CN103020520B - 一种基于企业的文件安全检测方法和系统 - Google Patents
一种基于企业的文件安全检测方法和系统 Download PDFInfo
- Publication number
- CN103020520B CN103020520B CN201210488480.1A CN201210488480A CN103020520B CN 103020520 B CN103020520 B CN 103020520B CN 201210488480 A CN201210488480 A CN 201210488480A CN 103020520 B CN103020520 B CN 103020520B
- Authority
- CN
- China
- Prior art keywords
- file
- control server
- measured
- enterprise
- eigenvalue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 30
- 241000700605 Viruses Species 0.000 claims abstract description 107
- 238000000034 method Methods 0.000 claims description 22
- 230000004044 response Effects 0.000 claims description 8
- 230000001360 synchronised effect Effects 0.000 claims description 8
- 238000004364 calculation method Methods 0.000 claims description 6
- 238000004321 preservation Methods 0.000 claims description 3
- 201000010099 disease Diseases 0.000 claims description 2
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000002699 waste material Substances 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种基于企业的文件安全检测方法和系统,以解决现有企业的安全检测方法影响计算机的安全的问题。所述的方法包括:企业内网控制服务器接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含所述本地终端中待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;企业内网控制服务器接收外网控制服务器针对待测文件的查杀结果。
Description
技术领域
本发明涉及计算机安全技术,具体涉及一种基于企业的文件安全检测方法和系统。
背景技术
一些企业出于安全、保密等因素的考虑,企业的网络环境是封闭的,即企业存在一个所有计算机都可以访问的企业内网,但对于企业外网,企业中的大部分计算机是不可以访问的。
在这种封闭的网络环境中,通常企业是在每一台计算机中都配置有病毒库,通过所述病毒库对计算机中的文件进行安全监测、病毒查杀。由于常常会出现新的病毒,因此病毒库需要及时更新才能确保计算机的安全。在企业中的大部分计算机不能访问企业外网的情况下,为了使计算机中的病毒库能够进行更新,可以在企业可连接企业外网的计算机中安装离线工具。所述离线工具定时通过企业外网检测网络端的病毒库是否有更新,若有更新,就将网络端的病毒库更新到本地病毒库中,然后通过企业内网对其他计算机中的病毒库进行更新。
通过上述的方法,本地病毒库中就可以保存有最近比较流行的病毒特征。但是,本地病毒库的资源是有限的,保存的病毒特征也是有限的,因此并不能确保查杀到病毒。而且,上述的方法更新病毒库的时间比较长,若本地有一个新的病毒,本地病毒库由于没有更新或正在更新,可能无法查杀到该病毒,就会影响到计算机的安全。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于企业的文件安全检测系统和相应的基于企业的文件安全检测方法。
依据本发明的一个方面,提供了一种基于企业的文件安全检测方法,包括:
企业内网控制服务器接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含所述本地终端中待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;
当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
企业内网控制服务器接收外网控制服务器针对待测文件的查杀结果。
本发明实施例中,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括:检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
本发明实施例中,所述企业内网控制服务器接收本地终端通过企业内网发送的文件信息,包括:企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
本发明实施例中,还包括:反馈所述查杀结果给本地终端。
本发明实施例中,反馈所述查杀结果给本地终端,包括:企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
本发明实施例中,通过企业外网发送所述文件信息至外网控制服务器,包括:企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
本发明实施例中,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
本发明实施例中,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
本发明实施例中,所述查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
本发明实施例中,将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中,所述病毒库属于以下任一项:本地终端和企业内网控制服务器。
根据本发明的另一方面,提供了一种基于企业的文件安全检测系统,包括:本地终端、企业内网控制服务器和外网控制服务器,所述企业内网控制服务器,包括:
第一接收模块,适于接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;
发送模块,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
第二接收模块,适于接收网络服务端的查杀结果。
本发明实施例中,还包括:检测模块,用于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
本发明实施例中,所述第一接收模块,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
本发明实施例中,还包括:反馈模块,适于反馈所述查杀结果给本地终端。
本发明实施例中,所述反馈模块,具体适于企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
本发明实施例中,所述发送模块,具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
本发明实施例中,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
本发明实施例中,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
本发明实施例中,所述查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
本发明实施例中,所述本地终端包括更新模块;所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中;所述企业内网控制服务器包括更新模块;所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。
根据本发明的企业内网控制服务器可以将包含所述待测文件的特征值的文件信息发送至外网控制服务器,由此解决了对待测文件的检测局限于本地库终端的病毒库中,需要等待病毒库升级完成在执行检测的问题,取得了快速的确定待测文件安全与否的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅适于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例提供的基于企业的文件安全检测方法流程图;
图2示出了根据本发明另一个实施例提供的企业内网控制服务器检测流程图;以及
图3示出了根据本发明一个实施例的提供的基于企业的文件安全检测系统结构图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
一些企业出于安全、保密等因素的考虑,企业的网络环境是封闭的,即企业存在一个所有计算机都可以访问的企业内网,但对于企业外网,企业中的大部分计算机是不可以访问的。
在这种封闭的网络环境中,通常企业是在每一台计算机中都配置有本地病毒库,通过本地病毒库对计算机中的文件进行安全监测、病毒查杀。但是,计算机的本地病毒库中就可以保存有最近比较流行的病毒特征,并且本地病毒库的资源是有限的,保存的病毒特征也是有限的,因此并不能确保查杀到病毒。
而且,上述的方法更新病毒库的时间比较长,若本地有一个新的病毒,本地病毒库由于没有更新或正在更新,可能无法查杀到该病毒,就会影响到计算机的安全。
本发明实施例提供一种基于企业的文件安全检测方法,企业内网控制服务器可以通过企业外网将待测文件的文件信息发送至外网控制服务器,获取外网控制服务器的查杀结果,从而可以快速的确定待测文件安全与否,不局限于本地病毒库进行查杀,也不用等待病毒库的升级结果。
图1示出了根据本发明一个实施例提供的基于企业的文件安全检测方法流程图。
步骤101,企业内网控制服务器接收本地终端通过企业内网发送的文件信息;
其中,为保护企业中数据信息的安全,可以为企业的计算机系统中配置企业内网控制服务器,通过企业内网对终端的安全进行维护、控制。则将企业的计算机系统中使用内部网络的终端作为本地终端,如桌上电脑、笔记本电脑、平板电脑等。
本地终端可以依据病毒库对文件进行扫描,其中,针对每一个文件可以计算其唯一的特征值,在扫描时依据其特征值进行扫描。若没有扫描到该文件是否安全,即该文件的特征值不存在于本地终端的病毒库中,则可以将该文件作为待测文件,并将所述待测文件的特征值添加到文件信息中,然后本地终端通过企业内网发送所述文件信息给企业内网控制服务器。
当然,所述文件信息中不仅仅包含所述本地终端中待测文件的特征值,还可以包含所述待测文件的名称、存储地址等信息。
则企业内网控制服务器可以接收本地终端通过企业内网发送的文件信息。
步骤102,当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
企业内网控制服务器接收到本地终端发送的文件信息后,可以采用企业内网控制服务器的病毒库对待测文件的特征值进行检测。
由于外网控制服务器的病毒库中保存有大量的病毒特征,资源非常丰富,可以为病毒检测提供非常稳定、准确和安全的依据,因此当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,企业内网控制服务器会通过企业外网发送所述文件信息至外网控制服务器,让外网控制服务器对待测文件的特征值进行检测,以确定所述待测文件是否安全。
外网控制服务器接收到所述文件信息后,可以采用其所拥有的病毒库对待测文件的特征值进行检测,确定所述待测文件安全与否并生成查杀结果,然后外网控制服务器会将所述查杀结果反馈给企业内网控制服务器。
步骤103,企业内网控制服务器接收网络服务端针对待测文件的查杀结果。
企业内网控制服务器可以接收网络服务端针对待测文件的查杀结果。后续,企业内网控制服务器可以根据所述查杀结果执行相应的操作,例如反馈给本地终端,或依据所述查杀结果对病毒库进行更新等。
综上所述,本发明实施例中一旦本地终端和企业内网控制服务器均无法确定待测文件安全与否时,就可以将包含所述待测文件的特征值的文件信息发送至外网控制服务器。因此,对待测文件的检测不仅局限于本地库终端的病毒库中,也就不必等待病毒库升级完成在执行检测,将待测文件的特征值传输给往往服务端后,由于外网控制服务器的病毒库中保存有大量的病毒特征,可以为待测文件的检测提供非常稳定、准确和安全的依据,使得能都快速的确定待测文件安全与否。
本发明实施例中,外网控制服务器的病毒库中保存有各类存在安全问题的特征值,因此,外网控制服务器可以依据其病毒库对待测文件进行检测,并获取检测结果生成查杀结果。
其中,外网控制服务器作为安全相关的服务端,其病毒库中保存的特征值是最全面的,其可以将历史以来所有存在安全问题的特征值又进行保存。而本地终端和企业内网控制服务器中资源有限,因此实际处理中,往往会获取预设时间内(如1个月)在各类存在安全问题的特征值中排在前N位的特征值,如近期比较流行的病毒特征,将这些排在前N位的存在安全问题的特征值保存到本地终端和企业内网控制服务器的病毒库中,供用户对文件进行检测。
但也正是由于本地终端和企业内网控制服务器的病毒库中存在安全问题的特征值比较少,因此如果仅依此进行检测,往往可能无法确定文件安全与否,因此本发明实施例支持将待测文件的特征值传输到外网控制服务器进行全面的检测。
并且,由于企业中的一些专用的可执行文件,往往由于其要执行一些特殊的功能,如监控等,会导致其本身编写中的特征码与一些病毒中的特征码一致,此时若采用特征码进行文件检测就可能存在误报等情况,因此,本发明实施例在检测文件时采用的是文件的特征值。
本发明实施例中所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。例如,采用MD5算法计算文件的MD5值。
为了进一步减少误报的发生,本发明实施例中的病毒库可以采用黑、白名单的形式,即病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。因此,用户可以将其专用的可执行文件的特征值加入到白名单中,以防止发生误报的情况。
综上所述,本发明实施例特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,从而依据特征值进行检测时能够减少误报的问题发生。
本发明实施例的病毒库可以采用黑、白名单的形式,从而使得用户可以将其专用的可执行文件的特征值加入到白名单中,以防止发生误报的情况。
图2示出了根据本发明另一个实施例提供的企业内网控制服务器检测流程图。
可选的,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括:
步骤201,检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;
企业内网控制服务器在接收到本地终端通过企业内网发送的文件信息之后,可以采用企业内网控制服务器的病毒库对所述待测文件的特征值进行检测,检测所述待测文件的特征值是否存在于企业内网控制服务器的病毒库中。
若是,即企业内网控制服务器的病毒库中存在所述待测文件的特征值,则后续执行步骤202;若否,即企业内网控制服务器的病毒库中不存在所述待测文件的特征值,则后续执行步骤203。
步骤202,生成查杀结果;
若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则可以基于检测结果生成查杀结果。
例如,病毒库采用黑、白名单的形式,若所述待测文件的特征值存在于白名单中,则说明所述待测文件的特征值是不存在安全问题的特征值,则对应的查杀结果可以为安全,或待测文件不存在安全问题等。若所述待测文件的特征值存在于黑名单中,则说明所述待测文件的特征值是存在安全问题的特征值,则对应的查杀结果可以为不安全,或待测文件存在安全问题等。
步骤203,通过企业外网发送所述文件信息至外网控制服务器;
若企业内网控制服务器的病毒库中不存在所述待测文件的特征值,即企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,本地终端可以通过企业外网发送所述文件信息至外网控制服务器。
外网控制服务器接收到文件信息后,也会对待测文件的特征值进行检测。若外网控制服务器的病毒库采用黑、白名单的形式,则检测方法与企业内网控制服务器基本一致,若所述待测文件的特征值存在于白名单中,则对应的查杀结果可以为安全,或待测文件不存在安全问题等。若所述待测文件的特征值存在于黑名单中,则对应的查杀结果可以为不安全,或待测文件存在安全问题等。当然,若所述待测文件的特征值即不存在与黑名单,也不存在与白名单中,则对应的查杀结果可以为无法确定,或无法确定待测文件是否存在安全问题等。
外网控制服务器生成查杀结果后,可以将待测文件的查杀结果发送给企业内网控制服务器。
步骤204,接收外网控制服务器针对待测文件的查杀结果;
企业内网控制服务器可以接收外网控制服务器发送的查杀结果。
其中,企业内网控制服务器接收到查杀结果后,还可以依据查杀结果同步更新企业内网控制服务器的病毒库中,将所述待测文件的特征值更新到白名单或黑名单中,当然,若外网控制服务器也无法确定待测文件安全与否,就可以不用更新。
步骤205,反馈所述查杀结果给本地终端;
企业内网控制服务器在确定待测文件的查杀结果后,可以通过企业内网反馈所述查杀结果给本地终端。
此时,本地终端也可以依据查杀结果同步更新本地终端的病毒库,方法与企业内网控制服务器的方法基于一致,此处不再赘述。
另外,当企业内网控制服务器确定某一待测文件的查杀结果后,可以不仅仅针对上传该待测文件的本地终端进行更新,可以同步传送给其他的本地终端,使得该企业中的所有本地终端都能够确定所述待测文件的安全与否,避免出现重复上传企业内网控制服务器而浪费资源的问题。
综上所述,本发明实施例确定待测文件安全与否后,可以同步将查杀结果更新到企业内网的各个本地终端中,并且更新到企业内网控制服务器中,避免出现重复上传企业内网控制服务器而浪费资源的问题。
可选的,所述企业内网控制服务器接收本地终端发送的文件信息,包括:
企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
本发明实施例中,本地终端会通过企业内网发送的非独占的查询请求给企业内网控制服务器,所述非独占是指本地终端在向企业内网控制服务器发送查询请求时,可以多个终端同时发送所述查询请求,即本地终端对企业内网控制服务器进行共享查询。所述查询请求中包括文件信息。
企业内网控制服务器通过企业外网发送所述文件信息至外网控制服务器时,也可以采用非独占的查询请求,在查询请求中包含文件信息。
即企业内网控制服务器同时接收到各个本地终端的查询请求后,若其中若干本地终端传送的待测文件都无法确定安全与否,为了尽快确定待测文件安全与否,同时减少资源的浪费,企业内网控制服务器可以同步发送查询请求到外网控制服务器进行查询。
可选的,反馈所述查杀结果给终端,包括:
企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给终端。
本发明实施例为了加强本地终端的安全性,在企业内网控制服务器没有确定待测文件安全与否时,不会反馈数据给本地终端,待测文件在本地终端中就会保持检测时的状态。
企业内网控制服务器在确定查杀结果后,会对本地终端的非独占的查询请求反馈查询响应,在查询响应中包含所述查杀结果。
因此,本地终端最终接收到的查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
本地终端中会预先配置对各项查杀结果的处理措施,可以依据处理措施对待测文件进行处理。例如,待测文件存在安全问题时,可以删除待测文件;待测文件不存在安全问题,可以不对待测文件进行任何操作;无法确定待测文件是否存在安全问题,可以对待测文件进行限制操作,例如隔离、不运行等。当然也可以采取其他处理措施,本发明对此不做限定。
图3示出了根据本发明一个实施例提供的基于企业的文件安全检测系统结构图。
相应的,本发明还提供了一种基于企业的文件安全检测系统,包括:本地终端1、企业内网控制服务器2和外网控制服务器3。
所述企业内网控制服务器2,包括:
第一接收模块21,适于接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;
发送模块22,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
第二接收模块23,适于接收网络服务端的查杀结果;
反馈模块24,适于反馈所述查杀结果给终端。
可选的,还包括:
检测模块,适于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
可选的,第一接收模块21,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
可选的,反馈模块24,具体适于在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
可选的,发送模块22,具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
可选的,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
可选的,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
可选的,所述查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
可选的,本地终端1包括:更新模块,用于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。
企业内网控制服务器2,还包括:更新模块,用于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于企业的文件安全检测系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为适于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (18)
1.一种基于企业的文件安全检测方法,包括:
企业内网控制服务器同时接收各本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含所述本地终端中待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;
当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
企业内网控制服务器接收外网控制服务器针对待测文件的查杀结果,依据所述查杀结果对自身的病毒库进行更新;
企业内网控制服务器反馈所述查杀结果给本地终端。
2.如权利要求1所述的方法,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括:
检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;
若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
3.如权利要求1所述的方法,所述企业内网控制服务器同时接收各本地终端通过企业内网发送的文件信息,包括:
企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
4.如权利要求3所述的方法,反馈所述查杀结果给本地终端,包括:
企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
5.如权利要求1所述的方法,通过企业外网发送所述文件信息至外网控制服务器,包括:
企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
6.如权利要求1所述的方法,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
7.如权利要求1、2或6任一所述的方法,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
8.如权利要求1、2或4任一所述的方法,所述查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
9.根据权利要求6所述的方法,将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中,所述病毒库属于以下任一项:本地终端和企业内网控制服务器。
10.一种基于企业的文件安全检测系统,包括:本地终端、企业内网控制服务器和外网控制服务器,所述企业内网控制服务器,包括:
第一接收模块,适于同时接收各本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;
发送模块,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;
第二接收模块,适于接收网络服务端的查杀结果,依据所述查杀结果对自身的病毒库进行更新;
反馈模块,适于反馈所述查杀结果给本地终端。
11.如权利要求10所述的系统,还包括:
检测模块,用于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
12.如权利要求10所述的系统,所述第一接收模块,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
13.如权利要求12所述的系统,所述反馈模块,具体适于企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
14.如权利要求10所述的系统,所述发送模块,具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
15.如权利要求10所述的系统,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
16.如权利要求10、11或15任一所述的系统,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
17.如权利要求10、11或13任一所述的系统,所述查杀结果包括以下任一项:待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
18.根据权利要求15所述的系统,所述本地终端包括更新模块;
所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中;
所述企业内网控制服务器包括更新模块;
所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210488480.1A CN103020520B (zh) | 2012-11-26 | 2012-11-26 | 一种基于企业的文件安全检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210488480.1A CN103020520B (zh) | 2012-11-26 | 2012-11-26 | 一种基于企业的文件安全检测方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103020520A CN103020520A (zh) | 2013-04-03 |
| CN103020520B true CN103020520B (zh) | 2017-02-08 |
Family
ID=47969116
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210488480.1A Active CN103020520B (zh) | 2012-11-26 | 2012-11-26 | 一种基于企业的文件安全检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103020520B (zh) |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105844155B (zh) * | 2013-06-28 | 2019-04-26 | 北京奇虎科技有限公司 | 宏病毒查杀方法及系统 |
| CN104424429A (zh) * | 2013-08-22 | 2015-03-18 | 安一恒通(北京)科技有限公司 | 一种文件行为的监控方法及用户设备 |
| CN103607433B (zh) * | 2013-11-01 | 2018-05-04 | 北京奇安信科技有限公司 | 一种在终端分批部署文件的方法及装置 |
| CN103647753B (zh) * | 2013-11-19 | 2017-05-24 | 北京奇安信科技有限公司 | 一种局域网文件安全管理方法、服务端和系统 |
| CN104796388B (zh) * | 2014-01-21 | 2018-10-12 | 中国移动通信集团公司 | 一种对网络设备进行扫描的方法、相关装置及系统 |
| CN104899515B (zh) * | 2014-03-04 | 2019-04-16 | 北京奇安信科技有限公司 | 一种应用程序安全性的变更方法和装置 |
| CN104281809A (zh) * | 2014-09-30 | 2015-01-14 | 北京奇虎科技有限公司 | 病毒查杀的方法、装置及系统 |
| CN104317672A (zh) * | 2014-10-24 | 2015-01-28 | 北京奇虎科技有限公司 | 一种系统文件修复的方法、装置及系统 |
| CN104331660A (zh) * | 2014-10-31 | 2015-02-04 | 北京奇虎科技有限公司 | 一种系统文件修复的方法、装置及系统 |
| CN105095754A (zh) * | 2015-05-11 | 2015-11-25 | 北京奇虎科技有限公司 | 一种处理病毒应用的方法、和装置和移动终端 |
| CN105005722A (zh) * | 2015-06-26 | 2015-10-28 | 北京北信源软件股份有限公司 | 移动存储设备的接入控制方法及装置 |
| CN105354499A (zh) * | 2015-12-15 | 2016-02-24 | 北京金山安全管理系统技术有限公司 | 一种病毒的查杀方法与装置 |
| CN106682505B (zh) * | 2016-05-04 | 2020-06-12 | 腾讯科技(深圳)有限公司 | 一种病毒检测方法、终端、服务器及系统 |
| CN106856478A (zh) * | 2016-12-29 | 2017-06-16 | 北京奇虎科技有限公司 | 一种基于局域网的安全检测方法和装置 |
| CN108280347A (zh) * | 2017-12-25 | 2018-07-13 | 北京奇安信科技有限公司 | 一种病毒扫描的方法及装置 |
| CN110084041A (zh) * | 2019-04-29 | 2019-08-02 | 深信服科技股份有限公司 | 病毒文件的查询方法、装置、客户端、管理端及存储介质 |
| CN114450920B (zh) * | 2019-11-20 | 2024-08-06 | 阿里巴巴集团控股有限公司 | 分布式安全检测系统、方法、设备及存储介质 |
| CN111400712A (zh) * | 2020-03-17 | 2020-07-10 | 深信服科技股份有限公司 | 文件的病毒查杀方法、设备、装置以及计算机存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN102279917A (zh) * | 2011-09-19 | 2011-12-14 | 奇智软件(北京)有限公司 | 多杀毒引擎并行杀毒方法及系统 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
| CN202551099U (zh) * | 2012-03-07 | 2012-11-21 | 北京宇航系统工程研究所 | 一种在线多引擎的云网络查杀架构 |
-
2012
- 2012-11-26 CN CN201210488480.1A patent/CN103020520B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101304426A (zh) * | 2008-07-10 | 2008-11-12 | 腾讯科技(深圳)有限公司 | 一种可疑文件的识别上报方法和装置 |
| CN102279917A (zh) * | 2011-09-19 | 2011-12-14 | 奇智软件(北京)有限公司 | 多杀毒引擎并行杀毒方法及系统 |
| CN102413142A (zh) * | 2011-11-30 | 2012-04-11 | 华中科技大学 | 基于云平台的主动防御方法 |
| CN202551099U (zh) * | 2012-03-07 | 2012-11-21 | 北京宇航系统工程研究所 | 一种在线多引擎的云网络查杀架构 |
| CN102663284A (zh) * | 2012-03-21 | 2012-09-12 | 南京邮电大学 | 一种基于云计算的恶意代码识别方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103020520A (zh) | 2013-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103020520B (zh) | 一种基于企业的文件安全检测方法和系统 | |
| CN103049697B (zh) | 针对企业的文件检测方法和系统 | |
| US11374960B2 (en) | Methods, systems and media for evaluating layered computer security products | |
| US9830454B2 (en) | Web application security access method, server, and client | |
| US9641546B1 (en) | Electronic device for aggregation, correlation and consolidation of analysis attributes | |
| Wurzinger et al. | SWAP: Mitigating XSS attacks using a reverse proxy | |
| US8839434B2 (en) | Multi-nodal malware analysis | |
| US9762608B1 (en) | Detecting malware | |
| EP2755157B1 (en) | Detecting undesirable content | |
| US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
| US9686303B2 (en) | Web page vulnerability detection method and apparatus | |
| US11347847B2 (en) | Cloud-based malware detection | |
| US10091222B1 (en) | Detecting data exfiltration as the data exfiltration occurs or after the data exfiltration occurs | |
| CN102810138A (zh) | 一种用户端文件的修复方法和系统 | |
| US20040088564A1 (en) | Method of hindering the propagation of a computer virus | |
| CN102945348B (zh) | 文件信息收集方法与装置 | |
| CN108900558B (zh) | 一种访问请求处理方法及系统 | |
| CN104539584B (zh) | 浏览器防注入方法、浏览器客户端和装置 | |
| US9866583B2 (en) | Fuzzing server responses to malicious client devices | |
| EP3270317B1 (en) | Dynamic security module server device and operating method thereof | |
| CN102957696B (zh) | 一种数据处理方法和装置 | |
| EP2854363B1 (en) | Polluting results of vulnerability scans | |
| US11636198B1 (en) | System and method for cybersecurity analyzer update and concurrent management system | |
| CN102982279B (zh) | 计算机辅助设计病毒感染防止系统和方法 | |
| US10831887B2 (en) | System and method for monitoring the integrity of a component delivered to a client system by a server system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161208 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wen Ming Inventor after: Wan Renguo Inventor before: Wen Ming |
|
| CB03 | Change of inventor or designer information | ||
| CP03 | Change of name, title or address |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201229 Address after: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee after: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee after: QAX Technology Group Inc. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Patentee before: QAX Technology Group Inc. |
|
| TR01 | Transfer of patent right | ||
| CP03 | Change of name, title or address |
Address after: 2nd Floor, Building 1, Yard 26, Xizhimenwai South Road, Xicheng District, Beijing, 100032 Patentee after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Patentee after: QAX Technology Group Inc. Address before: 100044 2nd floor, building 1, yard 26, Xizhimenwai South Road, Xicheng District, Beijing Patentee before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. Patentee before: QAX Technology Group Inc. |
|
| CP03 | Change of name, title or address |