CN102915421B - 文件的扫描方法及系统 - Google Patents
文件的扫描方法及系统 Download PDFInfo
- Publication number
- CN102915421B CN102915421B CN2011102227389A CN201110222738A CN102915421B CN 102915421 B CN102915421 B CN 102915421B CN 2011102227389 A CN2011102227389 A CN 2011102227389A CN 201110222738 A CN201110222738 A CN 201110222738A CN 102915421 B CN102915421 B CN 102915421B
- Authority
- CN
- China
- Prior art keywords
- file
- scanned
- scanning
- enumerating
- property value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2139—Recurrent verification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
一种文件的扫描方法包括如下步骤:枚举待扫描文件;从枚举的待扫描文件逐一获取待扫描文件的属性值,并向服务端传输属性值;将属性值与服务端中存储的特征码进行比对,得到与属性值一致的特征码以及特征码所属的类别;根据与属性值一致的特征码以及特征码所属的类别形成待扫描文件、属性值以及类别之间的对应关系,并将对应关系记录于第一扫描结果中。上述文件的扫描方法及系统,将待扫描文件的属性值传输到服务端中,与存储在服务端中的特征码及其类别进行比对实现文件的安全性和危险性识别,由于突破了客户端存储限制的服务端可存储大量的特征码,并且服务端可最快最及时地更新特征码,使得服务端中的特征码较为全面,大大提高了文件扫描效率。
Description
【技术领域】
本发明涉及数据处理技术,特别是涉及一种文件的扫描方法及系统。
【背景技术】
随着计算机技术的不断发展,越来越多的人通过各种文件进行工作和娱乐,人们所使用的文件可以是通过互联网下载到的,也可以是从移动存储介质中获取到的,还可以是与其他用户建立连接实现相互传输所得到的,因此,对于用户而言,通过各种途径所得到的文件以及用户所使用的电脑、手机等终端设备中存在产生危害的可疑文件的可能性非常高,进而导致可疑文件中的病毒程序文件和木马程序文件大量泛滥,对用户的使用文件造成了严重的危害。
然而,在对各种文件进行可疑文件扫描时仅仅依赖于安装于本地的客户端引擎和本地病毒库,客户端引擎是杀毒引擎,而本地病毒库中所能够存储的用于查找可疑文件的病毒特征码有限,且存在于各种文件中的病毒程序文件以及木马程序文件数量在迅猛增长,远远超过了本地病毒库的更新速度,从而使得本地病毒库只能被动地加快更新速度。
由于本地病毒库所能够存储的病毒特征码并不能涵盖所有的病毒程序文件以及木马程序文件,这将使得客户端引擎对文件所进行的可疑文件扫描存在着扫描效率不高的缺陷。
【发明内容】
基于此,有必要提供一种能提高查杀率的文件的扫描方法。
此外,还有必要提供一种能提高查杀率的文件的扫描系统。
一种文件的扫描方法,包括如下步骤:
枚举待扫描文件;
从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值,并向服务端传输所述属性值;
将所述属性值与服务端中存储的特征码进行比对,得到与所述属性值一致的特征码以及所述特征码所属的类别;
根据与所述属性值一致的特征码以及所述特征码所属的类别形成所述待扫描文件、属性值以及类别之间的对应关系,并将所述对应关系记录于第一扫描结果中。
一种文件的扫描系统,包括客户端以及服务端;
所述客户端包括:
枚举模块,用于枚举待扫描文件;
属性值获取模块,用于从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值,并向服务端传输所述属性值;
所述服务端包括:
数据库,用于存储特征码以及所述特征码所属的类别;
比对模块,用于将所述属性值与存储的特征码进行比对,得到与所述属性值相一致的特征码以及所述特征码所属的类别;
对应关系形成模块,用于根据与所述属性值一致的特征码以及所述特征码所属的类别形成所述待扫描文件、属性值以及类别之间的对应关系,并将所述对应关系记录于第一扫描结果中。
上述文件的扫描方法及系统,将待扫描文件的属性值传输到服务端中,通过与存储在服务端中的特征码及其类别进行比对实现文件的安全性和危险性识别,由于突破了客户端存储限制的服务端可存储大量的特征码,并且服务端可最快最及时地更新特征码,使得服务端中的特征码较为全面,大大提高了文件的扫描效率。
【附图说明】
图1为一个实施例中文件的扫描方法的流程图;
图2为另一个实施例中文件的扫描方法的流程图;
图3为另一个实施例中文件的扫描方法的流程图;
图4为另一个实施例中文件的扫描方法的流程图;
图5为图4中根据第一扫描结果确定进行本地扫描的待扫描文件的方法流程图;
图6为一个实施例中文件的扫描系统的结构示意图;
图7为一个实施例中客户端的结构示意图;
图8为图7中扫描文件确定模块的结构示意图;
图9为另一个实施例中客户端的结构示意图;
图10为另一个实施例中客户端的结构示意图;
图11为另一个实施例中客户端的结构示意图。
【具体实施方式】
图1示出了一个实施例中文件扫描的方法流程,包括如下步骤:
步骤S110,枚举待扫描文件。
本实施例中,在开启病毒查杀软件或者木马查杀软件的扫描引擎时,用户通过扫描引擎的查杀页面生成扫描请求,并将生成的扫描请求由IPC模块(进程间通信模块)发送到系统的底层硬件,进而通过系统的底层硬件将这一扫描请求发送到服务端中,扫描引擎以及服务端通过接收到的扫描请求获知需要进行扫描的文件,以根据扫描请求对待扫描文件进行针对性地扫描。IPC模块界于扫描引擎的查杀页面和底层硬件之间,用于实现杀查杀页面与底层硬件之间的通信,进而实现了扫描引擎与服务端之间的网络连通。
具体地,扫描请求中包含了任务ID、扫描层次以及枚举文件夹的方式,其中,扫描层次跟用户在查杀页面中对快速扫描、全盘扫描和自定义扫描的选择有关,例如,在快速扫描方式下,扫描速度较快,但是扫描层次较浅。
为进行文件的扫描,根据用户在查杀页面中的操作得到该用户指定要进行扫描的文件,这些用户指定要进行扫描的文件作为待扫描文件,将多个待扫描文件按照设定的队列长度进行枚举,并分发形成特定长度的枚举队列,以等待扫描。在优选的实施例中,文件长度为20000。
步骤S130,从枚举的待扫描文件中逐一获取待扫描文件的属性值,并向服务端传输属性值。
本实施例中,获取待扫描文件的属性值,该属性值对待扫描文件进行唯一标识,并且可用于确保待扫描文件的完整性。在优选的实施例中,待扫描文件的属性值可以是MD5值。
在从枚举的多个待扫描文件中逐一获取每一待扫描文件的属性值,生成包含了属性值、待扫描文件的文件名等信息的查询请求,并向服务端传输生成的查询请求。服务端可以是采用多个服务器构建的云平台,云平台中的服务器数量可以随着需要的变化进行任意增减,也可以是大型的服务器集群。
在触发了服务端对文件的扫描后,若需要进行服务端扫描的枚举的待扫描文件为空,没有找到进行服务端扫描的待扫描文件,则等待设定的时间后再尝试。该设定的时间可以是100毫秒。
步骤S150,将属性值与服务端中存储的特征码进行比对,得到与属性值一致的特征码以及该特征码所属的类别。
本实施例中,属性值可以是对待扫描文件进行加密计算得到的MD5值或者哈希值,每一待扫描文件所对应的属性值都是唯一的,若待扫描文件是不完整的,则对应的属性值将发生变化,与完整的待扫描文件所对应的属性值是不相一致的。服务端存储了大量的特征码以及与该特征码所属的类别。服务端所存储的特征码与类别是存在着对应关系的,每一特征码均有与对应的类别。根据待扫描文件的属性值在服务端中进行查找,以得到与该待扫描文件的属性值相一致的特征码,进而根据特征码与类别之间的对应关系得到该特征码所属的类别,该类别即为待扫描文件的属性值所归属的类别,指示了待扫描文件是正常文件还是病毒程序文件或者木马程序文件。例如,对于病毒程序文件的特征码,所属的类别为黑名单,类别为黑名单的文件为病毒程序文件或者木马程序文件;对于正常文件的特征码,所属的类别为白名单,类别为白名单的文件为确定不会包含病毒程序文件或木马程序文件的文件,可放心运行该文件;对于可疑文件,所属的类别为灰名单,类别为灰名单的文件为不能认定为病毒程序文件或木马程序文件,但在系统的病毒敏感部位活动的文件。
在属性值与服务端存储的特征码进行比对的过程中得到与属性值相一致的特征码,进而由这一与属性值相一致的特征码得到对应的类别,这一类别指示了与属性值对应的文件是病毒程序文件或者木马程序文件,或是正常文件,或是可疑文件,若服务端中不存在与属性值相一致的特征码,则未命中服务端中存储的大量特征码,可将该属性值对应的文件归类至未命中名单中。
步骤S170,根据与属性值一致的特征码以及该特征码所属的类别形成待扫描文件、属性值以及类别之间的对应关系,并将对应关系记录于第一扫描结果中。
本实施例中,由属性值与特征码的比对过程可以得到待扫描文件所属类别,进而得到这一文件的扫描结果,并将扫描结果返回给用户。
在另一个实施例中,如图2所示,上述步骤S170之后还包括以下步骤:
步骤S210,根据第一扫描结果确定进行本地扫描的待扫描文件。
本实施例中,在通过服务端进行文件扫描基础上,还可利用扫描引擎对文件进行本地扫描。为进一步提高文件扫描的效率以及准确度,应当与服务端所进行的文件扫描充分结合来实现文件的本地扫描。
具体地,由服务端所返回的第一扫描结果可以知道哪些待扫描文件是可疑文件以及在服务端中未查找到与属性值相对应的特征码的待扫描文件,此时为保证扫描结果的准确性,需要将第一扫描结果为可疑文件以及在服务端中未查找到与属性值相对应的特征码的待扫描文件作为进行本地扫描的待扫描文件。
此外,还需要对未通过服务端进行文件扫描的多个待扫描文件进行本地扫描以保证所有的文件均进行了扫描并得到相应的扫描结果。
在触发了本地扫描后,若未寻找到进行本地扫描的待扫描文件,可等待设定的时间后再尝试进行本地扫描的待扫描文件的寻找。在优选的实施例中,设定的时间为100毫秒。
步骤S230,对确定的待扫描文件进行本地扫描得到第二扫描结果。
本实施例中,从确定的待扫描文件中获取属性值,并根据获取的属性值从存储于本地的病毒库中查找与获取的属性值相同的特征码及其所属类别,进而根据查找到的类别获知对应的文件是正常文件还是病毒程序文件或木马程序文件。
步骤S250,整合第二扫描结果和第一扫描结果,形成第三扫描结果。
本实施例中,在完成待扫描文件的服务端扫描和本地扫描后,对得到的第一扫描结果和第二扫描结果进行整合,充分参考第一扫描结果和第二扫描结果得到第三扫描结果。
| 第一扫描结果 | 第二扫描结果 | 第三扫描结果 |
| 黑 | 黑 | 黑 |
| 黑 | 白 | 黑 |
| 黑 | 未命中 | 黑 |
| 白 | 黑 | 白 |
| 白 | 白 | 白 |
| 白 | 未命中 | 白 |
| 灰 | 黑 | 黑 |
| 灰 | 白 | 白 |
| 灰 | 灰 | 灰 |
| 未命中 | 黑 | 黑 |
| 未命中 | 白 | 白 |
| 未命中 | 灰 | 灰 |
具体地,如上表所示,对于某一文件,若第一扫描结果所记载的类别为黑名单,则按照第一扫描结果形成该文件的第三扫描结果,若第一扫描结果所记载的类别为灰名单或者未命中名单,则需要对此文件进行本地扫描得到第二扫描结果,并按照第二扫描结果作为该文件的第三扫描结果。
在上述文件的扫描方法中,在形成了第三扫描结果之后可向用户展示,并根据这一第三扫描结果向用户提示类别为黑名单的文件存在风险,并对类别为黑名单的文件进行清除处理。
在另一个实施例中,如图3所示,上述步骤S250之后还包括以下步骤:
步骤S310,根据第三扫描结果中对应的文件项将待扫描文件从枚举队列中移除。
本实施例中,在经过服务端对文件的扫描以及本地扫描后,应当将完成了扫描的文件从枚举的待扫描文件中移除,即根据第三扫描结果中对应的文件项得到完成了扫描的文件,进而将这些完成了扫描的文件从枚举的多个扫描文件中移除。
步骤S330,在枚举队列中判断是否存在空位,若是,则进入步骤S350,若否,结束。
本实施例中,由于枚举的待扫描文件形成了特定长度的枚举队列,因此并不是所有的待扫描文件都位于枚举队列中,因此在枚举队列中寻找空位,以便于将还未处于枚举队列中的待扫描文件添加至枚举队列中。
具体地,从枚举队列中在移除了完成扫描的文件后,枚举队列中的待扫描文件还是处于原有的位置,并不会因为某一文件的移除而发生移动或者位置调整,例如,若枚举队列中处于第一位的文件被扫描完毕并移出队列后,处于枚举队列第二位的待扫描文件将不会往前移动来填补枚举队列首位的空位,因此,在枚举队列中枚举指针将从枚举队列的第一位为起始查找空位,当查找到空位时,将未处于枚举队列中需要进行扫描的待扫描文件添加至枚举队列中,若暂时没有查找到空位,则继续进行查找,以等待出现空位时再进行向枚举队列进行待扫描文件的添加。
步骤S350,将未处于枚举队列中的待扫描文件添加至枚举队列中。
在另一个实施例中,如图4所示,上述文件的扫描方法包括以下步骤:
步骤S401,枚举待扫描文件。
步骤S402,判断枚举的待扫描文件长度是否达到第一阈值,若是,则进入步骤S403,若否,则返回步骤S401。
本实施例中,在逐一进行待扫描文件的枚举形成枚举队列的过程中,判断所形成的枚举队列长度是否达到了第一阈值,若是,则触发服务端进行文件的扫描。在优选的实施例中,第一阈值可以是50,即当枚举了50个待扫描文件时立即触发服务端对文件的扫描。
步骤S403,从枚举的待扫描文件中查找符合预设条件的待扫描文件。
本实施例中,在触发服务端进行文件的扫描后,从枚举的多个待扫描文件中查找可进行服务端扫描的待扫描文件。在优选的实施例中,预设条件可以是小于3兆的PE文件(Portable Execute,可执行文件)。预设条件可根据实际的处理能力以及用户需要进行灵活修改。
步骤S405,从枚举的待扫描文件中逐一获取待扫描文件的属性值,并向服务端传输属性值。
步骤S406,将所述属性值与服务端中存储的特征码进行比对,得到与属性值一致的特征码以及该特征码所属的类别。
步骤S407,根据与属性值一致的特征码以及特征码所属的类别形成待扫描文件、属性值以及类别之间的对应关系,并将对应关系记录于第一扫描结果中。
步骤S408,判断枚举的待扫描文件长度是否达到第二阈值,若是,则进入步骤S409,若否,则返回步骤S401。
本实施例中,在逐一进行待扫描文件的枚举形成枚举队列的过程中,判断所形成的枚举队列长度是否已经达到了设定的第二阈值,若是,则触发本地扫描。在优选的实施例中,第二阈值可以是5000,即当枚举了5000个待扫描文件时即可触发本地扫描。
在优选的实施例中,第二阈值应当大于第一阈值,这是因为服务端所进行的文件扫描需要进行网络连接和数据传输,相对地,所花费的时间也比本地扫描花费的时间多得多,并且由于服务端中存储的特征码最为全面,最终的扫描结果在服务端扫描文件所形成的第一扫描结果基础上形成可提高扫描的准确性,并有利于减少总的扫描时间。
步骤S409,根据第一扫描结果确定进行本地扫描的待扫描文件。
在一个具体的实施例中,上述步骤S405之后还包括了标记传输属性值的待扫描文件的步骤。
本实施例中,在向服务端传输属性值后,标记通过服务端进行扫描的待扫描文件。
如图5所示,上述步骤S409的具体过程为:
步骤S501,根据第一扫描结果得到枚举的待扫描文件中将进行二次扫描的文件项。
本实施例中,从第一扫描结果中得到已经完成了服务端文件扫描的文件项以及对应的类别,若第一扫描结果中所记载的某一文件项所对应的类别为灰名单或者未命中名单,则说明该文件项可能是可疑文件或者没有在服务端存储的特征码中找到与该文件项属性值相同的特征码,无法对该文件项进行判定,因此需要对该文件项进行二次扫描。
步骤S503,从枚举的待扫描文件中选取未标记的待扫描文件,将进行二次扫描的文件项和未标记的待扫描文件形成进行本地扫描的待扫描文件。
本实施例中,枚举的多个待扫描文件中未通过服务端进行文件扫描的待扫描文件也需要通过本地的扫描引擎进行扫描。
步骤S410,对确定的待扫描文件进行本地扫描得到第二扫描结果。
本实施例中,对确定的待扫描文件进行本地扫描得到第二扫描结果的具体过程为:按照设定的优先级依次扫描进行二次扫描的文件项和未标记的待扫描文件。
根据设定的优先级依次对确定的待扫描文件进行本地扫描的过程中,首先对进行二次扫描的文件项进行本地扫描,在进行二次扫描的文件项扫描完成后对不属于PE文件的待扫描文件进行扫描,最后对不符合预设条件的PE文件进行本地扫描。根据实际的扫描过程,扫描的优选级可进行灵活地调整。
步骤S411,整合第二扫描结果和第一扫描结果,形成第三扫描结果。
步骤S412,获取进行二次扫描的文件项在第二扫描结果中对应的类别。
本实施例中,由于第二扫描结果中也记录了文件名、属性值以及类别之间的对应关系,因此从第二扫描结果中进行查找可以获取到进行了二次扫描的文件项所对应的类别,根据该类别可以知道这一进行了二次扫描的文件项是否是病毒程序文件或木马程序文件。
步骤S413,根据获取的类别判断进行二次扫描的文件项是否危险,若是,则进入步骤S414,若否,则进入步骤S415。
本实施例中,由对应的类别可以知道进行了二次扫描的文件项是否危险,例如,若类别为黑名单,则说明对应的进行了二次扫描的文件项中存在病毒程序文件或木马程序文件,存在着危险,由于这一类别是由本地扫描获得的,因此说明服务端所存储的大量特征码还不够全面,需要进行更新,此时,将这一类别所对应的进行了二次扫描的文件项对应的属性值,并作为特征码进行存储。
步骤S414,上传进行二次扫描的文件项对应的属性值。
步骤S415,扫描进行二次扫描的文件项得到对应的可疑度。
本实施例中,当判断到进行二次扫描的文件项所属类别是不危险的,这一进行二次扫描的文件项可能是可疑文件,因此需要再次对这一进行二次扫描的文件项进行扫描以得到该文件项的可疑度。
步骤S416,判断对应的可疑度是否超过可疑阈值,若是,则返回步骤S414,若否,则结束。
本实施例中,可根据设定的可疑阈值来判定可疑文件安全的可能性,例如,可疑阈值可设定为30%,若可疑度超过了30%,则说明该可疑文件应当是一个病毒程序文件或者木马程序文件,而服务端中并没存储这一可疑文件的特征码,因此需要将可疑文件的特征码上传,并归类至黑名单中。
图6示出了一个实施例中的文件的扫描系统,包括客户端10以及服务端30。
客户端10包括枚举模块110以及属性值获取模块120。
枚举模块110,用于枚举待扫描文件。
本实施例中,在开启病毒查杀软件或者木马查杀软件的扫描引擎时,用户通过扫描引擎的查杀页面生成扫描请求,并将生成的扫描请求由IPC模块(进程间通信模块)发送到系统的底层硬件,进而通过系统的底层硬件将这一扫描请求发送到服务端中,扫描引擎以及服务端通过接收到的扫描请求获知需要进行扫描的文件,以根据扫描请求对待扫描文件进行针对性地扫描。IPC模块界于扫描引擎的查杀页面和底层硬件之间,用于实现杀查杀页面与底层硬件之间的通信,进而实现了扫描引擎与服务端之间的网络连通。
具体地,扫描请求中包含了任务ID、扫描层次以及枚举文件夹的方式,其中,扫描层次跟用户在查杀页面中对快速扫描、全盘扫描和自定义扫描的选择有关,例如,在快速扫描方式下,扫描速度较快,但是扫描层次较浅。
为进行文件的扫描,根据用户在查杀页面中的操作得到该用户指定要进行扫描的文件,这些用户指定要进行扫描的文件作为待扫描文件,将枚举模块110多个待扫描文件按照设定的队列长度进行枚举,并分发形成特定长度的枚举队列,以等待扫描。在优选的实施例中,文件长度为20000。
属性值获取模块120,用于从枚举的待扫描文件中逐一获取待扫描文件的属性值,并向服务端传输属性值。
本实施例中,属性值获取模块120获取待扫描文件的属性值,该属性值对待扫描文件进行唯一标识,并且可用于确保待扫描文件的完整性。在优选的实施例中,待扫描文件的属性值可以是MD5值。
属性值获取模块120在从枚举的多个待扫描文件中逐一获取每一待扫描文件的属性值,生成包含了属性值、待扫描文件的文件名等信息的查询请求,并向服务端传输生成的查询请求。服务端可以是采用多个服务器构建的云平台,云平台中的服务器数量可以随着需要的变化进行任意增减,也可以是大型的服务器集群。
在触发了服务端对文件的扫描后,若需要进行服务端扫描的枚举的待扫描文件为空,没有找到进行服务端扫描的待扫描文件,则等待设定的时间后再尝试。该设定的时间可以是100毫秒。
服务端30包括数据库310、比对模块320以及对应关系形成模块330。
数据库310,用于存储特征码以及该特征码所属的类别。
比对模块320,用于将属性值瑟存储的特征码进行比对,得到与属性值相一致的特征码以及该特征码所属的类别。
本实施例中,属性值可以是对待扫描文件进行加密计算得到的MD5值或者哈希值,每一待扫描文件所对应的属性值都是唯一的,若待扫描文件是不完整的,则对应的属性值将发生变化,与完整的待扫描文件所对应的属性值是不相一致的。服务端存储了大量的特征码以及与该特征码所属的类别。服务端所存储的特征码与类别是存在着对应关系的,每一特征码均有与对应的类别。比对模块320根据待扫描文件的属性值在服务端中进行查找,以得到与该待扫描文件的属性值相一致的特征码,进而根据特征码与类别之间的对应关系得到该特征码所属的类别,该类别即为待扫描文件的属性值所归属的类别,指示了待扫描文件是正常文件还是病毒程序文件或者木马程序文件。例如,对于病毒程序文件的特征码,所属的类别为黑名单,类别为黑名单的文件为病毒程序文件或者木马程序文件;对于正常文件的特征码,所属的类别为白名单,类别为白名单的文件为确定不会包含病毒程序文件或木马程序文件的文件,可放心运行该文件;对于可疑文件,所属的类别为灰名单,类别为灰名单的文件为不能认定为病毒程序文件或木马程序文件,但在系统的病毒敏感部位活动的文件。
比对模块320在属性值与服务端存储的特征码进行比对的过程中得到与属性值相一致的特征码,进而由这一与属性值相一致的特征码得到对应的类别,这一类别指示了与属性值对应的文件是病毒程序文件或者木马程序文件,或是正常文件,或是可疑文件,若服务端中不存在与属性值相一致的特征码,则未命中服务端中存储的大量特征码,可将该属性值对应的文件归类至未命中名单中。
对应关系形成模块330,用于根据与属性值一致的特征码以及该特征码所属的类别形成待扫描文件、属性值以及类别之间的对应关系,并将对应关系记录于第一扫描结果中。
本实施例中,对应关系形成模块330由属性值与特征码的比对过程可以得到待扫描文件所属类别,进而得到这一文件的扫描结果,并将扫描结果返回给用户。
在另一个实施例中,如图7所示,上述客户端10除了包括枚举模块110以及属性值获取模块120之外,还包括了扫描文件确定模块130、扫描模块140以结果整合模块150。
扫描文件确定模块130,用于根据第一扫描结果确定进行本地扫描的待扫描文件。
本实施例中,在通过服务端进行文件扫描基础上,还可利用扫描引擎对文件进行本地扫描。为进一步文件扫描的效率以及准确度,应当与服务端所进行的文件扫描充分结合来实现文件的本地扫描。
具体地,扫描文件确定模块130由服务端所返回的第一扫描结果可以知道哪些待扫描文件是可疑文件以及在服务端中未查找到与属性值相对应的特征码的待扫描文件,此时为保证扫描结果的准确性,需要将第一扫描结果为可疑文件以及在服务端中未查找到与属性值相对应的特征码的待扫描文件作为进行本地扫描的待扫描文件。
此外,扫描文件确定模块130还需要对未通过服务端进行文件扫描的多个待扫描文件进行本地扫描以保证所有的文件均进行了扫描并得到相应的扫描结果。
在触发了本地扫描后,若未寻找到进行本地扫描的待扫描文件,可等待设定的时间后再尝试进行本地扫描的待扫描文件的寻找。在优选的实施例中,设定的时间为100毫秒。
在一个具体的实施例中,上述客户端还包括了标记模块,该标记模块用于标记传输属性值的待扫描文件。
本实施例中,标记模块在向服务端传输属性值后,标记通过服务端进行扫描的待扫描文件。
如图8所示,上述扫描文件确定模块130包括二次扫描单元131以及选取单元133。
二次扫描单元131,用于根据第一扫描结果得到枚举的待扫描文件中将进行二次扫描的文件项。
本实施例中,二次扫描单元131从第一扫描结果中得到已经完成了服务端文件扫描的文件项以及对应的类别,若第一扫描结果中所记载的某一文件项所对应的类别为灰名单或者未命中名单,则说明该文件项可能是可疑文件或者没有在服务端存储的特征码中找到与该文件项属性值相同的特征码,无法对该文件项进行判定,因此需要对该文件项进行二次扫描。
选取单元133,用于从枚举的待扫描文件中选取未标记的待扫描文件,将进行二次扫描的文件项和未标记的待扫描文件形成进行本地扫描的待扫描文件。
本实施例中,枚举的多个待扫描文件中未通过服务端进行文件扫描的待扫描文件也需要通过本地的扫描引擎进行扫描。
扫描模块140,用于对确定的待扫描文件进行本地扫描得到第二扫描结果。
本实施例中,扫描模块140从确定的待扫描文件中获取属性值,并根据获取的属性值从存储于本地的病毒库中查找与获取的属性值相同的特征码及其所属类别,进而根据查找到的类别获知对应的文件是正常文件还是病毒程序文件或木马程序文件
具体地,扫描模块140还用于按照设定的优选级依次扫描进行二次扫描的文件项和未标记的待扫描文件。
根据设定的优先级依次对确定的待扫描文件进行本地扫描的过程中,扫描模块140首先对进行二次扫描的文件项进行本地扫描,在进行二次扫描的文件项扫描完成后对不属于PE文件的待扫描文件进行扫描,最后对不符合预设条件的PE文件进行本地扫描。根据实际的扫描过程,扫描的优选级可进行灵活地调整。
结果整合模块150,用于整合第二扫描结果和第一扫描结果,形成第三扫描结果。
本实施例中,在完成待扫描文件的服务端扫描和本地扫描后,结果整合模块150对得到的第一扫描结果和第二扫描结果进行整合,充分参考第一扫描结果和第二扫描结果得到第三扫描结果。
在另一个实施例中,如图9所示,上述客户端10还包括了移除模块160以及添加模块170。
移除模块160,用于根据第三扫描结果中对应的文件项将待扫描文件从枚举队列中移除。
本实施例中,在经过服务端对文件的扫描以及本地扫描后,移除模块160应当将完成了扫描的文件从枚举的待扫描文件中移除,即根据第三扫描结果中对应的文件项得到完成了扫描的文件,进而将这些完成了扫描的文件从枚举的多个扫描文件中移除。
添加模块170,用于在枚举队列中判断是否存在空位,若是,则将未处于枚举队列中的待扫描文件添加至枚举队列中。
本实施例中,由于枚举的待扫描文件形成了特定长度的枚举队列,因此并不是所有的待扫描文件都位于枚举队列中,因此添加模块170在枚举队列中寻找空位,以便于将还未处于枚举队列中的待扫描文件添加至枚举队列中。
具体地,从枚举队列中在移除了完成扫描的文件后,枚举队列中的待扫描文件还是处于原有的位置,并不会因为某一文件的移除而发生移动或者位置调整,例如,若枚举队列中处于第一位的文件被扫描完毕并移出队列后,处于枚举队列第二位的待扫描文件交不会往前移动来填补枚举队列首位的空位,因此,在枚举队列中枚举指针将从枚举队列的第一位为起始查找空位,当查找到空位时,添加模块170将未处于枚举队列中需要进行扫描的待扫描文件添加至枚举队列中,若暂时没有查找到空位,则继续进行查找,以等待出现空位时再进行向枚举队列进行待扫描文件的添加。
在另一个实施例中,如图10所示,上述客户端还包括了枚举判断模块180以及查找模块190。
枚举判断模块180,用于判断枚举的待扫描文件长度是否达到第一阈值,若是,则通知查找模块190。
本实施例中,在逐一进行待扫描文件的枚举形成枚举队列的过程中,枚举判断模块180判断所形成的枚举队列长度是否达到了第一阈值,若是,则触发服务端进行文件的扫描。在优选的实施例中,第一阈值可以是50,即当枚举了50个待扫描文件时立即触发服务端对文件的扫描。
查找模块190,用于从枚举的待扫描文件中查找符合预设条件的待扫描文件。
本实施例中,在触发服务端进行文件的扫描后,查找模块190从枚举的多个待扫描文件中查找可进行服务端扫描的待扫描文件。在优选的实施例中,预设条件可以是小于3兆的PE文件。预设条件可根据实际的处理能力以及用户需要进行灵活修改。
枚举判断模块180还用于判断枚举的待扫描文件长度是否达到第二阈值,若是,则通知扫描文件确定模块130。
本实施例中,在逐一进行待扫描文件的枚举形成枚举队列的过程中,枚举判断模块180判断所形成的枚举队列长度是否已经达到了设定的第二阈值,若是,则触发本地扫描。在优选的实施例中,第二阈值可以是5000,即当枚举了5000个待扫描文件时即可触发本地扫描。
在优选的实施例中,第二阈值应当大于第一阈值,这是因为服务端所进行的文件扫描需要进行网络连接和数据传输,相对地,所花费的时间也比本地扫描花费的时间多得多,并且由于服务端中存储的特征码最为全面,最终的扫描结果在服务端扫描文件所形成的第一扫描结果基础上形成可提高扫描的准确性,并有利于减少总的扫描时间。
在另一个实施例中,如图11所示,上述客户端10还包括了类别获取模块200、危险性判断模块210、上传模块230以及可疑度判断模块240。
类别获取模块200,用于获取进行二次扫描的文件项在第二扫描结果中对应的类别。
本实施例中,由于第二扫描结果中也记录了文件名、属性值以及类别之间的对应关系,因此类别获取模块200从第二扫描结果中进行查找可以获取到进行了二次扫描的文件项所对应的类别,根据该类别可以知道这一进行了二次扫描的文件项是否是病毒程序文件或木马程序文件。
危险性判断模块210,用于根据获取的类别判断进行二次扫描的文件项是否危险,若是,则通知上传模块230,若否,则通知扫描模块140。
本实施例中,危险性判断模块210由对应的类别可以知道进行了二次扫描的文件项是否危险,例如,若类别为黑名单,则说明对应的进行了二次扫描的文件项中存在病毒程序文件或木马程序文件,存在着危险,由于这一类别是由本地扫描获得的,因此说明服务端所存储的大量特征码还不够全面,需要进行更新,此时,将这一类别所对应的进行了二次扫描的文件项对应的属性值,并作为特征码进行存储。
上传模块230,用于上传进行二次扫描的文件项得到对应的可疑度。
扫描模块140还用于扫描进行二次扫描的文件项得到对应的可疑度。
本实施例中,当判断到进行二次扫描的文件项所属类别是不危险的,这一进行二次扫描的文件项可能是可疑文件,因此需要扫描模块140再次对这一进行二次扫描的文件项进行扫描以得到该文件项的可疑度。
可疑度判断模块240,用于判断对应的可疑度是否超过可疑阈值,若是,则通知上传模块230。
本实施例中,可根据设定的可疑阈值来判定可疑文件安全的可能性,例如,可疑阈值可设定为30%,若通过可疑度判断模块240判断到可疑度已经超过了30%,则说明该可疑文件应当是一个病毒程序文件或者木马程序文件,而服务端中并没存储这一可疑文件的特征码,因此需要将可疑文件的特征码上传,并归类至黑名单中。
上述文件的扫描方法及系统,将待扫描文件的属性值传输到服务端中,通过与存储在服务端中的特征码及其类别进行比对实现文件的安全性和危险性识别,由于突破了客户端存储限制的服务端可存储大量的特征码,并且服务端可最快最及时地更新特征码,使得服务端中的特征码较为全面,大大提高了文件的扫描效率。
上述文件的扫描方法及系统中,将本地扫描与服务端所进行的特征码比对结合起来对文件进行扫描,提高了文件扫描的准确性。
上述文件的扫描方法及系统中,将处于危险状态或者可疑度超过可疑阈值的二次扫描的文件项上传,不断更新和丰富服务端中存储的特征码,提升服务端扫描文件的效率。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (16)
1.一种文件的扫描方法,包括如下步骤:
枚举待扫描文件;
从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值,并向服务端传输所述属性值;
将所述属性值与服务端中存储的特征码进行比对,得到与所述属性值一致的特征码以及所述特征码所属的类别;
根据与所述属性值一致的特征码以及所述特征码所属的类别形成所述待扫描文件、属性值以及类别之间的对应关系,并将所述对应关系记录于第一扫描结果中。
2.根据权利要求1所述的文件的扫描方法,其特征在于,所述将所述对应关系记录于第一扫描结果中的步骤之后还包括:
根据所述第一扫描结果确定进行本地扫描的待扫描文件;
对所述确定的待扫描文件进行本地扫描得到第二扫描结果;
整合所述第二扫描结果和第一扫描结果,形成第三扫描结果。
3.根据权利要求2所述的文件的扫描方法,其特征在于,所述整合所述第二扫描结果和第一扫描结果,形成第三扫描结果的步骤之后还包括:
根据所述第三扫描结果中对应的文件项将所述待扫描文件从枚举队列中移除。
4.根据权利要求3所述的文件的扫描方法,其特征在于,所述根据所述第三扫描结果中对应的文件项将所述待扫描文件从枚举的待扫描文件中移除的步骤之后还包括:
在所述枚举队列中判断是否存在空位,若是,则将未处于枚举队列中的待扫描文件添加至所述枚举队列中。
5.根据权利要求2所述的文件的扫描方法,其特征在于,所述从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值的步骤之前还包括:
判断所述枚举的待扫描文件长度是否达到第一阈值,若是,则
从所述枚举的待扫描文件中查找符合预设条件的待扫描文件,并进入从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值的步骤;
所述根据所述第一扫描结果确定进行本地扫描的待扫描文件的步骤之前还包括:
判断所述枚举的待扫描文件长度是否达到第二阈值,若是,则进入所述根据所述第一扫描结果确定进行本地扫描的待扫描文件的步骤。
6.根据权利要求2所述的文件的扫描方法,其特征在于,所述从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值,并向服务端传输所述属性值的步骤之后还包括:
标记所述传输属性值的待扫描文件;
所述根据所述第一扫描结果确定进行本地扫描的待扫描文件的步骤为:
根据所述第一扫描结果得到所述枚举的待扫描文件中将进行二次扫描的文件项;
从枚举的待扫描文件中选取未标记的待扫描文件,将所述进行二次扫描的文件项和未标记的待扫描文件形成进行本地扫描的待扫描文件。
7.根据权利6所述的文件的扫描方法,其特征在于,所述对所述确定的待扫描文件进行本地扫描得到第二扫描结果的步骤为:
按照设定的优先级依次扫描所述进行二次扫描的文件项和未标记的待扫描文件。
8.根据权利要求2所述的文件的扫描方法,其特征在于,所述整合所述第二扫描结果和第一扫描结果,形成第三扫描结果的步骤之后还包括:
获取所述进行二次扫描的文件项在所述第二扫描结果中对应的类别;
根据所述获取的类别判断所述进行二次扫描的文件项是否危险,若是,则上传所述进行二次扫描的文件项对应的属性值,若否,则
扫描所述进行二次扫描的文件项得到对应的可疑度;
判断所述对应的可疑度是否超过可疑阈值,若是,则上传所述进行二次扫描的文件项所对应的属性值。
9.一种文件的扫描系统,其特征在于,包括客户端以及服务端;
所述客户端包括:
枚举模块,用于枚举待扫描文件;
属性值获取模块,用于从所述枚举的待扫描文件中逐一获取所述待扫描文件的属性值,并向服务端传输所述属性值;
所述服务端包括:
数据库,用于存储特征码以及所述特征码所属的类别;
比对模块,用于将所述属性值与存储的特征码进行比对,得到与所述属性值相一致的特征码以及所述特征码所属的类别;
对应关系形成模块,用于根据与所述属性值一致的特征码以及所述特征码所属的类别形成所述待扫描文件、属性值以及类别之间的对应关系,并将所述对应关系记录于第一扫描结果中。
10.根据权利要求9所述的文件的扫描系统,其特征在于,所述客户端还包括:
扫描文件确定模块,用于根据所述第一扫描结果确定进行本地扫描的待扫描文件;
扫描模块,用于对所述确定的待扫描文件进行本地扫描得到第二扫描结果;
结果整合模块,用于整合所述第二扫描结果和第一扫描结果,形成第三扫描结果。
11.根据权利要求10所述的文件的扫描系统,其特征在于,所述客户端还包括:
移除模块,用于根据所述第三扫描结果中对应的文件项将所述待扫描文件从枚举队列中移除。
12.根据权利要求11所述的文件的扫描系统,其特征在于,所述客户端还包括:
添加模块,用于在所述枚举队列中判断是否存在空位,若是,则将未处于枚举队列中的待扫描文件添加至所述枚举队列中。
13.根据权利要求10所述的文件的扫描系统,其特征在于,所述客户端还包括:
枚举判断模块,用于判断所述枚举的待扫描文件长度是否达到第一阈值,若是,则通知查找模块;
所述查找模块用于从所述枚举的待扫描文件中查找符合预设条件的待扫描文件;
所述枚举判断模块还用于判断所述枚举的待扫描文件长度是否达到第二阈值,若是,则通知所述扫描文件确定模块。
14.根据权利要求10所述的文件的扫描方法,其特征在于,所述客户端还包括:
标记模块,用于标记所述传输属性值的待扫描文件;
所述扫描文件确定模块包括:
二次扫描单元,用于根据所述第一扫描结果得到所述枚举的待扫描文件中将进行二次扫描的文件项;
选取单元,用于从枚举的待扫描文件中选取未标记的待扫描文件,将所述进行二次扫描的文件项和未标记的待扫描文件形成进行本地扫描的待扫描文件。
15.根据权利要求14所述的文件的扫描系统,其特征在于,所述扫描模块还用于按照设定的优先级依次扫描所述进行二次扫描的文件项和未标记的待扫描文件。
16.根据权利要求10所述的文件的扫描系统,其特征在于,所述客户端还包括:
类别获取模块,用于获取所述进行二次扫描的文件项在所述第二扫描结果中对应的类别;
危险性判断模块,用于根据所述获取的类别判断所述进行二次扫描的文件项是否危险,若是,则通知上传模块,若否,则通知所述扫描模块;
所述上传模块用于上传所述进行二次扫描的文件项对应的属性值;
所述扫描模块还用于扫描所述进行二次扫描的文件项得到对应的可疑度;
可疑度判断模块,用于判断所述对应的可疑度是否超过可疑阈值,若是,则通知所述上传模块。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102227389A CN102915421B (zh) | 2011-08-04 | 2011-08-04 | 文件的扫描方法及系统 |
| BR112014002425-1A BR112014002425B1 (pt) | 2011-08-04 | 2012-07-09 | Método para varrer arquivos |
| RU2014102898/08A RU2581560C2 (ru) | 2011-08-04 | 2012-07-09 | Способ сканирования файлов, клиентский компьютер и сервер |
| PCT/CN2012/078387 WO2013017004A1 (zh) | 2011-08-04 | 2012-07-09 | 文件的扫描方法、系统、客户端及服务器 |
| US14/130,665 US9069956B2 (en) | 2011-08-04 | 2012-07-09 | Method for scanning file, client and server thereof |
| EP12820533.3A EP2741227B1 (en) | 2011-08-04 | 2012-07-09 | Method, system, client and server for scanning file |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011102227389A CN102915421B (zh) | 2011-08-04 | 2011-08-04 | 文件的扫描方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102915421A CN102915421A (zh) | 2013-02-06 |
| CN102915421B true CN102915421B (zh) | 2013-10-23 |
Family
ID=47613784
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011102227389A Active CN102915421B (zh) | 2011-08-04 | 2011-08-04 | 文件的扫描方法及系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9069956B2 (zh) |
| EP (1) | EP2741227B1 (zh) |
| CN (1) | CN102915421B (zh) |
| BR (1) | BR112014002425B1 (zh) |
| RU (1) | RU2581560C2 (zh) |
| WO (1) | WO2013017004A1 (zh) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248666A (zh) * | 2012-02-14 | 2013-08-14 | 深圳市腾讯计算机系统有限公司 | 一种离线下载资源的系统、方法及装置 |
| CN102799811B (zh) * | 2012-06-26 | 2014-04-16 | 腾讯科技(深圳)有限公司 | 扫描方法和装置 |
| CN103390130B (zh) * | 2013-07-18 | 2017-04-05 | 北京奇虎科技有限公司 | 基于云安全的恶意程序查杀的方法、装置和服务器 |
| CN103605743A (zh) * | 2013-11-20 | 2014-02-26 | 中国科学院深圳先进技术研究院 | 一种移动终端空文件夹删除的方法及装置 |
| WO2015128612A1 (en) | 2014-02-28 | 2015-09-03 | British Telecommunications Public Limited Company | Malicious encrypted traffic inhibitor |
| US9383989B1 (en) | 2014-06-16 | 2016-07-05 | Symantec Corporation | Systems and methods for updating applications |
| CN104268288B (zh) * | 2014-10-21 | 2018-06-19 | 福州瑞芯微电子股份有限公司 | 一种基于ntfs的媒体库扫描方法及装置 |
| US10733295B2 (en) | 2014-12-30 | 2020-08-04 | British Telecommunications Public Limited Company | Malware detection in migrated virtual machines |
| US11586733B2 (en) | 2014-12-30 | 2023-02-21 | British Telecommunications Public Limited Company | Malware detection |
| US10075453B2 (en) * | 2015-03-31 | 2018-09-11 | Juniper Networks, Inc. | Detecting suspicious files resident on a network |
| EP3394785B1 (en) | 2015-12-24 | 2019-10-30 | British Telecommunications public limited company | Detecting malicious software |
| EP3394784B1 (en) | 2015-12-24 | 2020-10-07 | British Telecommunications public limited company | Malicious software identification |
| US10891377B2 (en) | 2015-12-24 | 2021-01-12 | British Telecommunications Public Limited Company | Malicious software identification |
| WO2017109129A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Software security |
| WO2017109135A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Malicious network traffic identification |
| WO2017167544A1 (en) | 2016-03-30 | 2017-10-05 | British Telecommunications Public Limited Company | Detecting computer security threats |
| EP3437291B1 (en) | 2016-03-30 | 2022-06-01 | British Telecommunications public limited company | Network traffic threat identification |
| WO2018033350A1 (en) | 2016-08-16 | 2018-02-22 | British Telecommunications Public Limited Company | Reconfigured virtual machine to mitigate attack |
| US11423144B2 (en) | 2016-08-16 | 2022-08-23 | British Telecommunications Public Limited Company | Mitigating security attacks in virtualized computing environments |
| US10771483B2 (en) | 2016-12-30 | 2020-09-08 | British Telecommunications Public Limited Company | Identifying an attacked computing device |
| WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
| CN108881120B (zh) | 2017-05-12 | 2020-12-04 | 创新先进技术有限公司 | 一种基于区块链的数据处理方法及设备 |
| EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
| EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
| CN110300985B (zh) * | 2018-12-28 | 2023-08-01 | 创新先进技术有限公司 | 基于智能合约白名单在区块链网络中并行执行交易 |
| CN111506747B (zh) * | 2020-04-16 | 2023-09-08 | Oppo(重庆)智能科技有限公司 | 文件解析方法、装置、电子设备及存储介质 |
| CN112149115A (zh) * | 2020-08-28 | 2020-12-29 | 杭州安恒信息技术股份有限公司 | 一种病毒库的更新方法、装置、电子装置和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| CN101621511A (zh) * | 2009-06-09 | 2010-01-06 | 北京安天电子设备有限公司 | 一种多层次的无本地病毒库检测方法及系统 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
| CN102024113A (zh) * | 2010-12-22 | 2011-04-20 | 北京安天电子设备有限公司 | 快速检测恶意代码的方法和系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6021510A (en) * | 1997-11-24 | 2000-02-01 | Symantec Corporation | Antivirus accelerator |
| US6931548B2 (en) * | 2001-01-25 | 2005-08-16 | Dell Products L.P. | System and method for limiting use of a software program with another software program |
| US7062490B2 (en) * | 2001-03-26 | 2006-06-13 | Microsoft Corporation | Serverless distributed file system |
| US6993132B2 (en) * | 2002-12-03 | 2006-01-31 | Matsushita Electric Industrial Co., Ltd. | System and method for reducing fraud in a digital cable network |
| US7257842B2 (en) * | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
| US7475427B2 (en) * | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
| EP1549012A1 (en) * | 2003-12-24 | 2005-06-29 | DataCenterTechnologies N.V. | Method and system for identifying the content of files in a network |
| US7971257B2 (en) * | 2006-08-03 | 2011-06-28 | Symantec Corporation | Obtaining network origins of potential software threats |
| CN101127061B (zh) | 2006-08-16 | 2010-05-26 | 珠海金山软件股份有限公司 | 可进度预估的防治计算机病毒的装置及进度预估的方法 |
| RU2420791C1 (ru) * | 2009-10-01 | 2011-06-10 | ЗАО "Лаборатория Касперского" | Метод отнесения ранее неизвестного файла к коллекции файлов в зависимости от степени схожести |
| CN101827096B (zh) * | 2010-04-09 | 2012-09-05 | 潘燕辉 | 一种基于云计算的多用户协同安全防护系统和方法 |
| CN101808102B (zh) * | 2010-04-23 | 2012-12-12 | 潘燕辉 | 一种基于云计算的操作记录追踪系统和方法 |
| RU103201U1 (ru) * | 2010-11-01 | 2011-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система оптимизации использования ресурсов компьютера при антивирусной проверке |
-
2011
- 2011-08-04 CN CN2011102227389A patent/CN102915421B/zh active Active
-
2012
- 2012-07-09 EP EP12820533.3A patent/EP2741227B1/en active Active
- 2012-07-09 RU RU2014102898/08A patent/RU2581560C2/ru active
- 2012-07-09 US US14/130,665 patent/US9069956B2/en active Active
- 2012-07-09 WO PCT/CN2012/078387 patent/WO2013017004A1/zh active Application Filing
- 2012-07-09 BR BR112014002425-1A patent/BR112014002425B1/pt active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101039177A (zh) * | 2007-04-27 | 2007-09-19 | 珠海金山软件股份有限公司 | 一种在线查毒的装置和方法 |
| CN101621511A (zh) * | 2009-06-09 | 2010-01-06 | 北京安天电子设备有限公司 | 一种多层次的无本地病毒库检测方法及系统 |
| CN101795267A (zh) * | 2009-12-30 | 2010-08-04 | 成都市华为赛门铁克科技有限公司 | 病毒检测方法、装置和网关设备 |
| CN102024113A (zh) * | 2010-12-22 | 2011-04-20 | 北京安天电子设备有限公司 | 快速检测恶意代码的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR112014002425B1 (pt) | 2021-06-01 |
| WO2013017004A1 (zh) | 2013-02-07 |
| RU2581560C2 (ru) | 2016-04-20 |
| CN102915421A (zh) | 2013-02-06 |
| BR112014002425A2 (pt) | 2017-02-21 |
| EP2741227A4 (en) | 2015-07-22 |
| EP2741227A1 (en) | 2014-06-11 |
| US20140157408A1 (en) | 2014-06-05 |
| EP2741227B1 (en) | 2017-01-04 |
| RU2014102898A (ru) | 2015-09-10 |
| US9069956B2 (en) | 2015-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102915421B (zh) | 文件的扫描方法及系统 | |
| AU2016382908B2 (en) | Short link processing method, device and server | |
| Wu et al. | Joint top-k spatial keyword query processing | |
| US7860971B2 (en) | Anti-spam tool for browser | |
| CN106657044B (zh) | 一种用于提高网站系统安全防御的网页地址跳变方法 | |
| CN102970272B (zh) | 用于病毒检测的方法、装置和云服务器 | |
| RU2601193C2 (ru) | Системы и способы обнаружения спама с помощью символьных гистограмм | |
| CN103020521B (zh) | 木马扫描方法及系统 | |
| US20180253545A1 (en) | File authentication method and apparatus | |
| CN102081714A (zh) | 一种基于服务器反馈的云查杀方法 | |
| RU2523112C1 (ru) | Система и способ выбора оптимального типа антивирусной проверки при доступе к файлу | |
| US20210397619A1 (en) | Processing techniques for queries where predicate values are unknown until runtime | |
| CN106709341A (zh) | 一种针对文件包的病毒处理方法及装置 | |
| KR20130033491A (ko) | 주소록에서 자동으로 그룹을 생성하고 관리하는 방법 및 그 장치 | |
| CN109033261A (zh) | 图像处理方法、装置、处理设备及其存储介质 | |
| CN108182360A (zh) | 一种风险识别方法及其设备、存储介质、电子设备 | |
| CN111932076B (zh) | 一种规则配置和发布方法、装置及计算设备 | |
| CN108052826A (zh) | 基于数据防泄漏终端的分布式敏感数据扫描方法及系统 | |
| TW201543257A (zh) | 結合雲端分析之防毒及防駭方法及系統 | |
| KR101103671B1 (ko) | 사용자의 요청에 대응하여 동적으로 가장 적합한 이미지를 추출하고 제공하기 위한 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
| CN111368294B (zh) | 病毒文件的识别方法和装置、存储介质、电子装置 | |
| CN103827854A (zh) | 检索方法以及信息管理装置 | |
| CN110011918B (zh) | 一种路由器协作的网址安全性检测方法及系统 | |
| CN108881159B (zh) | 一种安全控制方法 | |
| CN113660277B (zh) | 一种基于复用埋点信息的反爬虫方法及处理终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190809 Address after: 518000 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |