CN103532730A - 基于自解压技术的黑白名单自动化动态维护的方法及系统 - Google Patents

基于自解压技术的黑白名单自动化动态维护的方法及系统 Download PDF

Info

Publication number
CN103532730A
CN103532730A CN201210233283.5A CN201210233283A CN103532730A CN 103532730 A CN103532730 A CN 103532730A CN 201210233283 A CN201210233283 A CN 201210233283A CN 103532730 A CN103532730 A CN 103532730A
Authority
CN
China
Prior art keywords
file
module
wrapped
target program
white
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201210233283.5A
Other languages
English (en)
Other versions
CN103532730B (zh
Inventor
肖新光
沈长伟
李石磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201210233283.5A priority Critical patent/CN103532730B/zh
Publication of CN103532730A publication Critical patent/CN103532730A/zh
Application granted granted Critical
Publication of CN103532730B publication Critical patent/CN103532730B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Abstract

本发明公开了基于自解压技术的黑白名单自动化动态维护的方法及系统,首先通过查询服务端或者云端的黑白名单数据库,对目标程序进行查重判定,对于无记录的目标程序进行格式识别,对于包裹文件进行解压缩,计算非包裹文件或者包裹文件及其解包后得到的子文件的散列值,并生成散列表,将其更新到服务端或者云端的白名单列表中,随后将该散列表分发至客户端,用于客户端的白名单列表的更新。从而,避免了客户端将程序及其子文件发送至服务端或者云端进行查询,减轻了服务端或者云端的处理压力。

Description

基于自解压技术的黑白名单自动化动态维护的方法及系统
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及基于自解压技术的黑白名单自动化动态维护的方法及系统。 
背景技术
目前的杀毒软件,当用户客户端进行软件安装的时候,通常采用查询黑名单和白名单的方法对安装时产生的新文件进行检测。对于一个新的并且安全的安装程序包,在进行安装的时候,会形成新的一批需要被加入白名单的文件,该部分白名单文件并不存在于现有的黑白名单列表中。在现有的云查杀系统中,较为传统的办法都是依靠用户客户端对新产生的文件进行采集之后发送相关文件到服务端或者云端,服务端或者云端进行分析和判断之后将判定结果反馈给客户端。此时,如果客户端数量较多,需要部署程序的客户端都将相关文件上发至服务端或者云端,服务端或者云端的压力很大,通过上传、判定、再反馈,所花费的时间也相对增长,效率大大降低。
发明内容
针对上述技术问题,本发明提供了基于自解压技术的黑白名单自动化动态维护的方法及系统,该方法通过自解压技术和格式识别技术,在服务端或者云端完成白名单列表的更新,并分发至客户端,从而减轻了服务端或者云端的处理压力,并且提高了程序的部署效率。 
本发明采用如下方法来实现:基于自解压技术的黑白名单自动化动态维护的方法,包括:
步骤1、获取目标程序,查询服务端或者云端的黑白名单数据库,判定是否已经存在目标程序的记录:
如果无记录,则继续执行步骤2;否则终止执行;
步骤2、在服务端或者云端对目标程序进行格式识别:
如果目标程序为包裹文件,则执行步骤3;否则对于非包裹文件执行步骤4;
步骤3、对包裹文件进行解压处理,随后对于包裹文件本身及其解压后得到的子文件执行步骤4;
步骤4、计算文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中;
步骤5、将所述散列表分发到各个客户端,更新客户端的白名单列表。客户端可以使用此时的客户端的白名单列表对目标程序及其解包后得到的子文件进行判定。 
如果无法确定目标程序的安全性,在执行步骤4所述的计算文件的散列值之前,还包括:利用反病毒引擎对所述文件进行检测,判定文件是否可信:
如果可信,则对可信的文件执行步骤4;否则,则上报检测结果,并终止执行。所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
反病毒引擎可以采用本地特征库进行检测或者采用云检测。
基于自解压技术的黑白名单自动化动态维护的系统,包括: 
查重模块,用于获取目标程序,查询服务端或者云端的黑白名单数据库,判定是否已经存在目标程序的记录:
如果无记录,则将目标程序发送至格式识别模块;否则终止执行;
格式识别模块,用于接收来自查重模块的目标程序,在服务端或者云端对目标程序进行格式识别:
如果目标程序为包裹文件,则将其发送至自解压模块;否则将非包裹文件发送至更新模块;
自解压模块,用于接收来自格式识别模块的包裹文件,对包裹文件进行解压处理,随后将包裹文件本身及其解包后得到的子文件发送至更新模块;
更新模块,用于接收格式识别模块或者自解压模块发送来的文件,计算文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中,并将散列表发送至分发模块;
分发模块,用于将来自更新模块的散列表分发到各个客户端,更新客户端的白名单列表。客户端可以使用此时的客户端的黑白名单数据库中的白名单列表对目标程序及其解包后得到的子文件进行判定。
如果无法确定目标程序的安全性,系统还包括检测模块,在更新模块接收发送来的文件,计算文件的散列值之前,所述检测模块利用反病毒引擎对所述文件进行检测,判定文件是否可信:
如果可信,则将可信的文件发送至更新模块;否则,则上报检测结果,并终止执行。
所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
反病毒引擎可以采用本地特征库进行检测或者采用云检测。
综上所述,本发明提供了基于自解压技术的黑白名单自动化动态维护的方法及系统,首先在服务端或者云端对目标程序进行查重处理,对于在服务端或者云端的黑白名单数据库中无记录的目标程序进行格式识别,对于包裹文件进行解压缩,计算非包裹文件或者包裹文件及其解包后得到的子文件的散列值,生成散列表,并将其更新至服务端或者云端的白名单列表和客户端的白名单列表中。通过上述方案更新了客户端的白名单列表后,省去了将文件上传至服务端或者云端进行判定的步骤,即可在本地客户端进行判断,从而减轻了服务器端或者云端的处理压力,并且节省了将相关文件进行上传、判定和反馈所需的时间,进而提高了目标程序的部署效率。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的基于自解压技术的黑白名单自动化动态维护的方法流程图;
图2为本发明提供的基于自解压技术的黑白名单自动化动态维护的系统结构图。
具体实施方式
本发明给出了基于自解压技术的黑白名单自动化动态维护的方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了基于自解压技术的黑白名单自动化动态维护的方法,这里以安装包为例,如图1所示,包括:
S101获取安装包,查询服务端或者云端的黑白名单数据库,判定是否已经存在安装包的记录:
如果无记录,则继续执行S102;否则,则终止执行;
服务端或者云端的黑白名单数据库与客户端的黑白名单数据库中存储的内容一致,为黑名单列表与白名单列表;所述无记录,即为通过查询服务端或者云端的黑白名单数据库的黑名单列表与白名单列表后,并没有发现该安装包的相关记录;所述有记录,即通过查询黑名单列表与白名单列表后,发现了该安装包的相关记录;
S102 在服务端或者云端对安装包进行格式识别,查看是否为包裹文件:如果是,则执行S103;
如果否,则对于非包裹文件执行S104;
S103 对包裹文件进行解压处理,随后对于包裹文件本身及其解包后得到的子文件执行S104; 
S104利用反病毒引擎对文件进行检测,检测文件是否为可信的文件:
如果可信,则继续执行S105;
否则上报检测结果,并终止执行;所述反病毒引擎可以采用本地特征库进行检测或者采用云检测;
S105计算所述文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中;所述文件包括:非包裹文件或者包裹文件及其解包后得到的子文件。
S106将所述散列表分发到各个客户端,更新客户端的白名单列表。
其中,S104为可选的步骤,当无法确定安装包是否是安全的情况下,则需要执行S104;如果可以确定安装包的合法来源,则不需要执行S104。
本发明还提供了基于自解压技术的黑白名单自动化动态维护的系统,同样以安装包为例,如图2所示,包括:
查重模块201,用于获取安装包,查询服务端或者云端的黑白名单数据库,判定是否已经存在安装包的记录:
如果无记录,则将安装包发送至格式识别模块202;否则终止执行;
格式识别模块202,用于接收来自查重模块201的安装包,在服务端或者云端对安装包进行格式识别:
如果安装包为包裹文件,则将其发送至自解压模块203;
否则将非包裹文件发送至检测模块204;
自解压模块203,用于接收来自格式识别模块202的包裹文件,对包裹文件进行解压处理,随后将包裹文件本身及其解包后得到的子文件发送至检测模块204; 
检测模块204,接收来自格式识别模块202的非包裹文件或者来自自解压模块203的包裹文件本身及其解包后得到的子文件,利用反病毒引擎对所述文件进行检测:
如果文件为可信的文件,则将文件发送至更新模块205;
否则上报检测结果,并终止执行;
更新模块205,用于接收发送来的文件,计算文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中,并将散列表发送至分发模块206;
分发模块206,用于将来自更新模块205的散列表分发到各个客户端,更新客户端的白名单列表。
其中,检测模块204在本系统中为可选的,当无法确定安装包是否是安全的情况下,则需要包括检测模块204;如果可以确定该安装包的合法来源,则不需要包括检测模块204。
如上所述,本发明给出了基于自解压技术的黑白名单自动化动态维护的方法及系统,其与传统方法的区别在于,对于传统方法来说,为了判定客户端接收的文件是否为新加入的白名单文件,要进行采集并发送到服务端或云端进行查询,本技术方案将待部署的安装包在服务端或者云端进行格式识别,对于包裹文件进行解压缩,计算所得到文件的散列值,将文件的散列表更新至服务端或者云端的白名单列表中,并分发至客户端,此时,可以在客户端对所述文件进行判断,所以节省了将文件发送至服务端或者云端的步骤,减轻了服务端或者云端的处理压力,节省了时间。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (6)

1.基于自解压技术的黑白名单自动化动态维护的方法,其特征在于:
步骤1、获取目标程序,查询服务端或者云端的黑白名单数据库,判定是否已经存在目标程序的记录:
如果无记录,则继续执行步骤2;否则终止执行;
步骤2、在服务端或者云端对目标程序进行格式识别:
如果目标程序为包裹文件,则执行步骤3;否则对于非包裹文件执行步骤4;
步骤3、对包裹文件进行解压处理,随后对于包裹文件本身及其解包后得到的子文件执行步骤4;
步骤4、计算文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中;
步骤5、将所述散列表分发到各个客户端,更新客户端的白名单列表。
2.如权利要求1所述的方法,其特征在于,在执行步骤4之前,还包括:利用反病毒引擎对所述文件进行检测,判定文件是否可信:
如果可信,则对可信的文件执行步骤4;否则,则上报检测结果,并终止执行。
3.如权利要求2所述的方法,其特征在于,所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
4.基于自解压技术的黑白名单自动化动态维护的系统,其特征在于,包括:
查重模块,用于获取目标程序,查询服务端或者云端的黑白名单数据库,判定是否已经存在目标程序的记录:
如果无记录,则将目标程序发送至格式识别模块;否则终止执行;
格式识别模块,用于接收来自查重模块的目标程序,在服务端或者云端对目标程序进行格式识别:
如果目标程序为包裹文件,则将其发送至自解压模块;
否则将非包裹文件发送至更新模块;
自解压模块,用于接收来自格式识别模块的包裹文件,对包裹文件进行解压处理,随后将包裹文件本身及其解包后得到的子文件发送至更新模块;
更新模块,用于接收格式识别模块或者自解压模块发送来的文件,计算文件的散列值,得到文件的散列表,将散列表更新到服务端或者云端的白名单列表中,并将散列表发送至分发模块;
分发模块,用于将来自更新模块的散列表分发到各个客户端,更新客户端的白名单列表。
5.如权利要求4所述的系统,其特征在于,还包括检测模块,在更新模块接收发送来的文件,计算文件的散列值之前,所述检测模块利用反病毒引擎对所述文件进行检测,判定文件是否可信:
如果可信,则将可信的文件发送至更新模块;否则,则上报检测结果,并终止执行。
6.如权利要求5所述的系统,其特征在于,所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
CN201210233283.5A 2012-07-06 2012-07-06 基于自解压技术的黑白名单自动化动态维护的方法及系统 Active CN103532730B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210233283.5A CN103532730B (zh) 2012-07-06 2012-07-06 基于自解压技术的黑白名单自动化动态维护的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210233283.5A CN103532730B (zh) 2012-07-06 2012-07-06 基于自解压技术的黑白名单自动化动态维护的方法及系统

Publications (2)

Publication Number Publication Date
CN103532730A true CN103532730A (zh) 2014-01-22
CN103532730B CN103532730B (zh) 2016-09-07

Family

ID=49934436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210233283.5A Active CN103532730B (zh) 2012-07-06 2012-07-06 基于自解压技术的黑白名单自动化动态维护的方法及系统

Country Status (1)

Country Link
CN (1) CN103532730B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016180193A1 (zh) * 2015-05-11 2016-11-17 广州市动景计算机科技有限公司 一种识别应用安装包的方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101706851A (zh) * 2009-11-03 2010-05-12 广州广电运通金融电子股份有限公司 自助终端的进程控制方法及系统
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN102222183A (zh) * 2011-04-28 2011-10-19 奇智软件(北京)有限公司 移动终端软件包安全检测方法及系统
WO2012007202A1 (en) * 2010-07-13 2012-01-19 F-Secure Corporation Identifying polymorphic malware
CN102360321A (zh) * 2011-09-30 2012-02-22 奇智软件(北京)有限公司 一种基于云架构的终端程序快速备份及恢复方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101997832A (zh) * 2009-08-10 2011-03-30 北京多思科技发展有限公司 一种支持安全监控的安全监控装置及方法
CN101706851A (zh) * 2009-11-03 2010-05-12 广州广电运通金融电子股份有限公司 自助终端的进程控制方法及系统
WO2012007202A1 (en) * 2010-07-13 2012-01-19 F-Secure Corporation Identifying polymorphic malware
CN102222183A (zh) * 2011-04-28 2011-10-19 奇智软件(北京)有限公司 移动终端软件包安全检测方法及系统
CN102360321A (zh) * 2011-09-30 2012-02-22 奇智软件(北京)有限公司 一种基于云架构的终端程序快速备份及恢复方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016180193A1 (zh) * 2015-05-11 2016-11-17 广州市动景计算机科技有限公司 一种识别应用安装包的方法及装置

Also Published As

Publication number Publication date
CN103532730B (zh) 2016-09-07

Similar Documents

Publication Publication Date Title
CN102945349B (zh) 未知文件处理方法与装置
CN102945348B (zh) 文件信息收集方法与装置
US9256765B2 (en) System and method for identifying software changes
US20180253545A1 (en) File authentication method and apparatus
WO2011124084A1 (zh) 一种基于云计算的多用户协同安全防护系统和方法
JP2013512514A5 (zh)
CN102081714A (zh) 一种基于服务器反馈的云查杀方法
RU2011143794A (ru) Поддержка быстрого слияния для устаревших документов
CN102810138A (zh) 一种用户端文件的修复方法和系统
US20140007229A1 (en) System and method for identifying installed software products
US9749295B2 (en) Systems and methods for internet traffic analysis
CN103646062A (zh) 下载文件的扫描方法与装置
US20140149556A1 (en) Method and system for resource download
CN103401933A (zh) 一种资源信息和对应资源文件批量上传的方法和系统
US9781230B2 (en) Broadcast-based update management
CN103310154A (zh) 信息安全处理的方法、设备和系统
CN103532730A (zh) 基于自解压技术的黑白名单自动化动态维护的方法及系统
CN102799804A (zh) 未知文件安全性综合鉴定方法及系统
CN106503541B (zh) 一种安装包的安装方法及系统
CN115174561B (zh) 一种文件分段传输方法及系统
CN104184838B (zh) 一种基于触发下载的目录同步方法
CN111428252A (zh) 用户权限控制方法和装置
GB2582099A (en) Deduplication for files in cloud computing storage and communication tools
US9998495B2 (en) Apparatus and method for verifying detection rule
CN103902896A (zh) 自膨胀病毒拦截方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: The method and system of the black and white lists automation Dynamic Maintenance based on self-extracting technology

Effective date of registration: 20170621

Granted publication date: 20160907

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20190614

Granted publication date: 20160907

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin Antiy Technology Co., Ltd.

Registration number: 2017110000004

CP03 Change of name, title or address

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Patentee after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 room 506, Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang, China, 162

Patentee before: Harbin Antiy Technology Co., Ltd.

CP03 Change of name, title or address
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Black-and-white-list automation dynamic maintenance method and system based on self-extracting technology

Effective date of registration: 20190828

Granted publication date: 20160907

Pledgee: Bank of Longjiang, Limited by Share Ltd, Harbin Limin branch

Pledgor: Harbin antiy Technology Group Limited by Share Ltd

Registration number: Y2019230000002

PE01 Entry into force of the registration of the contract for pledge of patent right
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20211119

Granted publication date: 20160907

Pledgee: Bank of Longjiang Limited by Share Ltd. Harbin Limin branch

Pledgor: Harbin Antian Science and Technology Group Co.,Ltd.

Registration number: Y2019230000002

PC01 Cancellation of the registration of the contract for pledge of patent right