CN102592103B - 文件安全处理方法、设备及*** - Google Patents
文件安全处理方法、设备及*** Download PDFInfo
- Publication number
- CN102592103B CN102592103B CN201110008701.6A CN201110008701A CN102592103B CN 102592103 B CN102592103 B CN 102592103B CN 201110008701 A CN201110008701 A CN 201110008701A CN 102592103 B CN102592103 B CN 102592103B
- Authority
- CN
- China
- Prior art keywords
- file
- target
- characteristic information
- information
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及一种文件安全处理方法,包括:在终端启动防病毒功能时,采集本地的目标PE文件的文件属性信息,并计算目标PE文件的文件特征码;终端将目标PE文件的特征信息发送到服务器;服务器将接收的特征信息与预置的标准文件特征库进行比对,判断目标PE文件是否被病毒感染,并根据判断结果生成不同的处理策略,并派发到终端;终端根据接收到的处理策略进行目标PE文件的处理。本发明还涉及一种文件安全处理***及终端、服务器和探针设备。本发明基于云计算环境对文件型病毒进行查杀,以及对感染的文件进行修复,而无须频繁升级病毒特征库,对未知病毒也可以进行查杀,并且可以修复感染文件,占用较少的用户终端的资源。
Description
技术领域
本发明涉及互联网应用技术和通信技术,尤其涉及一种云计算环境下文件安全处理方法、设备及***。
背景技术
随着各行各业信息化进程的深入发展,互联网在各领域的应用越来越广泛。随着网络技术的发展及网络经济的繁荣,人们在利用互联网获取各类软件资源及有用信息的同时,也有人利用这些资源在互联网上的计算机之间传播各类病毒,包括各类文件型病毒、网络蠕虫等,以达到其窃取有用数据或信息、破坏服务或数据、耗费***资源等不可告人的目的。
目前,针对网络蠕虫已有根据网络流量进行检测和识别的方法。而文件型病毒却因为寄生于用户有用程序中,而且病毒变种繁多,检测困难,病毒发作时直接影响用户终端的使用,给用户造成极大的不便,也给其隐私及利益带来很大的风险。
现有的大多数病毒查杀软件是基于病毒特征码结合人工的方式进行查杀。在用户终端上存储有病毒特征库,当防病毒引擎进行病毒查杀时,将程序体中与特征库中的特征码进行比对,判断是否感染病毒。如果程序文件感染病毒,则根据感染不同情况对感染文件进行处理,如感染不太复杂的病毒,则可通过删除病毒代码恢复原有程序文件;如感染的病毒代码较复杂,则只能删除整个程序文件或隔离该文件。
对于现有技术中的文件型病毒查杀技术方案,至少存在以下四种缺陷:
(1)需要频繁升级病毒特征库:终端对病毒的检测与查杀依赖于程序体中的病毒代码与本地预先储存的病毒特征库,因此随着病毒代码更新频繁,用于防病毒比对的病毒代码库也需要频繁升级;
(2)难以识别未知病毒:防病毒引擎工作最核心的部分是代码比对,而对于在预置的病毒特征库里没有对应的代码的病毒发生感染时,防病毒引擎则只能根据程序体中的实际病毒代码进行一些尝试性查杀;对病毒变种日趋多样化的今天,传统的杀毒软件疲于应付;
(3)容易造成感染的文件不可用:由于病毒的复杂性和加密性,通常防病毒软件即使识别出程序体中的病毒代码,但由于病毒代码采用的加密技术复杂而难以解密出恢复程序文件所需的有效数据;通常防病毒软件为了防止病毒再次感染,只能采用隔离或删除整个原有文件的方式进行处理;
(4)占用***资源大:由于病毒的检测、比对、分析与处理均在用户终端上完成,因此消耗用户终端CPU及RAM资源大。
发明内容
本发明的目的是提出一种文件安全处理方法、设备及***,能够基于云计算环境对文件型病毒进行查杀,以及对感染的文件进行修复,而无须频繁升级病毒特征库,对未知病毒也可以进行查杀,并且可以修复感染文件,占用较少的用户终端的资源。
为实现上述目的,本发明提供了一种文件安全处理方法,包括:
在终端启动防病毒功能时,采集本地的目标可移植可执行PE文件的文件属性信息,并计算目标PE文件的文件特征码;
终端将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
所述服务器将接收的特征信息与预置的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染,并根据判断结果生成不同的处理策略,并派发到所述终端;
所述终端根据接收到的所述处理策略进行目标PE文件的处理。
为实现上述目的,本发明提供了一种基于云计算环境的终端,包括:
属性信息采集模块,用于在所述终端启动防病毒功能时,采集本地的目标PE文件的文件属性信息;
特征码计算模块,用于计算目标PE文件的文件特征码;
特征信息发送模块,用于将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
策略接收模块,用于接收所述服务器返回的处理策略;
策略处理模块,用于根据接收到的所述处理策略进行目标PE文件的处理。
为实现上述目的,本发明提供了一种基于云计算环境的服务器,包括:
特征信息接收模块,用于接收终端发送的目标PE文件的特征信息,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
标准文件特征库,用于保存互联网中通用的PE文件及PE文件的特征码和文件属性信息;
特征信息比对模块,用于将接收的特征信息与预置的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染;
处理策略派发模块,用于根据判断结果生成不同的处理策略,并派发到所述终端。
为实现上述目的,本发明提供了一种基于云计算环境的探针设备,包括:
文件信息接收模块,用于接收服务器段发送的目标PE文件的相关文件信息;
特征信息搜集模块,用于在云计算环境中对所述目标PE文件的特征信息进行搜集;
特征信息返回模块,用于向所述服务器返回所述目标PE文件的特征信息。
为实现上述目的,本发明还提供了一种文件安全处理***,包括前述终端和服务器,所述终端与服务器相连。
基于上述技术方案,本发明根据互联网上资源分享的特点将本地的PE文件与互联网上的洁净文件进行比对来进行病毒的查杀,而且可以根据互联网的洁净文件对感染的文件进行修复,而无须频繁升级病毒特征库,对未知病毒也可以进行查杀,查杀过程主要在网络侧完成,因此只需占用较少的用户终端的资源。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明文件安全处理方法的一实施例的流程示意图。
图2为本发明文件安全处理方法的另一实施例的流程示意图。
图3为本发明文件安全处理***的一实施例的结构示意图。
图4为本发明文件安全处理***的另一实施例的结构示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明中的文件型病毒是指可感染磁盘上的PE文件(portableexecutable file,可移植可执行文件,包括***可执行或通过链接可执行的文件,如COM、EXE、SYS及DLL文件)的病毒。这类文件通常文件属性相对固定,也是寄生性文件病毒实施感染的主要文件类型。文件型病毒感染主要是通过修改文件特定部分代码(如EXE文件头的第02、04、0E、10H、14H、16H的字的值)的方式并将病毒代码***文件体而使得程序文件运行时病毒代码得以优先于程序文件的执行而驻留于内存。
互联网时代文件型病毒感染的主要途径是互联网上用户终端间的资源共享,因此本发明的理论基础也是互联网上的用户终端中的PE文件均可在互联网上找到相应副本,且互联网上可获得的未受感染的PE文件(洁净文件)概率多于受感染的PE文件。此外,用户通常不会修改PE文件的代码。
如图1所述,为本发明文件安全处理方法的一实施例的流程示意图。在本实施例中,文件安全处理流程包括:
步骤101、在终端启动防病毒功能时,采集本地的目标可移植可执行PE文件的文件属性信息,并计算目标PE文件的文件特征码;
步骤102、终端将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
步骤103、所述服务器将接收的特征信息与预置的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染;
步骤104、所述服务器根据判断结果生成不同的处理策略,并派发到所述终端;
步骤105、所述终端根据接收到的所述处理策略进行目标PE文件的处理。
在本实施例中,病毒检测的功能不再通过终端本地的防病毒引擎进行查杀,而是通过网络侧的服务器进行查杀,这种方式不需要对终端本地的防病毒引擎和病毒库进行频繁升级,而且查杀的主要工作过程也主要在网络侧完成,这样不仅极大的节省了终端侧的病毒查杀所占用的CPU和内存等资源,还充分的利用了云计算环境下的快速分析处理能力。这种方式尤其适用于一些功能资源有限的移动终端。
从查杀的方式上,本发明采用了以标准文件特征库中保存的洁净文件的特征信息与终端发送的特征信息直接比对的方法,这种方法不是从识别病毒码的角度出发,而是直接判断目标PE文件是否感染,这种病毒检测的方式更直观高效,对于目前网络上病毒不断翻新变异的情况,仍能准确的判断出文件是否被感染。
在本实施例中,步骤102的终端将目标PE文件的特征信息发送到服务器,其中特征信息包括文件属性信息的变更信息,该变更信息主要是与目标PE文件的当前的文件属性结合来确定目标PE文件的原始文件属性信息。该变更信息需要终端不断的跟踪和记录。
在另一实施例中,参见图2,在步骤103中比对判断过程可以具体包括以下步骤:
步骤201、服务器根据接收的目标PE文件的文件属性信息和文件属性变更记录确定目标PE文件的原始文件属性信息;文件属性信息可以包括文件名、扩展名、文件创建时间和文件大小等信息,根据需要可以对上述文件属性信息进行增加或删减。
步骤202、服务器将目标PE文件的文件特征码及原始文件属性信息分别与标准文件特征库中文件的文件特征码及文件属性信息进行比对;标准文件特征库可以预先保存由文件计算出的文件特征码,而无需在每次比对时重新计算,这样也提高了比对效率。
步骤203、如果文件特征码和文件属性信息完全一致,则确定目标PE文件未被病毒感染;
步骤204、如果文件属性信息一致,而文件特征码不一致,则确定目标PE文件被病毒感染。
对于不同的判断结果,服务器将产生不同的处理策略,对于步骤203中确认的目标PE文件未被病毒感染的情况,则可执行步骤205;对于步骤204中确认的目标PE文件被病毒感染的情况,则可执行步骤206;
步骤205、服务器不做处理或向终端返回表示文件未被感染的提示;
步骤206、服务器生成标准文件特征库中对应的文件的下载地址,并下发到终端。
对于文件属性信息不一致的情况,也就是说在标注文件特征库中没有找到目标PE文件的原始文件属性信息所对应的文件,此时服务器可以将目标PE文件的相关文件信息发送到云计算环境下的各个探针设备(步骤207),这里的相关文件信息可以为目标PE文件的文件属性信息及文件属性的变更记录,或者是目标PE文件的原始文件属性信息;
步骤208、探针设备在云计算环境中对所述目标PE文件的特征信息进行搜集,并发送给所述服务器;
步骤209、服务器对搜集的特征信息进行汇总,并与所述终端发送的所述目标PE文件的特征信息进行比对。
在步骤209中服务器比对特征信息时,如果所述终端发送的所述目标PE文件的特征信息与超过预设第一比例a%(例如>70%)的所述探针设备返回的特征信息相同,则确定目标PE文件未被病毒感染(步骤210),执行步骤212;如果所述终端发送的所述目标PE文件的特征信息与低于预设第二比例b%(例如<50%)的所述探针设备返回的特征信息相同,则确定目标PE文件被病毒感染(步骤211),执行步骤213。
步骤212、服务器不做处理或向终端返回表示文件未被感染的提示;
步骤213、服务器将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,然后将所述探针设备源的下载地址发给所述终端。
如果所述终端发送的所述目标PE文件的特征信息与高于预设第二比例且低于第一比例(例如>50%,且<70%)的所述探针设备返回的特征信息相同,则可以确认目标PE文件疑似被病毒感染(步骤214),并向所述终端返回表示文件疑似被感染的提示,然后根据所述终端的操作将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,然后将所述探针设备源的下载地址发给所述终端(步骤215)。
在上面的实施例中,探针设备负责在服务器的标准文件特征库未保存目标PE文件所对应的洁净文件时,在云计算环境下进行搜索,由于可以部署比较多的探针,这些探针并行的进行搜索,因此不仅可以在互联网中搜索更广的范围,而且搜索的效率也比较高,服务器根据探针设备返回特征信息进行汇总,其汇总的思路也主要是判断探针设备返回的特征信息与目标PE文件的特征信息相同的比例是否能够达到同类总上报文件的特征信息的一定比例。前面已经提到了本发明所基于的文件被感染的理论基础是互联网上可获得的未感染PE文件的概率要高于受感染的PE文件,因此通过这种汇总对比过程,服务器可以以较高的准确率来确定出目标PE文件是否被感染。
在汇总比对过程中,所采用的第一比例和第二比例并不限于上述所举的50%、70%的例子,而是可以根据使用结果的统计进行不断调整,以便保持较高的判断准确率。另外,如果在比对时恰好是第一比例或第二比例,可以根据实际情况选择判断结果,例如当探针设备返回的特征信息与目标PE文件的特征信息相同的比例恰好达到同类总上报文件的特征信息的50%,则可确认为未感染,也可以确认为疑似感染。
对于一些不能直接确定目标PE文件是否感染的情况,本发明将这种情况定义为疑似被感染,并将该信息提示给用户,由用户自主判断,如果用户坚信该目标PE文件是洁净文件,则无需什么处理,如果用户也不能断定该目标PE文件是否被感染,而且担心病毒对***的威胁,可以从服务器获取探针所找出的最大相似比例的特征信息对应的探针源,以便通过探针源来下载对应的文件来替换本地的目标PE文件。探针设备所查找出的最大相似比例的特征信息对应的文件(即被认定为洁净文件)可以下载到服务器的标准文件特征库进行保存,从而不断的对标准文件特征库进行扩充,为用户提供更方便的病毒查杀功能。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
如图3所示,为本发明文件安全处理***的一实施例的结构示意图。在本实施例中,文件安全处理***包括相连的终端1和服务器2。终端1和服务器2均是基于云计算环境的设备,终端1可以为部署客户端的各类计算机,也可以是部署了客户端的移动设备。服务器2则是部署在网络侧的设备,可以是一台集中处理的设备,也可以是多台设备进行分布式处理。
终端1可以具体包括:属性信息采集模块11、特征码计算模块12、特征信息发送模块13、策略接收模块14和策略处理模块15。其中属性信息采集模块11负责在所述终端启动防病毒功能时,采集本地的目标PE文件的文件属性信息。特征码计算模块12负责计算目标PE文件的文件特征码。特征信息发送模块13负责将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录。策略接收模块14负责接收所述服务器返回的处理策略。策略处理模块15负责根据接收到的所述处理策略进行目标PE文件的处理。
在另一实施例中,终端还可以包括变更信息记录模块,该模块负责跟踪并记录目标PE文件的文件属性信息的变更信息的操作。
服务器2具体包括:特征信息接收模块21、标准文件特征库22、特征信息比对模块23和处理策略派发模块24。其中,特征信息接收模块21负责接收终端发送的目标PE文件的特征信息,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录。标准文件特征库22负责保存互联网中通用的PE文件及PE文件的特征码和文件属性信息。特征信息比对模块23负责将接收的特征信息与预置的标准文件特征库22进行比对,判断所述目标PE文件是否被病毒感染。处理策略派发模块24负责根据判断结果生成不同的处理策略,并派发到所述终端。
在另一实施例中,与上一实施例相比,服务器2中的特征信息比对模块23可以具体包括:属性信息确定单元、特征码比对单元、属性信息比对单元和第一文件情况确认单元。属性信息确定单元用于根据接收的目标PE文件的文件属性信息和文件属性变更记录确定所述目标PE文件的原始文件属性信息。特征码比对单元用于将所述目标PE文件的文件特征码与所述标准文件特征库22中文件的文件特征码进行比对。属性信息比对单元用于将所述目标PE文件的原始文件属性信息与所述标准文件特征库22中文件的文件属性信息进行比对。第一文件情况确认单元用于如果所述文件特征码和文件属性信息完全一致,则确定所述目标PE文件未被病毒感染;如果所述文件属性信息一致,而所述文件特征码不一致,则确定所述目标PE文件被病毒感染。
服务器2中的处理策略派发模块24可以具体包括:未感染提示单元、第一下载地址生成单元和地址下发单元。未感染提示单元用于确定目标PE文件未被病毒感染时,向终端返回表示文件未被感染的提示。第一下载地址生成单元用于确定目标PE文件被病毒感染时,生成所述标准文件特征库22中对应的文件的下载地址。地址下发单元用于将所述下载地址下发到所述终端。
相应的,终端1的策略处理模块16可以具体包括:文件隔离单元、文件删除单元和洁净文件下载单元。文件隔离单元用于隔离被病毒感染或疑似被病毒感染的目标PE文件。文件删除单元用于删除被病毒感染或疑似被病毒感染的目标PE文件。洁净文件下载单元用于根据所述服务器提供的洁净文件的下载地址进行文件下载。
如图4所示,为本发明文件安全处理***的另一实施例的结构示意图。与上一实施例相比,本实施例还增加了基于云计算环境的探针设备3,该探针设备3具体包括文件信息接收模块31、特征信息搜集模块32和特征信息返回模块33。其中文件信息接收模块31负责接收服务器段发送的目标PE文件的相关文件信息。特征信息搜集模块32负责在云计算环境中对所述目标PE文件的特征信息进行搜集。特征信息返回模块33负责向所述服务器返回所述目标PE文件的特征信息。
相应的,服务器2还可以包括:文件搜集指令下发模块25、特征信息接收模块26和信息汇总及比对模块27。其中,文件搜集指令下发模块25用于在所述标准文件特征库中未查找到所述目标PE文件的原始文件属性信息所对应的文件时,将所述目标PE文件的相关文件信息发送到云计算环境下的探针设备3。特征信息接收模块26用于接收所述各个探针设备3搜集的特征信息。信息汇总及比对模块27用于对搜集的特征信息进行汇总,并与所述终端发送的所述目标PE文件的特征信息进行比对。
进一步的,信息汇总及比对模块可以具体包括:特征信息比对单元,用于将所述目标PE文件的特征信息与所述探针设备返回的特征信息进行比对;第二文件情况确认单元,用于如果所述终端发送的所述目标PE文件的特征信息与超过预设第一比例的所述探针设备返回的特征信息相同,则确定目标PE文件未被病毒感染;如果所述终端发送的所述目标PE文件的特征信息与低于预设第二比例的所述探针设备返回的特征信息相同,则确定目标PE文件被病毒感染。其中,所述第二文件情况确认单元还可以用于当所述终端发送的所述目标PE文件的特征信息与高于预设第二比例且低于第一比例的所述探针设备返回的特征信息相同时,确认目标PE文件疑似被病毒感染。
所述处理策略派发模块还可以包括:第二下载地址生成单元,用于确定目标PE文件被病毒感染时,将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,生成该探针设备源的下载地址。其中,所述处理策略派发模块还可以包括:疑似感染提示单元,用于向所述终端返回表示文件疑似被感染的提示。
综上所述,本发明所提供的文件安全处理方法及***实施例在技术理念上具有先进性,基于云计算环境的采用,一方面提高了目标文件搜索的获得率,另一方面提升了病毒查杀的效率,极大地减轻了客户端的资源占用。
本发明在查杀病毒的方法上较为新颖独特,主要体现在以下三个方面:
1、病毒查杀的思路不是从病毒特征码入手,而是根据互联网上资源分享的特点来与互联网上的洁净文件进行对比。这种以不变应万变的思想解决了病毒不断翻新而难以检测和查杀的问题。
2、感染处理策略不再是象传统防病毒软件那样仅依赖本地防病毒引擎处理能力而将感染文件隔离或删除,而是充分借助互联网环境资源分享的特点,对感染的目标文件进行互联网式的修复替换。
3、本发明的***架构充分利用云计算环境下大量的搜集探针及云计算平台的快速分析处理能力,快速生成处理策略并反馈给客户端,对客户端资源占用少。
随着3G应用的发展,智能终端上的病毒问题会日趋突出。本发明将尤其适用于移动终端上的病毒查杀,发挥更大的作用。而且本发明如果与电信运营商的云计算平台整合,则还可为电信运营商的互联网用户提供云安全服务。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (14)
1.一种文件安全处理方法,包括:
在终端启动防病毒功能时,采集本地的目标可移植可执行PE文件的文件属性信息,并计算目标PE文件的文件特征码;
终端将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
所述服务器将接收的特征信息与预置的保存有洁净文件的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染;
如果确定目标PE文件未被病毒感染,则不做处理或返回表示文件未被感染的提示;
如果确定目标PE文件被病毒感染,则生成所述标准文件特征库中对应的文件的下载地址,并下发到所述终端;
所述终端根据接收到的处理策略进行目标PE文件的处理;
其中,所述服务器将接收的特征信息与预置的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染的操作具体为:
所述服务器根据接收的目标PE文件的文件属性信息和文件属性变更记录确定所述目标PE文件的原始文件属性信息;
所述服务器将所述目标PE文件的文件特征码及原始文件属性信息分别与所述标准文件特征库中文件的文件特征码及文件属性信息进行比对;
如果所述文件特征码和文件属性信息完全一致,则确定所述目标PE文件未被病毒感染;
如果所述文件属性信息一致,而所述文件特征码不一致,则确定所述目标PE文件被病毒感染。
2.根据权利要求1所述的文件安全处理方法,其中,还包括:终端跟踪并记录目标PE文件的文件属性信息的变更信息的操作。
3.根据权利要求1所述的文件安全处理方法,其中,如果在所述标准文件特征库中未查找到所述目标PE文件的原始文件属性信息所对应的文件,则所述服务器将所述目标PE文件的相关文件信息发送到云计算环境下的各个探针设备;
所述探针设备在云计算环境中对所述目标PE文件的特征信息进行搜集,并发送给所述服务器;
所述服务器对搜集的特征信息进行汇总,并与所述终端发送的所述目标PE文件的特征信息进行比对。
4.根据权利要求3所述的文件安全处理方法,其中所述服务器在比对特征信息时,如果所述终端发送的所述目标PE文件的特征信息与超过预设第一比例的所述探针设备返回的特征信息相同,则确定目标PE文件未被病毒感染,则不做处理或返回表示文件未被感染的提示;如果所述终端发送的所述目标PE文件的特征信息与低于预设第二比例的所述探针设备返回的特征信息相同,则确定目标PE文件被病毒感染,并将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,然后将所述探针设备源的下载地址发给所述终端。
5.根据权利要求4所述的文件安全处理方法,其中如果所述终端发送的所述目标PE文件的特征信息与高于预设第二比例且低于第一比例的所述探针设备返回的特征信息相同,则确认目标PE文件疑似被病毒感染,并向所述终端返回表示文件疑似被感染的提示,然后根据所述终端的操作将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,然后将所述探针设备源的下载地址发给所述终端。
6.根据权利要求1~5任一所述的文件安全处理方法,其中所述目标PE文件的文件属性信息包括文件名、扩展名、文件创建时间和文件大小。
7.一种基于云计算环境的服务器,包括:
特征信息接收模块,用于接收终端发送的目标PE文件的特征信息,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
标准文件特征库,用于保存互联网中洁净的PE文件及PE文件的特征码和文件属性信息;
特征信息比对模块,用于将接收的特征信息与预置的标准文件特征库进行比对,判断所述目标PE文件是否被病毒感染;
处理策略派发模块,用于根据判断结果生成不同的处理策略,并派发到所述终端;
其中,所述处理策略派发模块具体包括:
未感染提示单元,用于确定目标PE文件未被病毒感染时,向终端返回表示文件未被感染的提示;
第一下载地址生成单元,用于确定目标PE文件被病毒感染时,生成所述标准文件特征库中对应的文件的下载地址;
地址下发单元,用于将所述下载地址下发到所述终端,
其中,所述特征信息比对模块具体包括:
属性信息确定单元,用于根据接收的目标PE文件的文件属性信息和文件属性变更记录确定所述目标PE文件的原始文件属性信息;
特征码比对单元,用于将所述目标PE文件的文件特征码与所述标准文件特征库中文件的文件特征码进行比对;
属性信息比对单元,用于将所述目标PE文件的原始文件属性信息与所述标准文件特征库中文件的文件属性信息进行比对;
第一文件情况确认单元,用于如果所述文件特征码和文件属性信息完全一致,则确定所述目标PE文件未被病毒感染;如果所述文件属性信息一致,而所述文件特征码不一致,则确定所述目标PE文件被病毒感染。
8.根据权利要求7所述的服务器,其中,还包括:
文件搜集指令下发模块,用于在所述标准文件特征库中未查找到所述目标PE文件的原始文件属性信息所对应的文件时,将所述目标PE文件的相关文件信息发送到云计算环境下的各个探针设备;
特征信息接收模块,用于接收所述各个探针设备搜集的特征信息;
信息汇总及比对模块,用于对搜集的特征信息进行汇总,并与所述终端发送的所述目标PE文件的特征信息进行比对。
9.根据权利要求8所述的服务器,其中,所述信息汇总及比对模块具体包括:
特征信息比对单元,用于将所述目标PE文件的特征信息与所述探针设备返回的特征信息进行比对;
第二文件情况确认单元,用于如果所述终端发送的所述目标PE文件的特征信息与超过预设第一比例的所述探针设备返回的特征信息相同,则确定目标PE文件未被病毒感染;如果所述终端发送的所述目标PE文件的特征信息与低于预设第二比例的所述探针设备返回的特征信息相同,则确定目标PE文件被病毒感染;
所述处理策略派发模块还包括:
第二下载地址生成单元,用于确定目标PE文件被病毒感染时,将所述探针设备返回的特征信息中具有最大相似比例的探针设备源作为文件下载源,生成该探针设备源的下载地址。
10.根据权利要求9所述的服务器,其中,所述第二文件情况确认单元还用于当所述终端发送的所述目标PE文件的特征信息与高于预设第二比例且低于第一比例的所述探针设备返回的特征信息相同时,确认目标PE文件疑似被病毒感染;
所述处理策略派发模块还包括:
疑似感染提示单元,用于向所述终端返回表示文件疑似被感染的提示。
11.一种文件安全处理***,包括基于云计算环境的终端和权利要求7~10任一项所述的服务器,所述终端与所述服务器相连,
所述终端包括:
属性信息采集模块,用于在所述终端启动防病毒功能时,采集本地的目标PE文件的文件属性信息;
特征码计算模块,用于计算目标PE文件的文件特征码;
特征信息发送模块,用于将所述目标PE文件的特征信息发送到服务器,所述特征信息包括文件特征码、文件属性信息和文件属性变更记录;
策略接收模块,用于接收所述服务器返回的处理策略;
策略处理模块,用于根据接收到的所述处理策略进行目标PE文件的处理。
12.根据权利要求11所述的文件安全处理***,其中,所述终端还包括:
变更信息记录模块,用于跟踪并记录目标PE文件的文件属性信息的变更信息的操作。
13.根据权利要求11所述的文件安全处理***,其中,所述策略处理模块具体包括:
文件隔离单元,用于隔离被病毒感染或疑似被病毒感染的目标PE文件;
文件删除单元,用于删除被病毒感染或疑似被病毒感染的目标PE文件;
洁净文件下载单元,用于根据所述服务器提供的洁净文件的下载地址进行文件下载。
14.根据权利要求11所述的文件安全处理***,其中还包括多个基于云计算环境的探针设备,所述探针设备与所述服务器相连,
所述探针设备包括:
文件信息接收模块,用于接收服务器端发送的目标PE文件的相关文件信息;
特征信息搜集模块,用于在云计算环境中对所述目标PE文件的特征信息进行搜集;
特征信息返回模块,用于向所述服务器返回所述目标PE文件的特征信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008701.6A CN102592103B (zh) | 2011-01-17 | 2011-01-17 | 文件安全处理方法、设备及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110008701.6A CN102592103B (zh) | 2011-01-17 | 2011-01-17 | 文件安全处理方法、设备及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102592103A CN102592103A (zh) | 2012-07-18 |
| CN102592103B true CN102592103B (zh) | 2015-04-08 |
Family
ID=46480722
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110008701.6A Active CN102592103B (zh) | 2011-01-17 | 2011-01-17 | 文件安全处理方法、设备及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102592103B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102789562B (zh) | 2012-07-19 | 2014-11-12 | 腾讯科技(深圳)有限公司 | 确定病毒文件的方法和装置 |
| CN102831361B (zh) * | 2012-08-14 | 2015-04-08 | 游艺春秋网络科技(北京)有限公司 | 服务器防泄漏*** |
| CN103778114B (zh) * | 2012-10-17 | 2016-03-09 | 腾讯科技(深圳)有限公司 | 文件修复***和方法 |
| CN103780589A (zh) * | 2012-10-24 | 2014-05-07 | 腾讯科技(深圳)有限公司 | 病毒提示方法、客户端设备和服务器 |
| CN103001947B (zh) * | 2012-11-09 | 2015-09-30 | 北京奇虎科技有限公司 | 一种程序处理方法和*** |
| CN102982284B (zh) * | 2012-11-30 | 2016-04-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和*** |
| CN103916858B (zh) * | 2012-12-31 | 2017-08-11 | ***通信集团广东有限公司 | 一种移动终端健康度判定方法及装置 |
| CN103118036A (zh) * | 2013-03-07 | 2013-05-22 | 上海电机学院 | 一种基于云端的智能安全防御***和方法 |
| CN103310154B (zh) * | 2013-06-04 | 2016-12-28 | 腾讯科技(深圳)有限公司 | 信息安全处理的方法、设备和*** |
| CN103294955B (zh) * | 2013-06-28 | 2016-06-08 | 北京奇虎科技有限公司 | 宏病毒查杀方法及*** |
| CN105488403A (zh) * | 2014-12-23 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于pe文件中未使用字段的恶意代码检测方法及*** |
| CN106469281B (zh) * | 2015-08-18 | 2020-01-17 | 华为技术有限公司 | 一种云中数据文件的管理方法、云管理点和*** |
| CN105224871B (zh) * | 2015-09-22 | 2018-09-25 | 北京金山安全软件有限公司 | 一种病毒清除方法及装置 |
| CN106934276B (zh) * | 2015-12-30 | 2020-02-28 | 北京金山安全软件有限公司 | 一种检测移动终端***安全性的方法、装置及移动终端 |
| CN106934286B (zh) * | 2015-12-31 | 2020-02-04 | 北京金山安全软件有限公司 | 一种安全诊断方法、装置及电子设备 |
| CN106411891B (zh) * | 2016-09-29 | 2019-12-06 | 北京小米移动软件有限公司 | 文件处理方法、装置、服务端和设备 |
| CN107330327B (zh) * | 2017-06-02 | 2021-05-18 | 北京奇虎科技有限公司 | 感染文件检测方法、服务器、处理方法、装置和检测*** |
| CN107633173B (zh) * | 2017-09-06 | 2021-08-17 | 北京金山安全管理***技术有限公司 | 文件处理方法和装置 |
| CN107609359B (zh) * | 2017-09-30 | 2019-05-03 | 北京深思数盾科技股份有限公司 | 用于保护软件的方法和*** |
| CN108804917B (zh) * | 2017-12-22 | 2022-03-18 | 安天科技集团股份有限公司 | 一种文件检测方法、装置、电子设备及存储介质 |
| CN110263511A (zh) * | 2018-08-15 | 2019-09-20 | 北京立思辰计算机技术有限公司 | 文件自助导入方法和*** |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100574181C (zh) * | 2006-05-26 | 2009-12-23 | 上海晨兴电子科技有限公司 | 对手机接收数据进行病毒扫描和处理的方法及装置 |
| CN101308533A (zh) * | 2008-06-30 | 2008-11-19 | 华为技术有限公司 | 病毒查杀的方法、装置和*** |
| CN101576834B (zh) * | 2009-05-08 | 2012-05-30 | 西安蓝海本立信息科技有限公司 | 基于时间戳建立数据视图的连续数据保护***及方法 |
| CN101605074B (zh) * | 2009-07-06 | 2012-09-26 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
| CN101827096B (zh) * | 2010-04-09 | 2012-09-05 | 潘燕辉 | 一种基于云计算的多用户协同安全防护***和方法 |
-
2011
- 2011-01-17 CN CN201110008701.6A patent/CN102592103B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102592103A (zh) | 2012-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102592103B (zh) | 文件安全处理方法、设备及*** | |
| US11277423B2 (en) | Anomaly-based malicious-behavior detection | |
| Milajerdi et al. | Poirot: Aligning attack behavior with kernel audit records for cyber threat hunting | |
| US11086987B2 (en) | Malware detection in event loops | |
| US10348756B2 (en) | System and method for assessing vulnerability of a mobile device | |
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| Bayer et al. | Scalable, behavior-based malware clustering. | |
| US8667583B2 (en) | Collecting and analyzing malware data | |
| CN1773417B (zh) | 聚集反病毒软件应用程序的知识库的***和方法 | |
| KR101260028B1 (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
| US8627469B1 (en) | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications | |
| KR101733000B1 (ko) | 침해 사고 정보 수집 방법 및 장치 | |
| CN107786564B (zh) | 基于威胁情报的攻击检测方法、***及电子设备 | |
| CN102970272B (zh) | 用于病毒检测的方法、装置和云服务器 | |
| RU2523112C1 (ru) | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу | |
| US9367687B1 (en) | Method for malware detection using deep inspection and data discovery agents | |
| CN102413142A (zh) | 基于云平台的主动防御方法 | |
| CN102346828A (zh) | 一种基于云安全的恶意程序判断方法 | |
| CN101894225A (zh) | 聚集反病毒软件应用程序的知识库的***和方法 | |
| EP3531329B1 (en) | Anomaly-based-malicious-behavior detection | |
| US11057425B2 (en) | Apparatuses for optimizing rule to improve detection accuracy for exploit attack and methods thereof | |
| CN104899510A (zh) | 针对可移动存储设备的病毒检测查杀方法 | |
| CN104871171A (zh) | 分布式模式发现 | |
| JP2011193343A (ja) | 通信ネットワーク監視システム | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |