CN103281325A - 基于云安全的文件处理方法及装置 - Google Patents

基于云安全的文件处理方法及装置 Download PDF

Info

Publication number
CN103281325A
CN103281325A CN2013102190538A CN201310219053A CN103281325A CN 103281325 A CN103281325 A CN 103281325A CN 2013102190538 A CN2013102190538 A CN 2013102190538A CN 201310219053 A CN201310219053 A CN 201310219053A CN 103281325 A CN103281325 A CN 103281325A
Authority
CN
China
Prior art keywords
file
program file
signature
unknown program
killing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013102190538A
Other languages
English (en)
Other versions
CN103281325B (zh
Inventor
孔庆龙
姚彤
张波
刘智锋
江爱军
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qizhi Business Consulting Co ltd
Beijing Qihoo Technology Co Ltd
360 Digital Security Technology Group Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201310219053.8A priority Critical patent/CN103281325B/zh
Publication of CN103281325A publication Critical patent/CN103281325A/zh
Priority to PCT/CN2014/079076 priority patent/WO2014194803A1/zh
Priority to US14/896,298 priority patent/US9948670B2/en
Application granted granted Critical
Publication of CN103281325B publication Critical patent/CN103281325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种基于云安全的文件处理方法及装置。该方法包括:根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识;发送查询请求至服务器端,查询未知程序文件是否是恶意程序,其中,查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;接收来自服务器端的反馈消息,并根据反馈消息对未知程序文件进行后续处理,其中,服务器端根据签名标识以及文件特征生成反馈消息。通过本发明,解决了现有技术中利用木马突破云查杀的问题,同时也能够减少由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。

Description

基于云安全的文件处理方法及装置
技术领域
本发明涉及信息安全领域,具体涉及一种基于云安全的文件处理方法及装置。
背景技术
目前,随着恶意程序的不断增长,传统的基于特征码查杀和定期更新病毒库的杀毒方式已经无法应对这种局面,这就促使了大量客户端跟踪、查杀恶意程序的云安全技术的兴起。
现有技术中的云安全技术大多采用客户端本地引擎与云安全服务器侧相结合的方式,具体通过如下方式对恶意程序进行查杀:
客户端本地引擎根据其内置的扫描位置进行扫描,并把本地无法识别的未知程序文件特征发送给云安全服务器,由云安全服务器对接收到的程序文件特征进行对比并判断是否为恶意程序,若为恶意程序,再由客户端本地引擎根据其预置的恶意程序处理方法对该恶意程序进行相应处理。
然而,恶意程序的作者在对抗安全软件时,恶意软件为了躲避安全防护软件的检测,会找到操作系统中新的可利用点或者找到安全软件所忽视的点,从而绕过安全软件的检测和查杀。这就需要安全厂商需要针对新兴的恶意程序样本进行分析,以对客户端安全软件进行更新。但是,在对安全软件升级的程中,恶意程序已经广泛蔓延。可见,现有技术的方法,并不能及时地对恶意程序进行检测和查杀。
发明内容
鉴于上述问题,本发明提供一种基于云安全的文件处理方法及装置,以便克服上述问题或者至少部分地解决上述问题。
依据本发明的一个方面,提供了一种基于云安全的文件处理方法,该方法包括:
根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识;
发送查询请求至服务器端,查询未知程序文件是否是恶意程序,其中,查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
接收来自服务器端的反馈消息,并根据反馈消息对未知程序文件进行后续处理,其中,服务器端根据签名标识以及文件特征生成反馈消息。
可选地,按照如下步骤获得签名相关信息以及文件特征,包括:
扫描未知程序文件,获取文件特征;
从文件特征中提取签名相关信息。
可选地,文件特征包括下列至少之一:
MD5(Message Digest Algorithm5,消息摘要算法)、SHA1(SecureHash Algorithm,哈希算法)、从文件中抽取部分内容计算出的特征值。
可选地,根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识,包括:
获取可移植的执行体PE文件的可计算字段,可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分;
对可计算字段进行计算,将计算结果作为签名标识。
可选地,根据反馈消息进行后续处理,包括:
签名标识在服务器端匹配成功时,接收服务器端反馈的、与签名标识相对应的查杀方法。
可选地,接收服务器端反馈的查杀方式之后,包括:
从服务器端下载预设的、针对未知程序文件的信息参数的检测条件,判断未知程序文件是否满足检测条件;
将判断结果上传服务器端,并根据服务器端的指令执行后续处理。
可选地,检测条件包括下列至少一项:
PE加载的特定文件是否具有特定公司的有效签名;
PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称;
系统中是否挂有特定的钩子;
特定的进程中是否具有特定的填充数据Shellcode;
系统中是否有特定驱动模块或者设备对象存在;
特定的注册表是否指向特定的文件或者特定的唯一标识CLSID或者匹配特定的模式;
PE加载的进程链中是否存在安全性未知的文件。
可选地,根据服务器端的指令执行后续处理,包括:
接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息;和/或
接收来自服务器端的对未知程序文件进行查杀的查杀命令时,对未知程序文件进行查杀;和/或在接收到用户界面触发的查杀指令时,通过服务端对未知程序文件进行查杀。
可选地,查杀方法包括:扫描/判定动作和/或修复动作。
依据本发明的一个方面,还提供了一种基于云安全的文件处理方法,该方法包括:
接收来自客户端的查询请求,其中,查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
根据签名标识以及文件特征生成反馈消息;
将反馈消息发送至客户端,其中,客户端根据反馈消息对未知程序文件进行后续处理。
可选地,将反馈消息发送至客户端,包括:
在数据库中,对签名标识进行匹配;
将匹配得到的查杀方法返回给客户端。
可选地,数据库包括:本地数据库和/或云端数据库。
可选地,接收来自客户端的查询请求之前,包括:接收来自客户端的、未知程序文件的文件特征。
可选地,将匹配得到的查杀方法返回给客户端之后,还包括:
将预设的、针对未知程序文件的信息参数的检测条件发送至客户端;以及
接收来自客户端的检测结果;
根据检测结果发送相应指令。
可选地,根据检测结果发送相应指令,包括:
根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端;和/或
根据检测结果发送相应命令,其中,相应命令包括对未知程序文件进行查杀的查杀命令,以及,对安全文件进行放行的命令。
根据本发明的另一方面,提供了一种基于云安全的文件处理装置,该装置包括:
生成模块,配置为根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识;
查询模块,配置为发送查询请求至服务器端,查询未知程序文件是否是恶意程序,其中,查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
处理模块,配置为接收来自服务器端的反馈消息,并根据反馈消息对未知程序文件进行后续处理,其中,服务器端根据签名标识以及文件特征生成反馈消息。
可选地,上述装置还包括:
提取模块,配置为扫描未知程序文件,获取文件特征;从文件特征中提取签名相关信息。
可选地,文件特征包括下列至少之一:
MD5、SHA1、从文件中抽取部分内容计算出的特征值。
可选地,生成模块还配置为:
获取可移植的执行体PE文件的可计算字段,可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分;
对可计算字段进行计算,将计算结果作为签名标识。
可选地,处理模块还配置为:
签名标识在服务器端匹配成功时,接收服务器端反馈的、与签名标识相对应的查杀方法。
可选地,处理模块还配置为:
从服务器端下载预设的、针对未知程序文件的信息参数的检测条件,判断未知程序文件是否满足检测条件;
将判断结果上传服务器端,并根据服务器端的指令执行后续处理。
可选地,处理模块还配置为:
接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息;和/或
接收来自服务器端的对未知程序文件进行查杀的查杀命令时,对未知程序文件进行查杀;和/或
在接收到用户界面触发的查杀指令时,通过服务端对未知程序文件进行查杀。
可选地,查杀方法包括:对未知程序文件进行扫描/判定动作和/或修复动作。
根据本发明的另一方面,还提供了一种基于云安全的文件处理装置,该装置包括:
接收模块,配置为接收来自客户端的查询请求,其中,查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
发送模块,配置为根据签名标识以及文件特征生成反馈消息,并将反馈消息发送至客户端,其中,客户端根据反馈消息对未知程序文件进行后续处理。
可选地,发送模块包括:
匹配单元,配置为在数据库中,对签名标识进行匹配;
发送单元,配置为将匹配得到的查杀方法发送给客户端。
可选地,数据库包括:本地数据库和/或云端数据库。
可选地,接收模块还配置为接收来自客户端的、未知程序文件的文件特征。
可选地,发送模块,还配置为预设的、针对未知程序文件的信息参数的检测条件发送至客户端;以及
接收模块,还配置为接收来自客户端的检测结果;
发送模块,还配置为根据检测结果发送相应指令。
可选地,发送模块还配置为:
根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端;和/或
根据检测结果发送相应命令,其中,相应命令包括对未知程序文件进行查杀的查杀命令,以及,对安全文件进行放行的命令。
本发明提供的了一种基于云安全的文件处理方法及装置。通过本发明,使得客户端能够及时获取到本地的未知程序文件,并生成与该程序文件唯一对应的签名标识发送给服务器端,服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端,客户端根据反馈消息对该未知程序文件进行相应地处理。
可见,本发明提供的方法及装置使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法,并能够及时地对恶意程序进行查杀,解决了现有技术中利用木马突破云查杀的问题。另外,与现有技术中,通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比,本发明还减少了由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了根据本发明一个实施例的一种基于云安全的文件处理方法流程图;
图2示出了根据本发明一个实施例的另一种基于云安全的文件处理方法流程图以及
图3示出了根据本发明另一个实施例的一种基于云安全的文件处理方法流程图;
图4示出了根据本发明一个实施例的一种基于云安全的文件处理装置结构框图;以及
图5示出了根据本发明一个实施例的另一种基于云安全的文件处理装置结构框图。
具体实施方式
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
本发明可以应用于计算机系统/服务器,其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于:个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境,等等。
计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等,它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施,分布式云计算环境中,任务是由通过通信网络连接的远程处理设备执行的。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
实施例一
图1出示了根据本发明一个实施例的一种基于云安全的文件处理方法流程图。在该方法中,对用于处理本地程序的客户端进行了改进,该方法具体包括步骤S102至S106。
S102,根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识。
S104,发送查询请求至服务器端,查询未知程序文件是否是恶意程序。其中,查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征。
其中,本实施例中的文件特征可以包括文件的MD5值、SHA1值,或者是从文件中抽取部分内容计算出的特征值。还可以包括该文件可能加载的DLL(Dynamic Link Library,动态链接库)信息及DLL的描述信息,该文件是否被木马感染成一个安全性未知的或者危险的文件;或者包括判断指定文件/目录是否存在,文件属性是否满足条件(如文件的MD5是否为指定的值),指定注册表键/值是否存在,注册表键/值内容是否满足条件,指定进程/服务是否存在等。
其中,服务器端预先保存有文件特征值和安全级别信息的对应关系,服务器端确定的安全级别信息可以自定义,例如包括安全、危险、未知等级别,也可以采用一级、二级、三级等方式来进行区分,只要能够体现出各模块是否安全状态即可。或者,所述安全级别信息包括:安全等级、未知等级、可疑等级、高度可疑等级和恶意等级,其中,恶意等级为最高等级,安全等级为最低等级。例如,可以设置等级为10-20时为安全等级,等级为30-40时为未知等级,等级为50-60时为可疑等级和高度可疑等级,等级大于70时为恶意等级。
S106,接收来自服务器端的反馈消息,并根据反馈消息对未知程序文件进行后续处理。其中,服务器端根据签名标识以及文件特征生成反馈消息。
本实施例中,反馈消息为服务器端反馈的、与所述签名标识相对应的查杀方法,以使客户端能够根据该查杀方法对未知文件进行相应处理。
本发明实施例提供的基于云安全的文件处理方法,使得客户端能够及时获取到本地的未知程序文件,并生成与该程序文件唯一对应的签名标识发送给服务器端,并从服务器端获取对应的反馈消息,并根据反馈消息对该未知程序文件进行相应地处理。
可见,本发明实施例提供的方法使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法,并能够及时地对恶意程序进行查杀,解决了现有技术中利用木马突破云查杀的问题。另外,与现有技术中,通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比,本方法还减少了由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。
相应地,图2出示了根据本发明一个实施例的另一种基于云安全的文件处理方法流程图。在该方法中,对用于查杀恶意程序的服务器进行了改进,该服务器为上述客户端的云安全服务器,该方法具体包括步骤S202至S206。
S202,接收来自客户端的查询请求。其中,查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征。本实施例中的文件特征已经在上述方法中进行过具体介绍,在此不再赘述。
S204,根据签名标识以及文件特征生成反馈消息。
S206,将反馈消息发送至客户端。其中,客户端根据反馈消息对未知程序文件进行后续处理。
例如,本实施例中,当客户端迅雷ThundPlatform.exe加载minizip.dll(minizip.dll被替换成木马),且检测到minizip非白文件(也成白程序或可信程序),时,由服务器返回删除木马的命令,执行修复迅雷软件的操作,可以由客户端执行该操作。
本发明实施例提供的基于云安全的文件处理方法,使得服务器能够根据客户端发送的未知程序文件的签名标签获取对应的反馈消息,且返回给客户端,并由客户端根据反馈消息对该未知程序文件进行相应地处理。
可见,本发明实施例提供的方法使得服务器能够实时地、动态地获取针对客户端未知程序文件的处理方法,并由客户端对恶意程序进行查杀,解决了现有技术中利用木马突破云查杀的问题。另外,与现有技术中,通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比,本方法还减少了由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。
实施例二
本实施例为上述实施例一的一种具体应用场景,通过本实施例,能够更加清楚、具体地阐述本发明所提供的方法。
图3出示了本发明一个实施例的一种基于云安全的文件处理方法流程图。该方法具体包括步骤S302至S316。
S302,客户端根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识。
需要说明的是,本实施例中,客户端在执行本地程序文件时,会判断每个程序文件是否为本地可知程序文件,以保证客户端对本地程序的可知性,同时也确保了本地程序的安全性。其中,客户端中会存储有程序文件列表,当所扫描到的程序文件不在程序文件列表中时,客户端判定该程序文件为未知程序文件。
可选地,该步骤的具体实现方式包括:
首先,扫描该未知程序文件,获取其文件特征。
其中,文件特征已在上述实施例中进行过具体介绍,在此不再赘述。
其次,从获取的文件特征中提取签名相关信息。
其中,签名相关信息为文件特征的可计算字段,可计算字段包括PE文件中除去PE校验段、签名段以及签名内容剩余部分。其中,当获取的上述文件长度未达到8的整数倍时,将其所差的位数用0补齐,以便于对其进行计算。
再次,对可计算字段进行计算,将计算结果作为签名标识。
可选地,本实施例中,将可计算字段作为摘要值,采用SHA1算法对其进行计算,得到与未知程序文件唯一对应的签名标识。
客户端在生成未知程序文件的签名标识后,执行步骤S304,即发送查询请求至服务器端。其中,查询请求携带有该未知程序文件的签名标识以及该未知程序文件的部分或全部文件特征。
服务器端接收到查询请求后,执行步骤S306,即在数据库中对查询请求中的签名标识进行匹配,获取与签名标识相对应的查杀方法。
需要说明的是,本实施例中的数据库包括本地数据库和/或云端数据库。
可选地,本实施例中的查杀方法可以包括扫描/判定动作和修复动作等。其中,扫描/判定动作包括对程序文件属性及程序文件的上下文环境的扫描和判定,并当判定为恶意程序时,执行相应的修复操作。可选地,该修复操作可以包括删除指定的注册表键/值、修改注册表键/值为指定内容、删除指定系统服务项、修复/删除指定程序文件等,还包括引导用户启动急救箱等,例如,在急救箱的模式下对恶意程序进行查杀,采用计算机基本输入输出系统→硬盘主引导记录→操作系统驱动层→操作系统应用层的多层检测和清除方式,从底层开始对病毒进行检测和清除处理,可以确保彻底清除存在于应用层到驱动层各层中的病毒,提高了检测和清除计算机病毒的能力,保证了计算机系统的安全。
S308,服务器将匹配得到的查杀方法发送给客户端。
客户端接收到服务器发送的查杀方法后,执行步骤S310,即从服务器侧下载针对未知程序文件的信息参数的检测条件。其中,检测条件由服务器侧根据接收到的未知程序文件信息参数(如文件特征)生成。
客户端下载到检测条件后,执行步骤S312,即判断该未知程序文件是否满足检测条件,并将判断结果发送至服务器。
可选地,本实施例中的检测条件至少包括如下列举的一种:
1)PE加载的特定文件是否具有特定公司的有效签名。2)PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称。3)系统中是否挂有特定的钩子。4)特定的进程中是否具有特定的填充数据。5)系统中是否有特定驱动模块或者设备对象存在,其中,特定的驱动模块或者设备对象是指由本地未知程序所加载的驱动模块或者设备对象。6)特定的注册表是否指向特定的文件或者特定的CLSID或者匹配特定的模式,其中,特定的注册表、特定的文件、特定的CLSID及特定的模式均由未知程序在加载时生成,当该程序运行时,由特定的注册表利用该特定的文件和特定的CLSID在特定的模式下运行该程序。7)PE加载的进程链中是否存在本地未知的文件(未能判断安全等级是否为可信的文件,主要根据每个文件对应的文件安全等级判断)等。PE加载的进程链主要是需要分析进程链信息。
进程链包括运行所述程序操作的所有父子进程,例如,一种进程链的示例为:进程1→进程2→进程3,即所述进程2为进程3的父进程,进程1为进程2的父进程,进程2为进程1的子进程,进程3为进程2的子进程。提取进程链上所有进程的名称,确定是否存在本地未知的文件。关于父进程和子进程,创建一个进程时,被创建的函数就是创建函数的子进程。所述进程的信息还可以包括其他信息,例如会话ID、优先级、拥有的线程、用户ID、句柄、进程内存计数器、进程路径、进程命令行参数、进程名称、进程创建者、创建时间、退出时间、内核时间等,本发明对此不再详细介绍。从当前进程开始,依据所述创建关系追溯对应所述当前进程的进程链,依次在该进程链中查找该进程的每一级父进程,并获取所述父进程的文件等级;根据获取到的文件等级从而可以获知PE加载的进程链中是否存在本地未知的文件。
对于上述第一类检测条件,可以查询到例如暴风影音StoreUpdate.exe加载StormUpdate.dll,StormUpdated.dll具有“北京暴风网际科技有限公司”的签名信息。
对于上述第二类检测条件,例如检测到加载kernel32.dll内部名称为kernel32,公司名称为microsoft,产品名称为MicrosoftWindowsOperating System等。
对于上述系统中是否挂有特定的钩子这种检测条件,例如关机回调钩子函数,是windows关机时会调用的一个或多个回调函数,木马注册后,可以在关机时将自身从内存写到磁盘并设置自启动,以便下次开机仍然能够加载。常见的一个木马样本Unifade就是通过注册关机回调钩子反复感染的。
又例如,对于上述系统中是否有特定驱动模块或者设备对象存在的检测条件,svchost.exe是个常见的系统服务进程,木马会将自身模块远程注入到该进程中,并将自身的文件删除,达到隐形的目的,关机时在将自身写入到磁盘中以便下次开机加载。分析人员可以根据木马的特征提取一些二进制串,用这些二进制串和svchost.exe进程的内存进行匹配从而发现木马。
又例如,对于上述特定的注册表是否指向特定的文件或者特定的CLSID或者匹配特定的模式的检测条件,特定的注册表,比如鬼影木马感染fips.sys驱动程序,fips驱动程序是通过HKLM\SYSTEM\CurrentControlSet\Services\Fips键加载的,从而检测到fips.sys被感染,同时存在\Driver\fips对象,可以作为鬼影木马病毒存在的判断条件。等等。
当服务器接收到检测结果后,执行步骤S314,即根据检测结果获取相应的指令,并将该指令发送给客户端。
可选地,服务器侧保存有一个指令列表或指令数据库,存储有针对不同的检测结果的处理指令。例如,当服务器根据接收到的检测结果判定该未知程序文件为恶意文件时,可以发送未知程序文件可能感染恶意程序的提醒消息给客户端,还可以发送对该未知程序文件进行查杀的指令。当服务器根据接收到的检测结果判定该未知程序文件为安全文件时,向客户端发送安全文件进行放行的命令。
客户端接收到服务器发送的指令后,执行步骤S316,即根据获取的指令对该未知程序文件进行后续处理。
可选地,本实施例中,当客户端接收到的指令为未知程序文件可能感染恶意程序的提醒消息时,可以向用户显示该未知程序文件可能感染恶意程序的提示信息,便于用户对该程序文件进行操作。例如,用户可以根据提示消息选择对该程序文件进行查杀,此时,客户端接收到用户触发的查杀指令后,将该程序文件交由服务器侧进行查杀。减少了客户端对文件的查杀操作,增加客户端的处理速度。
当客户端接收到的指令为查杀指令时,直接根据该指令对该未知程序文件进行查杀,保证了对恶意程序进行及时地查杀。
本发明提供了一种基于云安全的文件处理方法。通过该方法,使得客户端能够及时获取到本地的未知程序文件,并生成与该程序文件唯一对应的签名标识发送给服务器端,服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端,客户端根据反馈消息对该未知程序文件进行相应地处理。
可见,本发明实施例提供的方法使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法,并能够及时地对恶意程序进行查杀,解决了现有技术中利用木马突破云查杀的问题。例如,解决了木马使用DLL劫持技术将木马DLL与可信任的白程序打包在一起,当用户执行白程序时,木马DLL会被加载的问题。
另外,与现有技术中,通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比,本方法还减少了由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。本方法可有效应用于应用层或者驱动层感染的病毒,涉及的可以处理的病毒包括计算机病毒(包括一般感染性病毒、Word和Excel宏病毒、引导区病毒、脚本病毒、木马、后门程序、键盘记录器、密码盗取者等等)统称为“计算机病毒”。
实施例三
图4出示了本发明一个实施例的一种基于云安全的文件处理装置的结构框图。该装置执行于客户端的引擎中。该装置安全性未知的0包括:
生成模块410,配置为根据本地下载的未知程序文件的签名相关信息,生成与未知程序文件唯一对应的签名标识;
查询模块420,与上述生成模块410相耦合,配置为发送查询请求至服务器端,查询未知程序文件是否是恶意程序,其中,查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
处理模块430,与上述生成模块420相耦合,配置为接收来自服务器端的反馈消息,并根据反馈消息对未知程序文件进行后续处理,其中,服务器端根据签名标识以及文件特征生成反馈消息。
可选地,上述装置还包括:
提取模块440,与上述生成模块410相耦合,配置为扫描未知程序文件,获取文件特征;
从文件特征中提取签名相关信息。
可选地,文件特征包括下列至少之一:
MD5、SHA1、从文件中抽取部分内容计算出的特征值。
可选地,上述生成模块410还配置为:
获取可移植的执行体PE文件的可计算字段,可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分;
对可计算字段进行计算,将计算结果作为签名标识。
可选地,上述处理模块430还配置为:
签名标识在服务器端匹配成功时,接收服务器端反馈的、与签名标识相对应的查杀方法。
可选地,上述处理模块430还配置为:
从服务器端下载预设的、针对未知程序文件的信息参数的检测条件,判断未知程序文件是否满足检测条件;
将判断结果上传服务器端,并根据服务器端的指令执行后续处理。
可选地,上述处理模块430还配置为:
接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息;和/或
接收来自服务器端的对未知程序文件进行查杀的查杀命令时,对未知程序文件进行查杀;和/或
在接收到用户界面触发的查杀指令时,通过服务端对未知程序文件进行查杀。
可选地,上述查杀方法包括:对未知程序文件进行扫描/判定动作和/或修复动作。
图5出示了本发明一个实施例的另一种基于云安全的文件处理装置的结构框图。该装置执行于上述客户端的对端服务器中。该装置500包括:
接收模块510,配置为接收来自客户端的查询请求,其中,查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征;
发送模块520,与上述接收模块510相耦合,配置为根据签名标识以及文件特征生成反馈消息,并将反馈消息发送至客户端,其中,客户端根据反馈消息对未知程序文件进行后续处理。
可选地,上述发送模块520包括:
匹配单元521,配置为在数据库中,对签名标识进行匹配;
发送单元522,配置为将匹配得到的查杀方法发送给客户端。
可选地,数据库包括:本地数据库和/或云端数据库。
可选地,上述接收模块510还配置为接收来自客户端的、未知程序文件的文件特征。
可选地,上述发送模块520,还配置为预设的、针对未知程序文件的信息参数的检测条件发送至客户端;以及
上述接收模块510,还配置为接收来自客户端的检测结果;
上述发送模块520,还配置为根据检测结果发送相应指令。
可选地,上述发送模块520还配置为:
根据检测结果发送未知程序文件可能感染恶意程序的提醒消息至客户端;和/或
根据检测结果发送相应命令,其中,相应命令包括对未知程序文件进行查杀的查杀命令,以及,对安全文件进行放行的命令。
本发明实施例提供了一种基于云安全的文件处理装置。通过该装置,使得客户端能够及时获取到本地的未知程序文件,并生成与该程序文件唯一对应的签名标识发送给服务器端,服务器端能够根据接收的签名标签获取对应的反馈消息并返回给客户端,客户端根据反馈消息对该未知程序文件进行相应地处理。
可见,本发明实施例提供的装置使得客户端能够实时地、动态地从服务器侧获取针对未知程序文件的处理方法,并能够及时地对恶意程序进行查杀,解决了现有技术中利用木马突破云查杀的问题。另外,与现有技术中,通过升级本地特征库和引擎程序文件才能检测并查杀新生恶意程序相比,本装置还减少了由发现恶意程序到查杀恶意程序的时间,从而加快了对新生恶意程序的打击速度,也减少了服务器的信息存储量,进而保证了客户端程序的安全。
本发明实施例中,其中,将所述反馈消息发送至所述客户端,包括:
在数据库中,对所述签名标识进行匹配;
将匹配得到的查杀方法返回给所述客户端。
其中,所述数据库包括:本地数据库和/或云端数据库。
其中,所述接收来自客户端的查询请求之前,包括:接收来自所述客户端的、所述未知程序文件的文件特征。
其中,将匹配得到的查杀方法返回给所述客户端之后,还包括:
将预设的、针对所述未知程序文件的信息参数的检测条件发送至所述客户端;以及
接收来自所述客户端的检测结果;
根据所述检测结果发送相应指令。
其中,根据所述检测结果发送相应指令,包括:
根据所述检测结果发送所述未知程序文件可能感染恶意程序的提醒消息至所述客户端;和/或
根据所述检测结果发送相应命令,其中,所述相应命令包括对所述未知程序文件进行查杀的查杀命令,以及,对安全文件进行放行的命令。
本发明实施例的基于云安全的文件处理装置,包括:
生成模块,配置为根据本地下载的未知程序文件的签名相关信息,生成与所述未知程序文件唯一对应的签名标识;
查询模块,配置为发送查询请求至服务器端,查询所述未知程序文件是否是恶意程序,其中,所述查询请求携带有所述未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征;
处理模块,配置为接收来自所述服务器端的反馈消息,并根据所述反馈消息对所述未知程序文件进行后续处理,其中,所述服务器端根据所述签名标识以及所述文件特征生成所述反馈消息。
本发明实施例所述的装置,还包括:
提取模块,配置为扫描所述未知程序文件,获取文件特征;从所述文件特征中提取签名相关信息。
根据本发明实施例所述的装置,所述文件特征包括下列至少之一:
MD5、SHA1、从文件中抽取部分内容计算出的特征值。
根据本发明实施例所述的装置,所述生成模块还配置为:
获取可移植的执行体PE文件的可计算字段,所述可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分;
对所述可计算字段进行计算,将计算结果作为所述签名标识。
根据本发明实施例所述的装置,所述处理模块还配置为:
所述签名标识在所述服务器端匹配成功时,接收所述服务器端反馈的、与所述签名标识相对应的查杀方法。
根据本发明实施例所述的装置,所述处理模块还配置为:
从所述服务器端下载预设的、针对所述未知程序文件的信息参数的检测条件,判断所述未知程序文件是否满足所述检测条件;
将判断结果上传所述服务器端,并根据所述服务器端的指令执行后续处理。
根据本发明实施例所述的装置,所述处理模块还配置为:
接收来自所述服务器端的所述未知程序文件可能感染恶意程序的提醒消息;和/或
接收来自所述服务器端的对所述未知程序文件进行查杀的查杀命令时,对所述未知程序文件进行查杀;和/或
在接收到用户界面触发的查杀指令时,通过服务端对所述未知程序文件进行查杀。
根据本发明实施例所述的装置,所述查杀方法包括:对所述未知程序文件进行扫描/判定动作和/或修复动作。
本发明实施例中基于云安全的文件处理装置,包括:
接收模块,配置为接收来自客户端的查询请求,其中,所述查询请求包括未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征;
发送模块,配置为根据所述签名标识以及所述文件特征生成反馈消息,并将所述反馈消息发送至所述客户端,其中,所述客户端根据所述反馈消息对所述未知程序文件进行后续处理。
本发明实施例所述的装置,所述发送模块包括:
匹配单元,配置为在数据库中,对所述签名标识进行匹配;
发送单元,配置为将匹配得到的查杀方法发送给所述客户端。
本发明实施例所述的装置,所述数据库包括:本地数据库和/或云端数据库。
本发明实施例所述的装置,所述接收模块还配置为接收来自所述客户端的、所述未知程序文件的文件特征。
本发明实施例所述的装置,
所述发送模块,还配置为预设的、针对所述未知程序文件的信息参数的检测条件发送至所述客户端;以及
所述接收模块,还配置为接收来自所述客户端的检测结果;
所述发送模块,还配置为根据所述检测结果发送相应指令。
本发明实施例所述的装置,所述发送模块还配置为:
根据所述检测结果发送所述未知程序文件可能感染恶意程序的提醒消息至所述客户端;和/或
根据所述检测结果发送相应命令,其中,所述相应命令包括对所述未知程序文件进行查杀的查杀命令,以及,对安全文件进行放行的命令。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于云安全的文件处理装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (10)

1.一种基于云安全的文件处理方法,包括:
根据本地下载的未知程序文件的签名相关信息,生成与所述未知程序文件唯一对应的签名标识;
发送查询请求至服务器端,查询所述未知程序文件是否是恶意程序,其中,所述查询请求携带有所述未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征;
接收来自所述服务器端的反馈消息,并根据所述反馈消息对所述未知程序文件进行后续处理,其中,所述服务器端根据所述签名标识以及所述文件特征生成所述反馈消息。
2.根据权利要求1所述的方法,按照如下步骤获得所述签名相关信息以及所述文件特征,包括:
扫描所述未知程序文件,获取文件特征;
从所述文件特征中提取签名相关信息。
3.根据权利要求1或2所述的方法,所述文件特征包括下列至少之一:
MD5、SHA1、从文件中抽取部分内容计算出的特征值。
4.根据权利要求1至3任一项所述的方法,根据本地下载的未知程序文件的签名相关信息,生成与所述未知程序文件唯一对应的签名标识,包括:
获取可移植的执行体PE文件的可计算字段,所述可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分;
对所述可计算字段进行计算,将计算结果作为所述签名标识。
5.根据权利要求1至4任一项所述的方法,根据所述反馈消息进行后续处理,包括:
所述签名标识在所述服务器端匹配成功时,接收所述服务器端反馈的、与所述签名标识相对应的查杀方法。
6.根据权利要求5所述的方法,接收所述服务器端反馈的查杀方式之后,包括:
从所述服务器端下载预设的、针对所述未知程序文件的信息参数的检测条件,判断所述未知程序文件是否满足所述检测条件;
将判断结果上传所述服务器端,并根据所述服务器端的指令执行后续处理。
7.根据权利要求6所述的方法,所述检测条件包括下列至少一项:
PE加载的特定文件是否具有特定公司的有效签名;
PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称;
系统中是否挂有特定的钩子;
特定的进程中是否具有特定的填充数据;
系统中是否有特定驱动模块或者设备对象存在;
特定的注册表是否指向特定的文件或者特定的唯一标识CLSID或者匹配特定的模式;
PE加载的进程链中是否存在安全性未知的文件。
8.根据权利要求6或7所述的方法,根据所述服务器端的指令执行后续处理,包括:
接收来自所述服务器端的所述未知程序文件可能感染恶意程序的提醒消息;和/或
接收来自所述服务器端的对所述未知程序文件进行查杀的查杀命令时,对所述未知程序文件进行查杀;和/或
在接收到用户界面触发的查杀指令时,通过服务端对所述未知程序文件进行查杀。
9.根据权利要求5至8任一项所述的方法,所述查杀方法包括:扫描/判定动作和/或修复动作。
10.一种基于云安全的文件处理方法,包括:
接收来自客户端的查询请求,其中,所述查询请求包括未知程序文件的签名标识以及所述未知程序文件的部分或全部文件特征;
根据所述签名标识以及所述文件特征生成反馈消息;
将所述反馈消息发送至所述客户端,其中,所述客户端根据所述反馈消息对所述未知程序文件进行后续处理。
CN201310219053.8A 2013-06-04 2013-06-04 基于云安全的文件处理方法及装置 Active CN103281325B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201310219053.8A CN103281325B (zh) 2013-06-04 2013-06-04 基于云安全的文件处理方法及装置
PCT/CN2014/079076 WO2014194803A1 (zh) 2013-06-04 2014-06-03 基于云安全的文件处理方法及装置
US14/896,298 US9948670B2 (en) 2013-06-04 2014-06-03 Cloud security-based file processing by generating feedback message based on signature information and file features

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310219053.8A CN103281325B (zh) 2013-06-04 2013-06-04 基于云安全的文件处理方法及装置

Publications (2)

Publication Number Publication Date
CN103281325A true CN103281325A (zh) 2013-09-04
CN103281325B CN103281325B (zh) 2018-03-02

Family

ID=49063772

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310219053.8A Active CN103281325B (zh) 2013-06-04 2013-06-04 基于云安全的文件处理方法及装置

Country Status (3)

Country Link
US (1) US9948670B2 (zh)
CN (1) CN103281325B (zh)
WO (1) WO2014194803A1 (zh)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014194803A1 (zh) * 2013-06-04 2014-12-11 北京奇虎科技有限公司 基于云安全的文件处理方法及装置
CN104462968A (zh) * 2014-12-16 2015-03-25 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统
CN104537304A (zh) * 2014-12-31 2015-04-22 北京奇虎科技有限公司 文件查杀方法、装置及系统
CN104915593A (zh) * 2014-03-14 2015-09-16 北京奇虎科技有限公司 对软件的去捆绑处理方法及系统
CN105279019A (zh) * 2014-06-10 2016-01-27 中国移动通信集团公司 一种应用程序的调度方法、装置和终端设备
CN105791250A (zh) * 2014-12-26 2016-07-20 北京奇虎科技有限公司 应用程序检测方法及装置
CN106934286A (zh) * 2015-12-31 2017-07-07 北京金山安全软件有限公司 一种安全诊断方法、装置及电子设备
CN107085685A (zh) * 2017-05-16 2017-08-22 成都汇智远景科技有限公司 一种平台数据的操作方法
CN107633173A (zh) * 2017-09-06 2018-01-26 广州金山安全管理系统技术有限公司 文件处理方法和装置
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN108108619A (zh) * 2017-12-29 2018-06-01 哈尔滨安天科技股份有限公司 基于模式匹配对应关系的文件检测方法、系统及存储介质
CN109086608A (zh) * 2018-07-20 2018-12-25 西安四叶草信息技术有限公司 一种检测文件上传漏洞的方法、终端设备和服务器
CN109564613A (zh) * 2016-07-27 2019-04-02 日本电气株式会社 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统
CN109800775A (zh) * 2017-11-17 2019-05-24 腾讯科技(深圳)有限公司 文件聚类方法、装置、设备及可读介质
CN111030969A (zh) * 2019-02-26 2020-04-17 北京安天网络安全技术有限公司 基于可视和非可视数据的威胁检测方法、装置及存储设备
CN111858486A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种文件分类方法和装置
CN111931177A (zh) * 2020-07-16 2020-11-13 深信服科技股份有限公司 信息处理方法、装置、电子设备和计算机存储介质
CN112380538A (zh) * 2020-11-10 2021-02-19 广东电力信息科技有限公司 互联网信息风险提示方法及监测系统
CN114866532A (zh) * 2022-04-25 2022-08-05 安天科技集团股份有限公司 端点文件安全检查结果信息上传方法、装置、设备及介质

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9356969B2 (en) * 2014-09-23 2016-05-31 Intel Corporation Technologies for multi-factor security analysis and runtime control
EP3200837A1 (en) * 2014-10-01 2017-08-09 3M Innovative Properties Company Porous devices, kits, and methods for debridement
US10599837B2 (en) * 2016-03-31 2020-03-24 International Business Machines Corporation Detecting malicious user activity
US10176320B1 (en) * 2017-12-04 2019-01-08 Honeywell International Inc. Using machine learning in an industrial control network to improve cybersecurity operations
CN110955891B (zh) * 2018-09-26 2023-05-02 阿里巴巴集团控股有限公司 文件检测的方法、装置、系统和数据处理法的方法
US11258789B2 (en) * 2018-12-04 2022-02-22 Forcepoint Llc System and method for fingerprint validation
CN110263001B (zh) * 2019-06-18 2024-02-06 深圳前海微众银行股份有限公司 文件管理方法、装置、系统、设备及计算机可读存储介质
CN110351390A (zh) * 2019-08-14 2019-10-18 合肥美菱物联科技有限公司 智能冰箱添加功能的方法、智能冰箱、云服务器和系统
CN110351392A (zh) * 2019-08-23 2019-10-18 易联众智能(厦门)科技有限公司 一种多终端物联网的远程控制方法、系统及可读介质
CN114765606B (zh) * 2020-12-30 2023-07-25 中国联合网络通信集团有限公司 容器镜像传输方法、装置、设备及存储介质
CN114172890B (zh) * 2021-11-03 2024-02-27 阿里巴巴(中国)有限公司 文件秒传处理方法、装置、存储介质及电子设备
CN114315196B (zh) * 2021-11-23 2023-01-24 攀钢集团研究院有限公司 一种从碱性含钒液中回收硅磷保温材料的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230451A1 (en) * 2005-04-07 2006-10-12 Microsoft Corporation Systems and methods for verifying trust of executable files
CN101594248A (zh) * 2008-05-27 2009-12-02 奇智软件技术(北京)有限公司 信息安全和系统维护的远程协助方法、系统及服务器
CN101719846A (zh) * 2008-10-09 2010-06-02 中国移动通信集团天津有限公司 安全监控方法、装置及系统
US20110078794A1 (en) * 2009-09-30 2011-03-31 Jayaraman Manni Network-Based Binary File Extraction and Analysis for Malware Detection
CN102693388A (zh) * 2012-06-07 2012-09-26 腾讯科技(深圳)有限公司 数据安全防护处理系统及方法及存储介质

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7756996B2 (en) * 2004-01-30 2010-07-13 Finjan, Inc. Embedding management data within HTTP messages
US7895651B2 (en) * 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8984636B2 (en) * 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8590039B1 (en) * 2007-11-28 2013-11-19 Mcafee, Inc. System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature
GB2469322B (en) * 2009-04-09 2014-04-16 F Secure Oyj Malware determination
US8250325B2 (en) * 2010-04-01 2012-08-21 Oracle International Corporation Data deduplication dictionary system
US8572730B1 (en) * 2011-02-28 2013-10-29 Symantec Corporation Systems and methods for revoking digital signatures
CN102663288B (zh) * 2012-03-22 2015-04-01 北京奇虎科技有限公司 病毒查杀方法及装置
CN103281325B (zh) * 2013-06-04 2018-03-02 北京奇虎科技有限公司 基于云安全的文件处理方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060230451A1 (en) * 2005-04-07 2006-10-12 Microsoft Corporation Systems and methods for verifying trust of executable files
CN101594248A (zh) * 2008-05-27 2009-12-02 奇智软件技术(北京)有限公司 信息安全和系统维护的远程协助方法、系统及服务器
CN101719846A (zh) * 2008-10-09 2010-06-02 中国移动通信集团天津有限公司 安全监控方法、装置及系统
US20110078794A1 (en) * 2009-09-30 2011-03-31 Jayaraman Manni Network-Based Binary File Extraction and Analysis for Malware Detection
CN102693388A (zh) * 2012-06-07 2012-09-26 腾讯科技(深圳)有限公司 数据安全防护处理系统及方法及存储介质

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014194803A1 (zh) * 2013-06-04 2014-12-11 北京奇虎科技有限公司 基于云安全的文件处理方法及装置
US9948670B2 (en) 2013-06-04 2018-04-17 Beijing Qihoo Technology Company Limited Cloud security-based file processing by generating feedback message based on signature information and file features
CN104915593A (zh) * 2014-03-14 2015-09-16 北京奇虎科技有限公司 对软件的去捆绑处理方法及系统
CN104915593B (zh) * 2014-03-14 2018-03-16 北京奇虎科技有限公司 对软件的去捆绑处理方法及系统
CN105279019A (zh) * 2014-06-10 2016-01-27 中国移动通信集团公司 一种应用程序的调度方法、装置和终端设备
CN104462968A (zh) * 2014-12-16 2015-03-25 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统
CN104462968B (zh) * 2014-12-16 2017-11-10 北京奇虎科技有限公司 恶意应用程序的扫描方法、装置和系统
CN105791250B (zh) * 2014-12-26 2020-10-02 北京奇虎科技有限公司 应用程序检测方法及装置
CN105791250A (zh) * 2014-12-26 2016-07-20 北京奇虎科技有限公司 应用程序检测方法及装置
CN104537304A (zh) * 2014-12-31 2015-04-22 北京奇虎科技有限公司 文件查杀方法、装置及系统
CN106934286A (zh) * 2015-12-31 2017-07-07 北京金山安全软件有限公司 一种安全诊断方法、装置及电子设备
CN106934286B (zh) * 2015-12-31 2020-02-04 北京金山安全软件有限公司 一种安全诊断方法、装置及电子设备
CN109564613A (zh) * 2016-07-27 2019-04-02 日本电气株式会社 签名创建设备、签名创建方法、记录签名创建程序的记录介质、以及软件确定系统
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN107689975B (zh) * 2016-08-05 2020-07-31 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN107085685A (zh) * 2017-05-16 2017-08-22 成都汇智远景科技有限公司 一种平台数据的操作方法
CN107085685B (zh) * 2017-05-16 2020-06-30 华讯高科股份有限公司 一种平台数据的操作方法
CN107633173A (zh) * 2017-09-06 2018-01-26 广州金山安全管理系统技术有限公司 文件处理方法和装置
CN109800775B (zh) * 2017-11-17 2022-10-28 腾讯科技(深圳)有限公司 文件聚类方法、装置、设备及可读介质
CN109800775A (zh) * 2017-11-17 2019-05-24 腾讯科技(深圳)有限公司 文件聚类方法、装置、设备及可读介质
CN108108619B (zh) * 2017-12-29 2021-08-31 安天科技集团股份有限公司 基于模式匹配对应关系的文件检测方法、系统及存储介质
CN108108619A (zh) * 2017-12-29 2018-06-01 哈尔滨安天科技股份有限公司 基于模式匹配对应关系的文件检测方法、系统及存储介质
CN109086608A (zh) * 2018-07-20 2018-12-25 西安四叶草信息技术有限公司 一种检测文件上传漏洞的方法、终端设备和服务器
CN111030969A (zh) * 2019-02-26 2020-04-17 北京安天网络安全技术有限公司 基于可视和非可视数据的威胁检测方法、装置及存储设备
CN111858486A (zh) * 2020-07-03 2020-10-30 北京天空卫士网络安全技术有限公司 一种文件分类方法和装置
CN111931177A (zh) * 2020-07-16 2020-11-13 深信服科技股份有限公司 信息处理方法、装置、电子设备和计算机存储介质
CN111931177B (zh) * 2020-07-16 2023-12-29 深信服科技股份有限公司 信息处理方法、装置、电子设备和计算机存储介质
CN112380538A (zh) * 2020-11-10 2021-02-19 广东电力信息科技有限公司 互联网信息风险提示方法及监测系统
CN114866532A (zh) * 2022-04-25 2022-08-05 安天科技集团股份有限公司 端点文件安全检查结果信息上传方法、装置、设备及介质
CN114866532B (zh) * 2022-04-25 2023-11-10 安天科技集团股份有限公司 端点文件安全检查结果信息上传方法、装置、设备及介质

Also Published As

Publication number Publication date
WO2014194803A1 (zh) 2014-12-11
CN103281325B (zh) 2018-03-02
US20160119375A1 (en) 2016-04-28
US9948670B2 (en) 2018-04-17

Similar Documents

Publication Publication Date Title
CN103281325A (zh) 基于云安全的文件处理方法及装置
US11068591B2 (en) Cybersecurity systems and techniques
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
US9135443B2 (en) Identifying malicious threads
US8667592B2 (en) Systems and methods for looking up anti-malware metadata
CN102982284B (zh) 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
CN103679031A (zh) 一种文件病毒免疫的方法和装置
JP5599892B2 (ja) リンクファイルを使用したマルウェアの検出およびマルウェアへの対応
US8561180B1 (en) Systems and methods for aiding in the elimination of false-positive malware detections within enterprises
KR102271545B1 (ko) 도메인 생성 알고리즘(dga) 멀웨어 탐지를 위한 시스템 및 방법들
CN102999720B (zh) 程序鉴别方法和系统
CN103034808B (zh) 扫描方法、设备和系统以及云端管理方法和设备
CN103473501B (zh) 一种基于云安全的恶意软件追踪方法
US10579796B1 (en) Systems and methods of detecting malicious powershell scripts
CN103001947A (zh) 一种程序处理方法和系统
CN103793649A (zh) 通过云安全扫描文件的方法和装置
CN103618626A (zh) 一种基于日志的安全分析报告生成的方法和系统
US11916937B2 (en) System and method for information gain for malware detection
CN103679027A (zh) 内核级恶意软件查杀的方法和装置
CN103279707A (zh) 一种用于主动防御恶意程序的方法、设备及系统
WO2014082599A1 (zh) 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
CN102982281A (zh) 程序状况检测方法和系统
CN102999721B (zh) 一种程序处理方法和系统
CN104021338A (zh) 启动项检测的方法、装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee after: Beijing Qizhi Business Consulting Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220325

Address after: 100016 1773, 15 / F, 17 / F, building 3, No.10, Jiuxianqiao Road, Chaoyang District, Beijing

Patentee after: Sanliu0 Digital Security Technology Group Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Beijing Qizhi Business Consulting Co.,Ltd.