CN103905417B - 一种网络设备文件鉴定装置及方法 - Google Patents
一种网络设备文件鉴定装置及方法 Download PDFInfo
- Publication number
- CN103905417B CN103905417B CN201310557501.5A CN201310557501A CN103905417B CN 103905417 B CN103905417 B CN 103905417B CN 201310557501 A CN201310557501 A CN 201310557501A CN 103905417 B CN103905417 B CN 103905417B
- Authority
- CN
- China
- Prior art keywords
- file
- module
- sent
- testing result
- network equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种网络设备文件鉴定装置及方法,所述装置包括:数据处理模块捕获网络数据流,并将所述网络数据流还原为文件;引擎检测模块对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;文件鉴定模块对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;统计模块,汇总检测结果,并反馈给用户。通过本发明的方法,能够使网络设备具备文件鉴定的能力,解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种网络设备文件鉴定装置及方法。
背景技术
现有网络设备一般都需要鉴定通过的文件是否有威胁,通常的做法是将待检测文件上报给反病毒厂商,反病毒厂商通过动静态检测技术鉴定文件是否有威胁,并将鉴定结果反馈给用户。将威胁文件上传给反病毒厂商虽然可以解决文件鉴定问题,但是对于有一些威胁对象的网络设备,其本身不具备将文件上传给反病毒厂商的条件。例如,涉密的网络设备或物理隔绝的网络设备,由于数据的敏感性,是不能将数据上传给反病毒厂商进行文件鉴定的,因此在这种情况下将无法进行文件鉴定。
发明内容
本发明提供了一种网络设备文件鉴定装置及方法,能够解决现有网络设备无法将文件上传给反病毒厂商,但又需要进行对文件鉴定的需求,使网络设备具备了文件鉴定的能力。
一种网络设备文件鉴定装置,包括:
数据处理模块,用于捕获网络数据流,并将所述网络数据流还原为文件;
引擎检测模块,用于对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;
文件鉴定模块,用于对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;
统计模块,用于汇总检测结果,并反馈给用户。
所述的装置中,所述文件鉴定模块还包括:
静态检测模块,用于对引擎检测模块发送来的文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则将所述文件发送到动态检测模块,否则将静态检测结果发送到统计模块;
动态检测模块,用于对所述文件进行动态检测,监控文件行为,并将检测结果发送到统计模块。
所述的装置中,所述文件鉴定模块还可以以虚拟机形式存储于任意网络设备中。
所述的装置中,对所述对文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
一种网络设备文件鉴定方法,包括:
a.捕获网络数据流,并将所述网络数据流还原为文件;
b.对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则执行步骤c,否则执行步骤d;所述用户配置,为用户根据反病毒引擎可能存在的检测结果或危险等级等,预先设定的是否需要进行文件鉴定的条件;
c.对所述文件进行文件鉴定;
d.汇总检测结果,并反馈给用户。
所述的方法中,对所述文件进行文件鉴定为:
c1.对所述文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则执行c2,否则执行步骤d;
c2.对所述文件进行动态检测,监控文件行为。
所述的方法中,所述的对所述文件进行文件鉴定的过程可以以虚拟机形式存储于任意网络设备中。
所述的方法中,对所述文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
本发明的优势在于,能够通过本发明的装置及方法,可以将文件鉴定通过增加模块或虚拟机的形式,增加到网络设备中,使网络设备具备文件鉴定能力,解决了无法上传文件的网络设备对文件鉴定的需求。
本发明提供了一种网络设备文件鉴定装置及方法,所述装置包括:数据处理模块捕获网络数据流,并将所述网络数据流还原为文件;引擎检测模块对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;文件鉴定模块对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;统计模块,汇总检测结果,并反馈给用户。通过本发明的方法,能够使网络设备具备文件鉴定的能力,解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种网络设备文件鉴定装置结构示意图;
图2为一种网络设备文件鉴定方法流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提供了一种网络设备文件鉴定装置及方法,能够解决现有网络设备无法将文件上传给反病毒厂商,但又需要进行对文件鉴定的需求,使网络设备具备了文件鉴定的能力。
一种网络设备文件鉴定装置,如图1所示,包括:
数据处理模块101,用于捕获网络数据流,并将所述网络数据流还原为文件;
引擎检测模块102,用于对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;
文件鉴定模块103,用于对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;
统计模块104,用于汇总检测结果,并反馈给用户。
所述的装置中,所述文件鉴定模块还包括:
静态检测模块103-1,用于对引擎检测模块发送来的文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则将所述文件发送到动态检测模块,否则将静态检测结果发送到统计模块;
动态检测模块103-2,用于对所述文件进行动态检测,监控文件行为,并将检测结果发送到统计模块。
所述的装置中,所述文件鉴定模块还可以以虚拟机形式存储于任意网络设备中。
所述的装置中,对所述对文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
一种网络设备文件鉴定方法,如图2所示,包括:
S201:捕获网络数据流,并将所述网络数据流还原为文件;
S202:对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则执行S203,否则执行S204;所述用户配置,为用户根据反病毒引擎可能存在的检测结果或危险等级等,预先设定的是否需要进行文件鉴定的条件;如:反病毒引擎检测所述文件安全,则用户配置为不进行文件鉴定;反病毒引擎检测到所述文件有威胁,则用户配置为需要进行文件鉴定。
S203:对所述文件进行文件鉴定;
S204:汇总检测结果,并反馈给用户。
所述的方法中,S203对所述文件进行文件鉴定为:
S203-1对所述文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则执行S203-2,否则执行S204;
S203-2对所述文件进行动态检测,监控文件行为。
所述的方法中,所述的对所述文件进行文件鉴定的过程可以以虚拟机形式存储于任意网络设备中。即网络设备厂商可以将文件鉴定虚拟机部署于网络设备内部。
所述的方法中,对所述文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
本发明的优势在于,能够通过本发明的装置及方法,可以将文件鉴定通过增加模块或虚拟机的形式,增加到网络设备中,使网络设备具备文件鉴定能力,解决了无法上传文件的网络设备对文件鉴定的需求。
本发明提供了一种网络设备文件鉴定装置及方法,所述装置包括:数据处理模块捕获网络数据流,并将所述网络数据流还原为文件;引擎检测模块对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;文件鉴定模块对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;统计模块,汇总检测结果,并反馈给用户。通过本发明的方法,能够使网络设备具备文件鉴定的能力,解决了由于网络设备无法上传文件导致无法对文件进行鉴定的问题。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种网络设备文件鉴定装置,其特征在于,包括:
数据处理模块,用于捕获网络数据流,并将所述网络数据流还原为文件;
引擎检测模块,用于对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则将所述文件发送到文件鉴定模块,否则将检测结果发送到统计模块;
文件鉴定模块,用于对引擎检测模块发送的文件进行文件鉴定,并将鉴定结果发送到统计模块;
统计模块,用于汇总检测结果,并反馈给用户。
2.如权利要求1所述的装置,其特征在于,所述文件鉴定模块还包括:
静态检测模块,用于对引擎检测模块发送来的文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则将所述文件发送到动态检测模块,否则将静态检测结果发送到统计模块;
动态检测模块,用于对所述文件进行动态检测,监控文件行为,并将检测结果发送到统计模块。
3.如权利要求2所述的装置,其特征在于,所述文件鉴定模块还可以以虚拟机形式存储于任意网络设备中。
4.如权利要求3所述的装置,其特征在于,对所述文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
5.一种网络设备文件鉴定方法,其特征在于,包括:
a.捕获网络数据流,并将所述网络数据流还原为文件;
b.对数据处理模块还原的文件进行检测,并根据检测结果及用户配置,判断是否需要进行文件鉴定,如果是,则执行步骤c,否则执行步骤d;
c.对所述文件进行文件鉴定;
d.汇总检测结果,并反馈给用户。
6.如权利要求5所述的方法,其特征在于,对所述文件进行文件鉴定为:
c1.对所述文件进行静态检测,并根据检测结果及用户配置,判断是否需要进行动态检测,如果是则执行c2,否则执行步骤d;
c2.对所述文件进行动态检测,监控文件行为。
7.如权利要求6所述的方法,其特征在于,所述的对所述文件进行文件鉴定的过程可以以虚拟机形式存储于任意网络设备中。
8.如权利要求7所述的方法,其特征在于,对所述文件进行动态检测为,将所述文件投放入预先准备的虚拟机环境中执行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310557501.5A CN103905417B (zh) | 2013-11-12 | 2013-11-12 | 一种网络设备文件鉴定装置及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310557501.5A CN103905417B (zh) | 2013-11-12 | 2013-11-12 | 一种网络设备文件鉴定装置及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103905417A CN103905417A (zh) | 2014-07-02 |
| CN103905417B true CN103905417B (zh) | 2018-02-16 |
Family
ID=50996571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310557501.5A Active CN103905417B (zh) | 2013-11-12 | 2013-11-12 | 一种网络设备文件鉴定装置及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103905417B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113872936A (zh) * | 2021-08-26 | 2021-12-31 | 上海宝康电子控制工程有限公司 | 一种流模式网络安全检测方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101373502B (zh) * | 2008-05-12 | 2012-06-20 | 公安部第三研究所 | 基于Win32平台下病毒行为的自动化分析系统 |
| CN101593249B (zh) * | 2008-05-30 | 2011-08-03 | 成都市华为赛门铁克科技有限公司 | 一种可疑文件分析方法及系统 |
| CN102546628B (zh) * | 2011-12-31 | 2015-02-25 | 北京奇虎科技有限公司 | 一种样本鉴定方法及系统 |
| CN103248606A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 一种面向IPv4和IPv6的网络病毒检测方法及系统 |
-
2013
- 2013-11-12 CN CN201310557501.5A patent/CN103905417B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854275A (zh) * | 2010-05-25 | 2010-10-06 | 军工思波信息科技产业有限公司 | 一种通过分析网络行为检测木马程序的方法及装置 |
| CN102708309A (zh) * | 2011-07-20 | 2012-10-03 | 北京邮电大学 | 恶意代码自动分析方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103905417A (zh) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106326067B (zh) | 一种在压力测试下对cpu性能进行监控的方法及装置 | |
| US9177155B2 (en) | Hybrid analysis of vulnerable information flows | |
| CN102831021A (zh) | 插件拦截或清理的方法及装置 | |
| CN108241580B (zh) | 客户端程序的测试方法及终端 | |
| CN106997316B (zh) | 内存异常增长的检测系统及方法 | |
| CN103051627A (zh) | 一种反弹式木马的检测方法 | |
| KR20090038189A (ko) | 단말 사용자 관리 장치 및 방법 | |
| CN103678096B (zh) | 客户端应用的适配测试方法和装置 | |
| CN106503556A (zh) | 数据存储的方法、装置及系统 | |
| CN105868056A (zh) | 获取Windows虚拟机中已删除文件的方法、装置及安全虚拟机 | |
| CN104182681A (zh) | 基于hook的iOS系统关键行为检测装置和方法 | |
| CN103617396B (zh) | 一种漏洞利用的检测方法和系统 | |
| CN109726601A (zh) | 违规行为的识别方法及装置、存储介质、计算机设备 | |
| CN102053900A (zh) | 测试电子装置的usb设备的方法和系统 | |
| US20090260085A1 (en) | Apparatus, system and method for blocking malicious code | |
| CN103905417B (zh) | 一种网络设备文件鉴定装置及方法 | |
| CN104298918A (zh) | 一种在虚拟机中基于数据块的病毒扫描方法和系统 | |
| CN104735069A (zh) | 一种基于安全可信的高可用性计算机集群 | |
| CN105912417A (zh) | 虚拟系统的检测方法和相关软件运行方法以及相关装置 | |
| JP2010134536A (ja) | パタンファイル更新システム、パタンファイル更新方法、及びパタンファイル更新プログラム | |
| CN105978749A (zh) | 一种局域网内计算机硬件信息的监测方法及系统 | |
| CN110430381A (zh) | 智能查验视频存证应用方法 | |
| CN103905419A (zh) | 一种文件鉴定装置及方法 | |
| CN106155880A (zh) | 一种基于策略的自动化程序分析系统和方法 | |
| CN113810344B (zh) | 安全编排系统、设备、方法以及计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100029 Beijing city Chaoyang District Yumin Road No. 3 Co-patentee after: Harbin antiy Technology Group Limited by Share Ltd Patentee after: State Computer Network and Information Safety Management Center Address before: 100029 Beijing city Chaoyang District Yumin Road No. 3 Co-patentee before: Harbin Antiy Technology Co., Ltd. Patentee before: State Computer Network and Information Safety Management Center |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 100029 Beijing city Chaoyang District Yumin Road No. 3 Patentee after: NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER Patentee after: Antan Technology Group Co.,Ltd. Address before: 100029 Beijing city Chaoyang District Yumin Road No. 3 Patentee before: NATIONAL COMPUTER NETWORK AND INFORMATION SECURITY MANAGEMENT CENTER Patentee before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |