u盘、光盘等)与终端之间传输文件时,通过hook获取到正在处理的文件。
其中,上述的获取到的文件的数据可以包括但不限于:文件属性、文件类型、文件名称、文件具体内容、文件标题,文件的保存方式可以是二进制文件、txt文件、word文件、静态可执行文件等,当然本申请中对于文件的具体属性和类型不做限定。当然本申请中的文件可以是已经落到本地的文件,落到本地的文件可以是经过拷贝、幅值、网络下载等操作,保存在本地设备中的文件。
可选的,对于一些特殊的文件,尤其是重要文件,一般不做修改,但是现有情况中,可能存在不懂的用户意外修改重要文件,本发明实施例中可以通过hook来监测重要文件是否被修改,并在重要文件被修改时,提醒用户该文件为重要文件、不做修改,这样就可以通过hook捕捉处理文件的各种动作,并对文件是否被修改进行记录,通过hook可以记录用户在应用层的文件处理操作,记录相关信息,用户可以通过这些记录的信息查看文件的状态。
利用上述步骤可以获取到文件,并且可以解读到文件中的数据,在本发明实施例中可以利用挂钩函数来获取文件,在通过挂钩函数获取经过应用层的文件时,利用网络系统的服务id标识文件,然后进行获取文件的操作,并将抽取后的文件和服务id标识放置在寄存器中,即可以通过寄存器存储挂钩hook所对应的服务标识id。在得到正在处理的文件后,可以先解读出文件所对应的文件类型,并通过与该文件类型对应的文件解读器获取到正在处理的文件对应的各项数据。
步骤s108,根据数据判断文件是否安全。
上述步骤中,可以根据数据判断文件是否安全,利用各种数据安全检测方式对文件的安全性进行检查,例如,通过杀毒检测、沙箱确定正在处理的文件中的数据是否被串改,如果正在处理的文件对本地的终端的文件进行串改,并且干扰其他文件的处理、运行,这时可以判定文件数据不安全。当然,本申请中对于具体如何通过数据判断文件是否安全的方式可以不做限定,还可以通过其他方式进行判断。
在根据数据判断文件是否安全时,可以参考历史过程中不同的终端下载该文件后,反馈的文件是否安全的信息,结合本次获取到的数据,确定该文件是否安全。例如,在历史过程中存在有多个终端下载该文件后,反馈出文件存在病毒,或者反馈文件存在安全隐患的文件,可以在终端处理数据之前,发送安全提示信息,以告知用户该次下载的文件不安全,存在安全隐患,并提出清理文件的建议。
即可以通过上述步骤判定出应用层的当前正在处理的文件是否安全,在不安全的情况下,及时进行文件清理,以防止文件出现病毒等大面积的文件感染。
通过上述步骤,可以先确定出预定应用正在进行文件处理,在应用层的文件处理接口设置挂钩hook,以通过该hook获取正在处理的文件对应的数据,并根据该数据判断文件是否安全。在实施例中,可以通过设置在应用层的挂钩hook来获取到处理的文件,以判断出文件的安全性,这里是在应用层自主设置一个挂钩hook,主动进行处理,进而解决相关技术中,在判定文件安全时,需要用户设置安全控制环境,导致用户使用不便,降低了用户的体验感的技术问题。
对于上述实施例,在根据数据判断文件不安全的情况下,方法还包括:上报文件的信息,其中,信息包括以下至少之一:文件的来源、文件的内容、文件的大小、文件的名称。
其中,上述文件的来源可以是文件下载网络地址,文件的内容可以包括但不限于:文件类型、文件标题、文件的实体内容,而文件的大小可以是该文件对应的大小,如3m,文件的名称可以是指文件的标题,也可以是指文件的命名名称。
可选的,在根据数据判断文件不安全的情况下,方法还包括:上报预定应用对文件的操作信息。其中,上报应用对文件的操作信息可以包括但不限于:文件更新操作、使用文件操作、文件下载操作、文件复制操作、文件剪切操作、文件命名操作等。对每种操作进行分析,以确定该文件的位置,在文件不安全时,可以及时停止文件的操作。
需要说明的是,上述在判断出文件不安全的情况下,可以发出提示信息,以通过该提示信息提示应用文件不安全,其中提示信息中可以包括对文件的操作信息、文件的信息、文件不安全的提示标识,对于文件不安全的提示标识可以是设置提示警醒叹号,以提示文件不安全。
图2是根据本发明实施例的文件安全判断装置的示意图,如图2所示,该装置可以包括:确定单元21,用于确定预定应用正在进行文件处理;设置单元23,用于在应用层的文件处理接口设置挂钩hook;获取单元25,用于通过hook获取正在处理的文件对应的数据;判断单元27,用于根据数据判断文件是否安全。
利用上述的文件安全判断装置,可以通过确定单元21确定出预定应用正在进行文件处理,利用设置单元23在应用层的文件处理接口设置挂钩hook,以通过获取单元25利用hook获取正在处理的文件对应的数据,并利用判断单元27根据该数据判断文件是否安全。在实施例中,可以通过设置在应用层的挂钩hook来获取到处理的文件,以判断出文件的安全性,这里是在应用层自主设置一个挂钩hook,主动进行处理,进而解决相关技术中,在判定文件安全时,需要用户设置安全控制环境,导致用户使用不便,降低了用户的体验感的技术问题。
其中,上述的装置还包括:第一上报单元,用于在根据数据判断文件不安全的情况下,上报文件的信息,其中,信息包括以下至少之一:文件的来源、文件的内容、文件的大小、文件的名称。
可选的,装置还包括:第二上报单元,用于在根据数据判断文件不安全的情况下,上报预定应用对文件的操作信息。
可选的,根据上述任一项的装置,还包括:提示单元,用于发出提示信息,其中,提示信息用于提示预定应用该文件不安全。
上述的文件安全判断装置还可以包括处理器和存储器,上述确定单元21、设置单元23、获取单元25、判断单元27等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来利用应用层的文件处理接口设置挂钩hook,以通过hook获取文件,并确定文件是否安全。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram),存储器包括至少一个存储芯片。
根据本发明实施例的另一方面,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述任意一项的文件安全判断方法。
根据本发明实施例的另一方面,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述任意一项的文件安全判断方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:确定预定应用正在进行文件处理;在应用层的文件处理接口设置挂钩hook;通过hook获取正在处理的文件对应的数据;根据数据判断文件是否安全。
可选的,上述处理器在执行程序时,还可以在根据数据判断文件不安全的情况下,上报文件的信息,其中,信息包括以下至少之一:文件的来源、文件的内容、文件的大小、文件的名称。
可选的,上述处理器在执行程序时,还可以在根据数据判断文件不安全的情况下,上报预定应用对文件的操作信息。
可选的,上述处理器在执行程序时,还可以在根据数据判断文件不安全的情况下,发出提示信息,其中,提示信息用于提示预定应用所述文件不安全。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:确定预定应用正在进行文件处理;在应用层的文件处理接口设置挂钩hook;通过hook获取正在处理的文件对应的数据;根据数据判断文件是否安全。
可选的,上述数据处理设备在执行程序时,还可以在根据数据判断文件不安全的情况下,上报文件的信息,其中,信息包括以下至少之一:文件的来源、文件的内容、文件的大小、文件的名称。
可选的,上述数据处理设备在执行程序时,还可以在根据数据判断文件不安全的情况下,上报预定应用对文件的操作信息。
可选的,上述数据处理设备在执行程序时,还可以在根据数据判断文件不安全的情况下,发出提示信息,其中,提示信息用于提示预定应用所述文件不安全。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、只读存储器(rom,read-onlymemory)、随机存取存储器(ram,randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。