CN104243214B - 一种数据处理的方法、装置及*** - Google Patents
一种数据处理的方法、装置及*** Download PDFInfo
- Publication number
- CN104243214B CN104243214B CN201410510379.0A CN201410510379A CN104243214B CN 104243214 B CN104243214 B CN 104243214B CN 201410510379 A CN201410510379 A CN 201410510379A CN 104243214 B CN104243214 B CN 104243214B
- Authority
- CN
- China
- Prior art keywords
- terminal
- file
- file identification
- server
- reports
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 3
- 238000000034 method Methods 0.000 claims abstract description 93
- 238000012545 processing Methods 0.000 claims abstract description 58
- 241000700605 Viruses Species 0.000 claims abstract description 55
- 230000005540 biological transmission Effects 0.000 claims description 33
- 230000002155 anti-virotic effect Effects 0.000 claims description 11
- 238000000926 separation method Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 9
- 230000008359 toxicosis Effects 0.000 claims description 5
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 208000015181 infectious disease Diseases 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 239000002699 waste material Substances 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 239000004020 conductor Substances 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002513 implantation Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种数据处理的方法、装置及***,涉及互联网技术领域,解决了具有众多终端的局域网在云查杀出现病毒误报后人工去除误报工作量大、效率低的问题。本发明的方法包括:服务器向终端发送标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识;所述服务器接收所述终端上报的所述文件标识,所述文件标识用于对所述终端中的文件进行唯一标记;所述服务器将接收的所述文件标识添加到白名单中。本发明主要用于大规模网络部署环境下的云查杀。
Description
技术领域
本发明涉及互联网技术领域,特别是涉及一种数据处理的方法、装置及***。
背景技术
随着手机、电脑等电子设备的普及,病毒的种类和数量也日益增多。依靠传统的杀毒方法,从杀毒软件厂商的网站上下载新的病毒库对手机或电脑进行查杀,会导致用户手机或电脑上所需要存储的病毒库越来越大,这无疑会占用大量的***资源,从而导致***越来越慢。这种传统的杀毒方法已经无法满足日益发展的病毒查杀需求。
云查杀的出现,即把病毒库转移到服务器端,在查杀时通过与服务器端的联网获取病毒库信息。在进行云查杀时,服务器端在病毒库中遍历手机或电脑上报的文件标识,如果在黑名单中遍历到该文件标识,则表明手机或电脑中的该文件为病毒文件,如果在白名单中遍历到该文件标识,则表明手机或电脑中的该文件未感染病毒。
随着云查杀能力的提高,不可避免的会出现把安全文件错误的判断为病毒文件的情况,即当正常文件的文件标识被加入到了黑名单中时,服务器端会误把正常文件判断为病毒文件,这样就严重影响了云查杀的准确率。实际应用中,一旦出现病毒误报,就只能通过管理员在服务器端手动去除误报,即由管理员手动将正常文件的文件标识从黑名单移至白名单中。这种方法无法从源头上减少病毒误报的发生,只能被动的在病毒误报发生后手动去除误报,当局域网中接入的手机或电脑数量众多时,这样的人工操作方式工作量大、效率低,不适用于大规模的网络部署环境。
发明内容
有鉴于此,本发明提出了一种数据处理的方法、装置及***,主要目的在于解决手动去除误报工作量大、效率低的问题。
依据本发明的第一个方面,本发明提供了一种数据处理的方法,包括:
服务器向终端发送标识上报指令,标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识;
服务器接收终端上报的文件标识,文件标识用于对终端中的文件进行唯一标记;
服务器将接收的文件标识添加到白名单中。
依据本发明的第二个方面,本发明还提供了一种数据处理的方法,包括:
终端接收服务器发送的标识上报指令,标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识;
终端根据接收的标识上报指令判断当前的本地环境是否为纯净环境;
当当前的本地环境为纯净环境时,终端获取本地文件的文件标识;
终端向服务器上报获取的文件标识。
依据本发明的第三个方面,本发明还提供了一种数据处理的装置,该装置包括:
发送单元,用于向终端发送标识上报指令,标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识;
接收单元,用于接收终端根据发送单元发送的标识上报指令上报的文件标识,文件标识用于对终端中的文件进行唯一标记;
添加单元,用于将接收单元接收的文件标识添加到白名单中。
依据本发明的第四个方面,本发明还提供了一种数据处理的装置,该装置包括:
接收单元,用于接收服务器发送的标识上报指令,标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识;
判断单元,用于根据接收单元接收的标识上报指令判断当前的本地环境是否为纯净环境;
获取单元,用于当判断单元判断当前的本地环境为纯净环境时,获取本地文件的文件标识;
上报单元,用于向服务器上报获取单元获取的文件标识。
依据本发明的第五个方面,本发明还提供了一种数据处理的***,该***为由服务器和终端所组成的隔离网,其中,服务器包含如前第三个方面所指的装置,终端包含如前第四个方面所指的装置。
借由上述技术方案,本发明实施例提供的数据处理的方法、装置及***,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本发明能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例一提供的主要用于服务器一侧的数据处理的方法的流程图;
图2示出了本发明实施例二提供的主要用于终端一侧的数据处理的方法的流程图;
图3示出了本发明实施例一和实施例二的数据处理的方法的实施过程的流程图;
图4示出了本发明实施例一和实施例二应用于隔离网架构的示意图;
图5示出了本发明实施例三提供的一种数据处理的装置的结构示意图;
图6示出了本发明实施例三提供的另一种数据处理的装置的结构示意图;
图7示出了本发明实施例四提供的一种数据处理的装置的结构示意图;
图8示出了本发明实施例四提供的另一种数据处理的装置的结构示意图;
图9示出了本发明实施例五提供的一种数据处理的***的示意图。
具体实施方式
下面将参照附图更加详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决人工去除误报效率低下的问题,本发明实施例一提供了一种数据处理的方法,该方法主要侧重服务器一侧,如图1所示,该方法包括:
101、服务器向终端发送标识上报指令。
该标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识。本实施例中所述的纯净环境是指终端侧的***运行环境,通常认为,终端侧在***运行环境纯净的条件下,其内部的文件不携带病毒,因此可以将此条件下的文件直接添加到服务器的白名单中。
本实施例中所述的本地文件是指终端内存储的文件,包括磁盘及硬盘中存储的文件,在终端运行条件下,也包括内存中存储的文件。在文件类别上,本实施例所指的本地文件既可以是***文件,例如“.dll”后缀的文件,也可以是应用程序的文件,例如“.doc”、“.txt”后缀的文件等,本实施例不对本地文件的类别作限制。
此外,本实施例同样不对本地文件的类型作限制,实际应用中,本地文件的类型包括但不限于是:文本、音频、视频、网页及应用。
如前所述,服务器向终端发送的标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识,该文件标识能够对具体文件进行唯一标记,以便服务器侧能够根据该文件标识对不同文件进行区分。实际应用中,终端可以从本地文件的属性信息中直接读取该文件的文件标识,也可以通过某些算法(例如Hash算法)为本地文件分配文件标识。在本实施例的一种实现方式中,文件标识可以为一个字符串,也可以为一个由多个标志位组成的标志集合,或者文件标识还可以为一个二维码图片,该图片的二维码信息与文件的文件标识之间具有一一映射的关系。
102、服务器接收终端上报的文件标识。
本实施例中,服务器可以接收终端上报的部分文件的文件标识(例如只接收C盘中文件的文件标识),也可以接收终端上报的所有文件的文件标识。通常,服务器接收的文件标识数量与终端待上报的文件的数量一致。
进一步的,服务器还可以对多个文件标识进行集中接收。示例性的,终端在上报文件标识之前,可以本地建立一个二维关系表,该关系表用于记录文件名称与文件标识之间的映射关系(该映射关系同样要求为一一映射)。终端可以本地所有文件的文件标识添加到二维关系表中,并一次性上报给服务器。
103、服务器将接收的文件标识添加到白名单中。
通常,服务器中会存有用于病毒扫描的黑白名单,其中白名单中写有正常文件(即安全文件)的文件标识,黑名单中写有病毒文件的文件标识。在进行病毒扫描时,服务器分别在黑白名单中遍历终端待扫描文件的文件标识,若该文件标识保存在白名单中,则表示待扫描文件为正常文件;若该文件标识保存在黑名单中,则表示待扫描文件为病毒文件,需要对其进行隔离或删除等杀毒操作。在本实施例中,由于终端上报的文件标识属于纯净环境下文件的标识,如前所述通常纯净环境下的文件不携带病毒,因此服务器可以将接收到的文件标识直接添加到白名单中,不对其对应文件的安全性进行检测。
添加到白名单中的文件标识所对应的文件被认定为是安全文件,因此在后续网络运维的过程中,这些文件不会被检测为病毒文件,因而网络不会再产生任何误报。
本发明实施例提供的数据处理的方法,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本实施例能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。
进一步的,与实施例一所述方法对应的,本发明实施例二提供了一种数据处理的方法,该方法主要侧重终端一侧,用以与实施例一所述的服务器侧方法呼应。如图2所示,该方法包括:
201、终端接收服务器发送的标识上报指令。
本实施例中终端所接收的标识上报指令为上述实施例一步骤101中服务器发送的标识上报指令。
202、终端根据接收的标识上报指令判断当前的本地环境是否为纯净环境。
终端在接收到标识上报指令时,判断本地的***运行环境是否为纯净环境,如果判断当前的本地环境为纯净环境,则终端执行步骤203,获取本地文件的文件标识;如果判断当前的本地环境不为纯净环境,则终端结束图2所示流程。
本实施例中所述的纯净环境与实施例一步骤101中所述的纯净环境相同,此处不再赘述。
203、终端获取本地文件的文件标识。
在判断本地***运行环境为纯净环境时,终端获取本地文件的文件标识。
与实施例一中类似的,终端可以对本地全部文件的文件标识进行获取,也可以对本地部分文件的文件标识进行获取,本实施例对此不作限制。在获取文件标识时,终端可以直接从文件的属性信息中获取其文件标识,也可以通过某些算法为本地文件分配文件标识。
204、终端向服务器上报获取的文件标识。
终端在获取到文件标识后,将其上报给服务器,以便服务器将该文件标识添加到白名单中。
在上报文件标识时,与实施例一类似的,终端可以将多个文件标识分别上报给服务器,也可以在上报前于本地建立一个二维关系表,通过上报该二维关系表将多个文件标识集中上报给服务器。
本发明实施例提供的数据处理的方法,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本实施例能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。
进一步的,作为对上述实施例一、实施例二的细化和扩展,如图3所示,向白名单中添加文件标识的过程包括:
301、服务器向终端发送标识上报指令。
本步骤的实现方式与实施例一中步骤101的实现方式相同,此处不再赘述。
302、终端根据接收的标识上报指令判断当前的本地环境是否为纯净环境。
如前所述,当终端接收到标识上报指令后,对当前的本地环境进行判断,确定当前的本地环境是否为纯净环境。本实施例中所指的纯净环境包括:
终端新装机时的***运行环境;
终端进行本地杀毒后的***运行环境;
信任等级高于预设信任等级阈值的终端的***运行环境;
权限等级高于预设权限等级阈值的终端的***运行环境。
其中,终端根据接收的标识上报指令判断当前的本地环境是否为纯净环境,具体为:
1、对于终端新装机时的***运行环境,例如,新购买的电脑安装操作***或者旧电脑重新安装操作***后的终端可认为属于纯净环境。
2、对于终端进行本地杀毒后的***运行环境,例如,对终端进行全盘杀毒,即整个硬盘中存储的文件都进行杀毒后,这样的***运行环境可认为是纯净的环境;或者对硬盘的部分区域进行杀毒,即对该部分区域内的文件进行杀毒后,则可认为杀毒后的该部分区域为纯净环境。
3、对于信任等级高于预设信任等级阈值的终端的***运行环境,例如,服务器可以对所有终端中毒的历史进行记录,中毒次数少或者没有中毒过的终端,可认为这些终端是信任等级高的终端;或者很少从终端以外的设备、网络获取数据的终端,或者从终端内部文件的行为特征看,较少出现病毒行为特征,如***文件被篡改、注册表被篡改,这样的终端也可认为属于纯净环境。
4、对于权限等级高于预设权限等级阈值的终端的***运行环境,例如,拥有网络权限更高的人的终端,如经理、总监、网管的终端,通常情况下,这些终端都可认为属于纯净环境。
若通过步骤302判断当前的本地环境为纯净环境后,则终端执行步骤303,获取本地文件的文件标识。
若通过步骤302判断当前的本地环境不为纯净环境后,则终端结束图3所示流程。
303、终端获取本地文件的文件标识。
具体的,终端获取本地文件的文件标识,包括:
终端可以通过浏览器插件获取本地文件的文件标识,通过浏览器中预设的插件程序,终端获取本地内存或外存中存储的文件目录,对文件目录下的文件进行遍历,从文件属性信息中获取文件的文件标识。当然终端也可以通过其他方式获取本地文件的文件标识,例如通过植入的JS脚本语言获取文件标识等,本实施例不对终端获取文件标识的实现方式作限制。
除在接收到标识上报指令后上报本地已存储文件的文件标识外,在日常的网络运维过程中,当终端获取到新文件时,终端也可以主动或根据服务器的指示上报新文件的文件标识。此外,终端新获取的文件还包括终端获取的、对本地已有文件的更新文件。实际应用中,终端可以后台运行一个监听进程,对所有应用的数据请求接口进行监听,当发现获取了新文件时,终端主动获取该文件的文件标识并进行上报;或者,终端也可以根据服务器周期性下发的标识上报指令定期向服务器上报一段时间内获取的新文件的文件标识。
本实施例中,终端获取新文件的方式可以包括:1、通过有线传输或无线传输的方式获取局域网内其他终端发送的文件;2、通过通用串行总线(Universal Serial Bus,简称USB)接口获取外存设备中的文件。这两种文件获取方式主要针对于隔离网中的终端而言,实际应用中,当局域网中的终端可以连接公网时,上述获取的新文件还可以包括终端通过公网获取的各类文件。
与前述获取本地文件的文件标识类似的,在获得新文件后,终端可以通过浏览器插件或JS脚本语言获取新文件的文件标识。
需要说明的是,与纯净环境下的本地文件不同,新获取的文件通常安全性未知,由于新文件的文件标识在上传至服务器后会直接添加到白名单中,因此为保证新获取文件的安全性,与上报本地文件标识不同的是,在获取文件标识或上报文件标识之前,终端需要预先对新获取文件进行本地病毒扫描。对于正常文件而言,终端可以在病毒扫描后执行步骤304,上报其文件标识;而对于病毒文件而言,终端可以采取的方式有二:第一,终端在对该文件进行本地查杀,在该文件转变为正常文件后,上报其文件标识。第二,终端在本地对该文件进行隔离或删除,并向服务器上报其文件标识。与上报本地文件的文件标识不同,当新获取文件为病毒文件时,终端上报其文件标识的目的在于,使服务器将该文件标识添加到黑名单中,以对服务器侧的病毒样本库进行增量更新。
进一步的,前述的文件标识包括但不限于是:信息摘要算法5值(Message-DigestAlgorithm 5,MD5)、数字签名、文件名称、文件版本号、文件大小及文件摘要信息。其中,上述每种信息都可以单独用于对文件进行唯一标识。实际应用中,当不同文件的某些信息重复时(例如不同磁盘下的两个文件名称相同),也可以将上述任意两种或三种以上的信息进行组合,作为文件标识使用。示例性的,终端获取的文件标识可以是“文件名称+文件版本号+文件大小”或“MD5+数字签名”。
304、终端向服务器上报获取的文件标识。
终端可以通过与服务器之间的建立的有线或无线连接上报文件标识,此外,前述步骤301中终端也可以通过同样的方式接收服务器下发的标识上报指令。实际应用中,上述有线连接可以是铜绞线连接或光纤连接,而无线连接则通常包括无线保真(Wireless-Fidelity,WI-FI)、蓝牙、红外线、近距离无线通讯(Near Field Communication,NFC)等。
可选的,为避免重复上报相同文件标识对传输资源和服务器侧处理资源的浪费,终端在上报文件标识前,还可以对待上报的文件标识进行去重处理。通常,终端中包含的文件数量在十万级别,对于上报大量文件标识的情况,终端对文件标识进行去重可以有效减少冗余数据对网络带宽的占用,并减少服务器侧重复读写白名单的次数。
本方案中,终端对待上报文件标识的去重处理具体包括:
a、终端在上报文件标识前,接收服务器发送的文件标识,该文件标识为其他终端已向服务器上报过的文件标识。对于此种文件标识,服务器已将其添加到了白名单中,因此无需终端重复上报。
此外,服务器向终端上报的文件标识还包括,白名单中已有的文件标识,例如对于在其他终端上报文件标识前,管理员在黑白名单初始化时手动添加的文件标识,服务器可以将这类文件标识发送给终端进行去重。
在一种较易实现的方案中,服务器可以将白名单整体发送给终端进行去重,而不对其他终端上报的文件标识和管理员手动添加的文件标识进行区分。
b、终端检测服务器发送的文件标识是否与待上报的文件标识重复。
c、若服务器发送的文件标识与待上报的文件标识重复,则终端丢弃待上报文件标识中的重复文件标识,把剩余的不重复的文件标识上报至服务器。
d、若服务器发送的文件标识与待上报的文件标识不重复,则终端将这些不重复的待上报文件标识上报至服务器。
具体的,终端向服务器上报获取的文件标识,包括:
终端可以通过浏览器插件上报获取的文件标识。基于浏览器插件将文件标识通过前述有线传输或无线传输的方式上报给服务器。当然终端也可以通过其他方式上报获取的文件标识,例如直接调用数据传输接口向服务器上报文件标识,本实施例对文件标识的上报方式不进行限制。
305、服务器将接收的文件标识添加到白名单中。
在服务器接收到终端上报的文件标识后,直接将接收到的文件标识添加到白名单中。由此完成图3所示流程。
同样的,为避免重复上报相同文件标识对服务器侧处理资源的浪费,服务器在接收到终端上报的文件标识后,可以对文件标识进行去重处理,然后再将去重后的文件标识添加到白名单中。需要说明的是,与步骤304中终端去重的方式不同,本步骤是通过服务器对已接收到的文件标识进行服务器侧的去重。具体的,服务器侧的去重处理可以包括:
1)服务器在白名单中查找终端上报的文件标识。
服务器在接收到文件标识后,并非直接添加到白名单中,而是首先根据接收的文件标识对白名单进行遍历。当白名单中查找到接收的文件标识时,执行步骤2),当白名单中未查找到接收的文件标识时,执行步骤3)。
2)若查找到终端上报的文件标识,则服务器丢弃终端上报的文件标识。
3)若未查找到终端上报的文件标识,则服务器将终端上报的文件标识添加到白名单中。
可选的,为进一步提升文件标识的去重效果,服务器还可以在去重并添加白名单后,将新的白名单发送给终端进行备份,以便终端后续上报文件标识时进行终端侧去重使用。具体的,在将去重后的文件标识添加到白名单中之后,服务器将白名单中查找到的文件标识发送给其他终端,所谓查找到的文件标识为终端上报时白名单中已经添加过的文件标识,即上述步骤2)中服务器丢弃的文件标识。由于这些文件标识已存在于白名单中,终端上报该文件标识已经无用,因此对于其他终端而言上报相同的文件标识更无必要,服务器将这些文件标识发送给其他终端,以防止多个终端对相同的文件标识重复进行上报。
实际应用中,也存在将病毒文件错误添加到白名单的小概率事件,因此为进一步提高病毒扫描的准确性,本方案还可以在上述图3的基础上,进一步增加错误添加到白名单的补救方式。具体的,当发现将病毒文件的文件标识误加入到白名单中时,服务器还可以自动进行回滚操作,将白名单中误加入的文件标识转移到黑名单中。本实现方式中,服务器可以自动对误加白的情况进行识别和处理,也可以在识别到误加白后接受网管人员的手动处理。
对于自动处理的实现方式,服务器可以在黑白名单的日常维护过程中,对黑白名单中文件标识的变化进行检测。当检测到某个终端上报的黑名单文件标识存在于白名单中时,服务器自动将错误加白的文件标识转移到黑名单中。
而对于人工处理的实现方式,服务器则可以在检测到某个终端上报的黑名单文件标识存在于白名单中后,调用转移功能接口为网管人员提供人机交互的界面或窗口,以供网管人员手动将文件标识从白名单转移到黑名单中。可选的,当转移的文件标识较多时,服务器还可以在界面或窗口中为网管人员提供批量转移文件标识的功能,以供网管人员对多个文件标识一次性进行勾选和批量转移。
实际应用中,当网管人员或技术人员对白名单进行检查时,发现文件标识错误加白;或者在检查黑名单时,发现黑名单中含有该文件标识;或者根据QVB的行为特征检测,判断出白名单中的文件为病毒文件,则这些错误加白的文件标识就需要转移。
进一步的,由于前述方案是基于终端在纯净环境下未被病毒感染定义的,而终端在纯净环境并不能保证绝对不被病毒感染,当发现终端上报的文件标识为病毒文件的标识时,终端本地的***运行环境已不再是绝对的纯净环境,不排除终端中的其他文件未被感染。因此,为谨慎起见,服务器对上报错误加白的文件标识的终端进行标记,并对带标记终端所上报的其他文件标识转移到灰名单中。当终端不再处于纯净环境时,服务器对该终端(中的文件)的信任等级降低,将该终端中其他文件的文件标识添加到用于存储可疑文件标识的灰名单中,以备后续处理。由于加灰的文件标识仅仅是存在携带病毒的可能性(而非必然是病毒文件的文件标识),因此,在添加到灰名单之后,服务器还需要对加灰的文件标识做进一步判断和处理,例如将该灰名单发送至公网,进行公有云查杀,并根据查杀结果对灰名单中的文件标识重新进行本地的加白加黑。
在前述对终端进行标记时,服务器可以通过文件标识中携带的终端标识对终端进行识别。所述终端标识包括但不限于是MID、网络之间互连的协议地址(InternetProtocol,IP地址)、硬件地址(Media Access Control,MAC地址)等,当某个文件标识错误加白时,服务器可以获取其携带的终端标识,从而识别出发送该文件标识的终端。
在本发明的一个应用场景中,上述图3所示方法可以应用于隔离网架构中,如图4所示,该隔离网的架构包括一个服务器和多个终端,服务器与终端之间建立有数据传输连接,同时,服务器还可连接一个只授权于网管人员使用的终端,通过该终端网管人员可以对服务器进行日常运维,例如监测终端行为、对服务器中黑白名单中的文件标识更新等。本场景所指的隔离网是相对于公网定义的,该隔离网的网络整体环境与外部公网之间存在物理隔离,无法与外部公网进行数据交互。基于这样的特性,隔离网的病毒查杀过程为:隔离网内的终端将各自文件的文件标识向服务器上报,服务器对终端上报的文件标识进行私有云查杀,所谓私有云是相对公网侧的公有云而言的,由于隔离网的网络环境不能与外部公网交互数据,因此隔离网中的病毒样本库通过本地服务器的私有云进行保存。下面基于图4所示的隔离网架构,对本发明实施例中文件标识加白的方式进行示例性说明。假设,终端a上报文件标识1、2、3、4,终端b上报文件标识3、4、5、6,终端c上报文件标识6、7、8、9。当服务器接收到终端a上报的文件标识1、2、3、4后,对白名单中的文件标识进行比较,发现白名单中已经存在文件标识1,这时,服务器就只会把文件标识2、3、4添加到白名单中,随后把终端a上报的文件标识1、2、3、4发送给其他终端。当终端b接收到服务器发送的文件标识后,与待上报的文件标识3、4、5、6进行比较,发现待上报的文件标记中,文件标识3、4重复,终端b就会删除文件标识3和4,并将文件标识5、6上报给服务器。当服务器接收到终端b上报的文件标识5、6后,将文件标识5、6对白名单中的文件标识进行比较后,发现白名单中不存在文件标识5、6,这样服务器就把文件标识5、6添加到白名单中,随后把终端b上报的文件标识3、4、5、6发送给其他终端。当终端c接收到服务器两次发送的文件标识1、2、3、4、5、6后,与待上报的文件标识6、7、8、9进行比较,发现待上报的文件标识中,文件标识6重复,终端c就会删除文件标识6,将文件标识7、8、9上报给服务器。如此往复,服务器会将各个终端上报的文件标识唯一的添加到白名单中。
进一步的,作为对上述方法的实现,本发明实施例三还提供了一种数据处理的装置,该装置位于服务器中,或独立于服务器但与服务器之间具有数据交互关系,用以实现上述方法。如图5所示,该装置包括:发送单元51、接收单元52以及添加单元53,其中,
发送单元51,用于向终端发送标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识;
接收单元52,用于接收所述终端根据所述发送单元51发送的所述标识上报指令上报的所述文件标识,所述文件标识用于对所述终端中的文件进行唯一标记;
添加单元53,用于将所述接收单元52接收的所述文件标识添加到白名单中。
进一步的,所述发送单元51发送的所述标识上报指令所指示的所述纯净环境包括:
所述终端新装机时的***运行环境;
或者,所述终端进行本地杀毒后的***运行环境;
或者,信任等级高于预设信任等级阈值的终端的***运行环境;
或者,权限等级高于预设权限等级阈值的终端的***运行环境。
进一步的,如图6所示,所述装置还包括:
去重单元54,用于在所述添加单元53将所述接收单元52接收的所述文件标识添加到白名单中之前,对所述接收单元52接收的所述终端上报的所述文件标识进行去重处理。
进一步的,如图6所示,所述去重单元54包括:
查找模块541,用于在所述白名单中查找所述接收单元52接收的所述终端上报的所述文件标识;
去重模块542,用于当所述查找模块541查找到所述终端上报的所述文件标识时,丢弃所述终端上报的所述文件标识;
所述添加单元53,用于当所述查找模块541未查找到所述终端上报的所述文件标识时,将所述终端上报的所述文件标识添加到所述白名单中。
进一步的,所述发送单元51,用于当所述查找模块541在所述白名单中查找到所述终端上报的所述文件标识时,将所述查找模块541查找到的文件标识发送给其他终端,以使得所述其他终端取消向所述服务器重复上报所述文件标识。
进一步的,如图6所示,所述去重单元54还包括:
发送模块543,用于将所述终端上报的所述文件标识发送给其他终端,以使得所述其他终端取消向所述服务器重复上报所述文件标识。
进一步的,所述接收单元52,用于当所述终端获得新文件时,接收所述终端发送的所述新文件的文件标识;
所述添加单元53用于将所述接收单元52接收的所述新文件的文件标识添加到所述白名单中。
进一步的,所述终端获得的新文件,包括:
所述终端通过有线传输或无线传输方式获取的其他终端发送的文件;
或者,所述终端通过通用串行总线接口获取的外存设备中的文件。
进一步的,如图6所示,所述装置还包括:接口调用单元55;
所述添加单元53用于在将所述接收单元52接收的所述文件标识添加到白名单中之后,当所述文件标识错误加白时,将所述文件标识转移到黑名单中;
所述接口调用单元55,用于在所述添加单元53将所述接收单元52接收的所述文件标识添加到白名单中之后,当所述文件标识错误加白时,调用转移功能接口提供手动转移功能。
进一步的,如图6所示,所述装置还包括:
标记单元56,用于在所述添加单元53将所述文件标识转移到黑名单中之后,对上报所述文件标识的终端进行标记;
所述添加单元53,用于对所述标记单元56标记的终端所上报的其他文件标识转移到灰名单中。
本发明实施例三提供的数据处理的装置,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本发明实施例三提供的数据处理的装置,能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。同时,本发明实施例三提供的数据处理的装置,使服务器能够对已存在于白名单中的上报文件的文件标识进行去重处理,避免了重复上报相同文件标识对服务器侧处理资源的浪费。
进一步的,作为对上述方法的实现,与本发明实施例三对应的,本发明实施例四还提供了一种数据处理的装置,该装置位于终端中,或独立于终端但与终端之间具有数据交互关系,用以实现上述方法。如图7所示,该装置包括:接收单元71、判断单元72、获取单元73以及上报单元74,其中,
接收单元71,用于接收服务器发送的标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识;
判断单元72,用于根据所述接收单元71接收的所述标识上报指令判断当前的本地环境是否为纯净环境;
获取单元73,用于当所述判断单元72判断当前的本地环境为纯净环境时,获取本地文件的文件标识;
上报单元74,用于向所述服务器上报所述获取单元73获取的所述文件标识。
进一步的,如图8所示,判断单元72包括:
第一判断模块721,用于判断本地***运行环境是否为新装机时的***运行环境;
第二判断模块722,用于判断本地***运行环境是否为进行本地杀毒后的***运行环境;
第三判断模块723,用于判断本地***运行环境是否为信任等级高于预设信任等级阈值的***运行环境;
第四判断模块724,用于判断本地***运行环境是否为权限等级高于预设权限等级阈值的***运行环境。
进一步的,如图8所示,该装置还包括:
去重单元75,用于对所述上报单元74待上报的文件标识进行去重处理。
进一步的,如图8所示,去重单元75包括:检测模块751,
所述接收单元71,用于接收所述服务器发送的文件标识,所述文件标识为其他终端已上报过的文件标识;
所述检测模块751,用于检测所述接收单元71接收所述服务器发送的其他终端已上报过的文件标识是否与所述上报单元74待上报的文件标识重复;
处理模块752,用于当所述检测模块751检测接收单元71接收的文件标识与所述上报单元74待上报的文件标识重复时,丢弃所述上报单元74待上报文件标识中的重复文件标识。
进一步的,所述获取单元73用于通过浏览器插件获取本地文件的文件标识;所述上报单元74用于通过浏览器插件上报获取的所述文件标识。
进一步的,所述获取单元73用于当所述装置获得新文件时,通过浏览器插件获取所述新文件的文件标识;
所述上报单元74,用于通过浏览器插件向所述服务器上报所述新文件的文件标识。
进一步的,所述装置用于通过有线传输或无线传输方式获取的其他终端发送的文件;
所述装置还用于通过通用串行总线接口获取的外存设备中的文件。
借由上述技术方案,本发明实施例四提供的数据处理的装置,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本发明实施例四提供的数据处理的装置,能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。同时,本发明实施例四提供的数据处理的装置,能够对终端已上报给服务器的文件标识进行去重处理,有效减少冗余数据对网络带宽的占用和服务器重复读写白名单的次数,避免了重复上报相同文件标识对传输资源和服务器侧处理资源的浪费。
进一步的,作为对上述方法的实现以及上述装置的应用,如图9所示,本发明实施例五还提供了一种数据处理的***,该***为由服务器91和终端92组成。服务器91包含有实施例三中图5及图6所示的装置,终端92包含有实施例四中图7及图8所示的装置。
本发明实施例五提供的数据处理的***,能够在终端处于纯净的***运行环境下时,由服务器获取终端中各种文件的文件标识,并自动将获取的文件标识添加到白名单中。通常纯净***运行环境下的文件感染病毒的几率较小,所以可以将该环境下的文件定义为正常文件并全部加入到白名单中。在进行云查杀时,由于各文件的文件标识没有出现在黑名单中,因此服务器不会产生查杀误报。与现有技术相比,本发明实施例五提供的数据处理的***,能够在源头上避免查杀误报的产生,无需管理员手动去除误报,网络管理过程手动操作少、管理效率高,更加适用于大规模环境下的网络部署。同时,本发明实施例五提供的数据处理的***,使服务器能够对已存在于白名单中的上报文件的文件标识进行去重处理,同时使终端能够对已上报给服务器的文件标识进行去重处理,有效减少冗余数据对网络带宽的占用和服务器重复读写白名单的次数,避免了重复上报相同文件标识对传输资源和服务器侧处理资源的浪费。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的***,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (33)
1.一种数据处理的方法,其特征在于,所述方法包括:
在云查杀病毒时,服务器向终端发送标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识,而当所述终端的***运行在所述纯净环境下时,所述终端获取本地文件的文件标识并向所述服务器上报所述文件标识;
所述服务器接收所述终端上报的所述文件标识,所述文件标识用于对所述终端中的文件进行唯一标记;
所述服务器将接收的所述文件标识添加到白名单中,所述白名单保存在所述服务器中;
所述纯净环境包括:
所述终端新装机时的***运行环境;
或者,所述终端进行本地杀毒后的***运行环境;
或者,信任等级高于预设信任等级阈值的终端的***运行环境,所述信任等级是根据终端历史中毒次数或者根据终端内文件出现病毒行为特征次数确定的;
或者,权限等级高于预设权限等级阈值的终端的***运行环境,所述权限等级是根据终端使用者的用户等级确定的。
2.根据权利要求1所述的方法,其特征在于,在所述服务器将接收的所述文件标识添加到白名单中之前,所述方法进一步包括:
所述服务器对所述终端上报的所述文件标识进行去重处理。
3.根据权利要求2所述的方法,其特征在于,所述服务器对所述终端上报的所述文件标识进行去重处理,包括:
所述服务器在所述白名单中查找所述终端上报的所述文件标识;
若查找到所述终端上报的所述文件标识,则所述服务器丢弃所述终端上报的所述文件标识;
若未查找到所述终端上报的所述文件标识,则所述服务器将所述终端上报的所述文件标识添加到所述白名单中。
4.根据权利要求3所述的方法,其特征在于,若查找到所述终端上报的所述文件标识,所述方法进一步包括:
所述服务器将所述白名单中查找到的文件标识发送给其他终端,以使得所述其他终端取消向所述服务器重复上报所述文件标识。
5.根据权利要求2所述的方法,其特征在于,所述服务器对所述终端上报的所述文件标识进行去重处理,包括:
所述服务器将所述终端上报的所述文件标识发送给其他终端,以使得所述其他终端取消向所述服务器重复上报所述文件标识。
6.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
若所述终端获得新文件,则所述服务器接收所述终端发送的所述新文件的文件标识;
所述服务器将所述新文件的文件标识添加到所述白名单中。
7.根据权利要求6所述的方法,其特征在于,所述终端获得的新文件,包括:
所述终端通过有线传输或无线传输方式获取的其他终端发送的文件;
或者,所述终端通过通用串行总线接口获取的外存设备中的文件。
8.根据权利要求1所述的方法,其特征在于,在所述服务器将接收的所述文件标识添加到白名单中之后,若所述文件标识错误添加到所述白名单,则:
将所述文件标识转移到黑名单中;
或者,调用转移功能接口提供手动转移功能。
9.根据权利要求8所述的方法,其特征在于,在将所述文件标识转移到黑名单中之后,所述方法进一步包括:
对上报所述文件标识的终端进行标记;
对带标记终端所上报的其他文件标识转移到灰名单中。
10.根据权利要求1至9中任一项所述的方法,其特征在于,所述文件标识为下述参数中的一项或多项的组合:
信息摘要算法5值、数字签名、文件名称、文件版本号、文件大小、文件摘要信息。
11.一种数据处理的方法,其特征在于,所述方法包括:
在云查杀病毒时,终端接收服务器发送的标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识;
所述终端根据接收的所述标识上报指令判断当前的本地环境是否为纯净环境;
当当前的本地环境为纯净环境时,所述终端获取本地文件的文件标识;
所述终端向所述服务器上报获取的所述文件标识;
所述终端根据接收的标识上报指令判断当前的本地环境是否为纯净环境,包括:
所述终端判断本地***运行环境是否为新装机时的***运行环境;
或者,所述终端判断本地***运行环境是否为进行本地杀毒后的***运行环境;
或者,所述终端判断本地***运行环境是否为信任等级高于预设信任等级阈值的***运行环境,所述信任等级是根据终端历史中毒次数或者根据终端内文件出现病毒行为特征次数确定的;
或者,所述终端判断本地***运行环境是否为权限等级高于预设权限等级阈值的***运行环境,所述权限等级是根据终端使用者的用户等级确定的。
12.根据权利要求11所述的方法,其特征在于,在所述终端向所述服务器上报获取的所述文件标识之前,所述方法进一步包括:
所述终端对待上报的文件标识进行去重处理。
13.根据权利要求12所述的方法,其特征在于,所述终端对待上报的文件标识进行去重处理,包括:
所述终端接收所述服务器发送的文件标识,所述文件标识为其他终端已上报过的文件标识;
所述终端检测所述服务器发送的文件标识是否与待上报的文件标识重复;
若所述服务器发送的文件标识与待上报的文件标识重复,则所述终端丢弃待上报文件标识中的重复文件标识。
14.根据权利要求11所述的方法,其特征在于,所述终端获取本地文件的文件标识,包括:
所述终端通过浏览器插件获取本地文件的文件标识;
所述终端向所述服务器上报获取的所述文件标识,包括:
所述终端通过浏览器插件上报获取的所述文件标识。
15.根据权利要求11所述的方法,其特征在于,所述方法进一步包括:
若所述终端获得新文件,则所述终端获取并向所述服务器上报所述新文件的文件标识。
16.根据权利要求15所述的方法,其特征在于,所述终端获得的新文件,包括:
所述终端通过有线传输或无线传输方式获取的其他终端发送的文件;
或者,所述终端通过通用串行总线接口获取的外存设备中的文件。
17.根据权利要求11至16中任一项所述的方法,其特征在于,所述文件标识为下述参数中的一项或多项的组合:
信息摘要算法5值、数字签名、文件名称、文件版本号、文件大小、文件摘要信息。
18.一种数据处理的装置,其特征在于,所述装置包括:
发送单元,用于在云查杀病毒时,向终端发送标识上报指令,所述标识上报指令用于指示所述终端在纯净环境下上报本地文件的文件标识,而当所述终端的***运行在所述纯净环境下时,所述终端获取本地文件的文件标识并向服务器上报所述文件标识;
接收单元,用于接收所述终端根据所述发送单元发送的所述标识上报指令上报的所述文件标识,所述文件标识用于对所述终端中的文件进行唯一标记;
添加单元,用于将所述接收单元接收的所述文件标识添加到白名单中,所述白名单保存在所述服务器中;
所述发送单元发送的所述标识上报指令所指示的所述纯净环境包括:
所述终端新装机时的***运行环境;
或者,所述终端进行本地杀毒后的***运行环境;
或者,信任等级高于预设信任等级阈值的终端的***运行环境,所述信任等级是根据终端历史中毒次数或者根据终端内文件出现病毒行为特征次数确定的;
或者,权限等级高于预设权限等级阈值的终端的***运行环境,所述权限等级是根据终端使用者的用户等级确定的。
19.根据权利要求18所述的装置,其特征在于,所述装置还包括:
去重单元,用于在所述添加单元将所述接收单元接收的所述文件标识添加到白名单中之前,对所述接收单元接收的所述终端上报的所述文件标识进行去重处理。
20.根据权利要求19所述的装置,其特征在于,所述去重单元包括:
查找模块,用于在所述白名单中查找所述接收单元接收的所述终端上报的所述文件标识;
去重模块,用于当所述查找模块查找到所述终端上报的所述文件标识时,丢弃所述终端上报的所述文件标识;
所述添加单元,用于当所述查找模块未查找到所述终端上报的所述文件标识时,将所述终端上报的所述文件标识添加到所述白名单中。
21.根据权利要求20所述的装置,其特征在于:
所述发送单元,用于当所述查找模块在所述白名单中查找到所述终端上报的所述文件标识时,将所述查找模块查找到的文件标识发送给其他终端,以使得所述其他终端取消向服务器重复上报所述文件标识。
22.根据权利要求19所述的装置,其特征在于,所述去重单元还包括:
发送模块,用于将所述终端上报的所述文件标识发送给其他终端,以使得所述其他终端取消向服务器重复上报所述文件标识。
23.根据权利要求18所述的装置,其特征在于,所述接收单元,用于当所述终端获得新文件时,接收所述终端发送的所述新文件的文件标识;
所述添加单元用于将所述接收单元接收的所述新文件的文件标识添加到所述白名单中。
24.根据权利要求23所述的装置,其特征在于,所述终端获得的新文件,包括:
所述终端通过有线传输或无线传输方式获取的其他终端发送的文件;
或者,所述终端通过通用串行总线接口获取的外存设备中的文件。
25.根据权利要求18所述的装置,其特征在于,所述装置还包括:接口调用单元;
所述添加单元用于在将所述接收单元接收的所述文件标识添加到白名单中之后,当所述文件标识错误添加到所述白名单时,将所述文件标识转移到黑名单中;
所述接口调用单元,用于在所述添加单元将所述接收单元接收的所述文件标识添加到白名单中之后,当所述文件标识错误添加到所述白名单时,调用转移功能接口提供手动转移功能。
26.根据权利要求25所述的装置,其特征在于,所述装置还包括:
标记单元,用于在所述添加单元将所述文件标识转移到黑名单中之后,对上报所述文件标识的终端进行标记;
所述添加单元,用于对所述标记单元标记的终端所上报的其他文件标识转移到灰名单中。
27.一种数据处理的装置,其特征在于,所述装置包括:
接收单元,用于在云查杀病毒时,接收服务器发送的标识上报指令,所述标识上报指令用于指示终端在纯净环境下上报本地文件的文件标识;
判断单元,用于根据所述接收单元接收的所述标识上报指令判断当前的本地环境是否为纯净环境;
获取单元,用于当所述判断单元判断当前的本地环境为纯净环境时,获取本地文件的文件标识;
上报单元,用于向所述服务器上报所述获取单元获取的所述文件标识;
所述判断单元包括:
第一判断模块,用于判断本地***运行环境是否为新装机时的***运行环境;
第二判断模块,用于判断本地***运行环境是否为进行本地杀毒后的***运行环境;
第三判断模块,用于判断本地***运行环境是否为信任等级高于预设信任等级阈值的***运行环境,所述信任等级是根据终端历史中毒次数或者根据终端内文件出现病毒行为特征次数确定的;
第四判断模块,用于判断本地***运行环境是否为权限等级高于预设权限等级阈值的***运行环境,所述权限等级是根据终端使用者的用户等级确定的。
28.根据权利要求27所述的装置,其特征在于,所述装置还包括:
去重单元,用于对所述上报单元待上报的文件标识进行去重处理。
29.根据权利要求28所述的装置,其特征在于,所述去重单元包括:检测模块;
所述接收单元,用于接收所述服务器发送的文件标识,所述文件标识为其他终端已上报过的文件标识;
所述检测模块,用于检测所述接收单元接收所述服务器发送的其他终端已上报过的文件标识是否与所述上报单元待上报的文件标识重复;
处理模块,用于当所述检测模块检测接收单元接收的文件标识与所述上报单元待上报的文件标识重复时,丢弃所述上报单元待上报文件标识中的重复文件标识。
30.根据权利要求27所述的装置,其特征在于,所述获取单元用于通过浏览器插件获取本地文件的文件标识;
所述上报单元用于通过浏览器插件上报获取的所述文件标识。
31.根据权利要求27所述的装置,其特征在于,所述获取单元用于当所述装置获得新文件时,通过浏览器插件获取所述新文件的文件标识;
所述上报单元,用于通过浏览器插件向所述服务器上报所述新文件的文件标识。
32.根据权利要求31所述的装置,其特征在于,所述装置用于通过有线传输或无线传输方式获取的其他终端发送的文件;
所述装置还用于通过通用串行总线接口获取的外存设备中的文件。
33.一种数据处理的***,其特征在于,所述***为由服务器和终端所组成的隔离网,其中,所述服务器包含如权利要求18至权利要求26中任一项所述的装置,所述终端包含如权利要求27至权利要求32中任一项所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510379.0A CN104243214B (zh) | 2014-09-28 | 2014-09-28 | 一种数据处理的方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410510379.0A CN104243214B (zh) | 2014-09-28 | 2014-09-28 | 一种数据处理的方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243214A CN104243214A (zh) | 2014-12-24 |
| CN104243214B true CN104243214B (zh) | 2019-11-26 |
Family
ID=52230614
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410510379.0A Active CN104243214B (zh) | 2014-09-28 | 2014-09-28 | 一种数据处理的方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243214B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109714346B (zh) * | 2015-12-15 | 2021-06-25 | 北京奇虎科技有限公司 | 后门文件的查杀方法及装置 |
| CN106682510B (zh) * | 2016-09-06 | 2019-04-12 | 腾讯科技(深圳)有限公司 | 一种防止病毒误杀的方法及装置 |
| JP2018124893A (ja) * | 2017-02-03 | 2018-08-09 | 株式会社日立ソリューションズ | 計算機システム及びファイルアクセスコントロール方法 |
| CN106911678B (zh) * | 2017-02-14 | 2020-06-09 | 杭州迪普科技股份有限公司 | 一种病毒检测方法及装置 |
| CN107682392A (zh) * | 2017-08-07 | 2018-02-09 | 北京金山安全管理***技术有限公司 | 特定类型文件的通知方法及装置、存储介质和处理器 |
| CN107885859B (zh) * | 2017-11-20 | 2021-10-15 | 郑州云海信息技术有限公司 | 一种文件个数配额的方法、装置和计算机可读存储介质 |
| CN108959397A (zh) * | 2018-06-04 | 2018-12-07 | 成都盯盯科技有限公司 | 重复数据删除方法及终端 |
| CN110008694A (zh) * | 2019-04-15 | 2019-07-12 | 苏州浪潮智能科技有限公司 | 一种应用程序安全控制方法、装置、设备及可读存储介质 |
| CN112395602B (zh) * | 2019-08-15 | 2022-09-30 | 奇安信安全技术(珠海)有限公司 | 静态安全特征数据库的处理方法、装置及*** |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607433A (zh) * | 2013-11-01 | 2014-02-26 | 北京奇虎科技有限公司 | 一种在终端分批部署文件的方法及装置 |
| CN103647753A (zh) * | 2013-11-19 | 2014-03-19 | 北京奇虎科技有限公司 | 一种局域网文件安全管理方法、服务端和*** |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935789B2 (en) * | 2008-07-21 | 2015-01-13 | Jayant Shukla | Fixing computer files infected by virus and other malware |
| US8375450B1 (en) * | 2009-10-05 | 2013-02-12 | Trend Micro, Inc. | Zero day malware scanner |
| CN105912424A (zh) * | 2011-09-30 | 2016-08-31 | 北京奇虎科技有限公司 | 一种基于云架构的终端程序快速备份及恢复方法 |
| CN103457852B (zh) * | 2013-09-13 | 2016-04-20 | 电子科技大学 | 一种多播虚拟网络的抗毁性映射方法 |
-
2014
- 2014-09-28 CN CN201410510379.0A patent/CN104243214B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103607433A (zh) * | 2013-11-01 | 2014-02-26 | 北京奇虎科技有限公司 | 一种在终端分批部署文件的方法及装置 |
| CN103647753A (zh) * | 2013-11-19 | 2014-03-19 | 北京奇虎科技有限公司 | 一种局域网文件安全管理方法、服务端和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243214A (zh) | 2014-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243214B (zh) | 一种数据处理的方法、装置及*** | |
| US10812513B1 (en) | Correlation and consolidation holistic views of analytic data pertaining to a malware attack | |
| CN102833258B (zh) | 网址访问方法及*** | |
| US10447709B2 (en) | Methods and systems for integrating reconnaissance with security assessments for computing networks | |
| US10997307B1 (en) | System and method for clustering files and assigning a property based on clustering | |
| CN103843002B (zh) | 使用云技术对恶意软件的动态清理 | |
| US9160756B2 (en) | Method and apparatus for protecting markup language document against cross-site scripting attack | |
| CN112703496B (zh) | 关于恶意浏览器插件对应用用户的基于内容策略的通知 | |
| CN104363251B (zh) | 网站安全检测方法与装置 | |
| CN103023905B (zh) | 一种用于检测恶意链接的设备、方法及*** | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| US11882130B2 (en) | Automated extraction and classification of malicious indicators | |
| CN111563015B (zh) | 数据监控方法及装置、计算机可读介质及终端设备 | |
| Siby et al. | {WebGraph}: Capturing advertising and tracking information flows for robust blocking | |
| CN105631312A (zh) | 恶意程序的处理方法及*** | |
| CN104021017A (zh) | 启动项的处理方法和装置 | |
| CN103036896B (zh) | 用于检测恶意链接的方法及*** | |
| US10931688B2 (en) | Malicious website discovery using web analytics identifiers | |
| JP5752642B2 (ja) | 監視装置および監視方法 | |
| RU2738337C1 (ru) | Система и способ обнаружения интеллектуальных ботов и защиты от них | |
| US11582226B2 (en) | Malicious website discovery using legitimate third party identifiers | |
| CN102761535A (zh) | 病毒监测方法和设备 | |
| CN104243604A (zh) | 一种文件禁用的方法及装置 | |
| CN104539611A (zh) | 共享文件管理的方法、装置及*** | |
| US10250625B2 (en) | Information processing device, communication history analysis method, and medium |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161124 Address after: 100088 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: No. 32, Building 3, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: Beijing Chaoyang District Jiuxianqiao Road 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |