CN104537304B - 文件查杀方法、装置及系统 - Google Patents
文件查杀方法、装置及系统 Download PDFInfo
- Publication number
- CN104537304B CN104537304B CN201410852723.4A CN201410852723A CN104537304B CN 104537304 B CN104537304 B CN 104537304B CN 201410852723 A CN201410852723 A CN 201410852723A CN 104537304 B CN104537304 B CN 104537304B
- Authority
- CN
- China
- Prior art keywords
- file
- killing
- malicious
- client
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000001514 detection method Methods 0.000 claims abstract description 29
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000009792 diffusion process Methods 0.000 description 7
- 239000000203 mixture Substances 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000001035 drying Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种文件安全查杀方法、装置及系统,涉及一种信息安全技术,主要目的在于对快速扩散的恶意文件进行有效的查杀。本发明的主要技术方案为:云端服务器获取客户端上传的待检测的文件;对所述文件进行安全检测;当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内;根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。本发明主要用于文件实时查杀的过程中。
Description
技术领域
本发明涉及一种信息安全技术,特别是涉及一种文件查杀方法、装置及系统。
背景技术
针对文件安全的实时查杀与针对文件威胁的扫描不同,文件威胁的扫描,可以将文件扫描之后,由客户端再根据文件扫描结果对文件进行安全处理。对于文件的实时查杀这种方式并不可行,例如用户需要打开一个文件的时候,若将文件进行阻塞,等待检测是否存在威胁之后,再进行放行打开或者拦截禁止打开,这都需要耗费较长的时间,导致非常差的用户体验。因此,为了保证文件打开的及时性,目前一般采用延时上报的方式对文件进行实时威胁的查杀,即先放行打开,之后将文件上传云端,由云端进行威胁检测,云端将检测结果返回客户端,客户端根据检测结果对文件进行处理。
在实施目前上述文件安全实时查杀的方法时,发现这种上报的方式会对带来较大的安全问题。例如,在企业网络内,一台终端感染病毒之后与其相近的其他终端很可能也会被感染。如果采用延时上报的方案,先对恶意文件进行放行,再对恶意文件进行安全检测的话,可能中间至少需要1、2秒钟,但这1、2秒钟时间已经足够恶意文件将附近的终端都感染了,以此类推,只要有延时的存在就会存在无法控制的情况发生。
发明内容
有鉴于此,本发明提供一种文件实时威胁查杀方法、装置及系统,主要目的在于对快速扩散的恶意文件进行有效的查杀。
依据本发明一个方面,提供了一种文件安全查杀方法,包括:
云端服务器获取客户端上传的待检测的文件;
对所述文件进行安全检测;
当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。
依据本发明另一个方面,提供了一种文件安全查杀方法,包括:
客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内;
根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
依据本发明另一个方面,提供了一种云端服务器,包括:
文件获取单元,用于获取客户端上传的待检测的文件;
检测单元,用于对所述文件进行安全检测;
文件特征获取单元,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征;
第一发送单元,用于将检测结果返回给所述客户端;
第二发送单元,用于将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。
依据本发明另一个方面,提供了一种客户端,所述客户端位于预定范围内,包括:
接收单元,用于接收云端服务器发送的恶意文件的文件特征;
查杀单元,用于根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
据本发明另一个方面,提供了一种文件安全查杀系统,包括:第一客户端、如上所述的云端服务器以及如上所述的第二客户端;
所述第一客户端,用于当用户打开待检测的文件,并将所述待检测的文件上传到云端服务器;接收所述云端服务器返回的检测结果,当所述检测结果为恶意文件时,对所述恶意文件进行查杀。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明提供的文件安全查杀方法、装置及系统,当云端服务器检测到一个客户端上传的文件为恶意文件时,及时的向预定区域内的所有终端发送该恶意文件的文件特征,以便其他客户端在第一时间内针对该恶意文件进行本地查杀时,不需要将恶意文件上传到云端服务器,由服务器进行查找,在客户端本地即可实现恶意文件的查杀,与现有技术相比,预定范围内的每个客户端均节省了由客户端发送给云端服务器以及云端服务器进行检测,并将检测结果返回所用时间,极大的加快了恶意文件的查杀速度,有效的遏制了快速扩散恶意文件的扩散。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种云端服务器侧文件安全查杀方法的流程图;
图2示出了本发明实施例提供的一种客户端侧文件安全查杀方法的流程图;
图3示出了本发明实施例提供的一种云端服务器的组成框图;
图4示出了本发明实施例提供的一种客户端的组成框图;
图5示出了本发明实施例提供的另一种客户端的组成框图;
图6示出了本发明实施例提供的另一种客户端的组成框图;
图7示出了本发明实施例提供的一种文件安全查杀系统的组成框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供一种文件安全查杀方法,该方法为云端服务器侧的方法,如图1所示,该方法包括:
101、云端服务器获取客户端上传的待检测的文件。
其中,所述待检测的文件为在客户端处未确定文件安全性并且对其操作已放行的文件。在实际实施的过程中,当用户在终端设备上打开一个文件时,为了不影响用户的打开文件的速度,一般先将文件打开,再将打开的文件上传到云端服务器进行文件的安全性检测。
102、对所述文件进行安全检测。
在对文件进行安全检测时,可以采用现有技术中的任一种方法,本发明实施例对此不进行限制。
例如,针对包含0day漏洞恶意文件的检测查杀,对所述文件进行安全检测具体包括:将待检测文件过漏洞基础数据库,查看是否能够得到漏洞编号;若没有得到漏洞编号,则根据所述待检测文件的类型确定所述待检测文件是否为恶意文件,若确定所述待检测文件为恶意文件,则确定所述待检测文件中的漏洞为0day漏洞。其中,所述漏洞基础数据库为已知漏洞数据库,数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑,所述漏洞编号和漏洞检测逻辑均唯一并且一一对应。其中,所述漏洞基础数据库根据经验设定,该漏洞基础数据库中记录了所有已知漏洞的信息,漏洞编号为在建立漏洞基础数据库时设置的编号,其唯一的标识了一个漏洞;漏洞检测逻辑为检测并触发漏洞威胁的方法。
其中,根据所述待检测文件的类型确定所述待检测文件是否为恶意文件时,首先获取待检测文件的类型,通过获取其对应的漏洞检测逻辑对待检测的文件进行检测,当待检测文件触发漏洞基础数据库中的漏洞时,根据漏洞检测逻辑获取漏洞编号,从而说明待检测文件的漏洞类型为已知漏洞类型;当待检测文件不能触发漏洞基础数据库中的漏洞时,该待检测文件可能是正常文件,也有可能是带有漏洞的文件,具体的还需对待检测文件作进一步的检测。
在识别0day漏洞时是基于漏洞基础数据库进行,由于该漏洞基础数据库为已知漏洞数据库,该已知漏洞数据库中存储有现有的所有已知漏洞,并且漏洞数据库中的每一条漏洞信息都对应漏洞唯一的检测逻辑,将待检测文件通过漏洞数据库中的漏洞检测逻辑进行检测,若能够得到检测出漏洞,那么该检测出的漏洞一定是已知漏洞,若没有检测到漏洞,但是后来又分析出漏洞,则该后分析出的漏洞必定是0day漏洞,整个过程按照规则流程自动执行,与现有技术中人工检测0day漏洞的方式相比快速准确,但是如果每一个客户端在检测0day漏洞时,都如上方式进行,则花费的时间将较长,对于扩散速度较快的恶意文件,其将造成不可控。
103、当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。
其中,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。本发明实施例对此不进行限制,其他的能够表达恶意文件的特征也可以应用在本发明实施例中。
所述预定范围内的所有客户端,可以是局域网内预先设定的客户端,也可以是根据上传该恶意文件的终端确定的波及范围的客户端,还可以是根据云端服务器所服务的范围决定的,例如其是一个企业局域网内的所有客户端,也可以是云端服务器所服务的所有的客户端,具体的本发明实施例对此不进行限制,根据具体实施具体确定。
当第一个客户端发现了0day漏洞时,云端服务器第一时间将包含该0day漏洞文件的文件特征信息下发到预定范围内的所有客户端,以便接收文件特征信息的客户端能够不再按照第一个客户端的方式进行0day漏洞的查找,直接根据云端服务器下发的文件特征在第一时间内在终端设备中查找包含0day漏洞的文件并进行查杀。
本发明实施例还提供一种文件安全查杀方法,该方法为客户端侧的方法,如图2所示,该方法包括:
201、客户端接收云端服务器发送的恶意文件的文件特征,该客户端位于预定范围内。该预定范围可以是局域网内,也可以是根据上传该恶意文件的终端确定的波及范围,具体的本发明实施例对此不进行限定。
其中,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。本发明实施例对此不进行限制,其他的能够表达恶意文件的特征也可以应用在本发明实施例中。
202、根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
其中,在根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀时,客户端可以在接收到该文件特征之后立即进行对应恶意文件的查杀,也可以先将该文件特征保存在本地的文件特征库中,基于用户的触发进行恶意文件的查杀,具体的本发明实施例对此不进行限制。
当客户端在接收到该文件特征之后立即进行对应恶意文件的查杀时,具体为:所述客户端接收所述文件特征之后,主动根据所述文件特征在终端设备中查找所述恶意文件并进行查杀。例如,该文件特征为文件名,则客户端主动以该文件名为关键字,查询终端设备中的文件是否存在恶意文件的文件名,若存在,则对该文件进行查杀。又例如,该文件特征为文件名和存储路径,该客户端在接收到该文件特征之后,直接到该存储路径或者相似的存储路径中查找对应文件名的恶意文件,并对其进行查杀。
进一步的,当根据文件特征对恶意文件进行查杀之后,还包括将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
当客户端接收到文件特征,将该文件特征保存在本地的文件特征库中,基于用户的触发进行恶意文件的查杀时,可以采用但不局限于以下的方法实现,该方法包括:
第一种,所述客户端在接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;当所述恶意文件被打开后,查询所述本地文件特征库对所述恶意文件进行查杀。
第二种,所述客户端在接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。例如,周期性的对终端设备中的文件进行查杀。
本发明实施例中的客户端为位于预定范围内的客户端,例如为企业局域网内的所有客户端,或者根据上传该恶意文件的终端确定的波及范围的所有客户端,其是一个客户端集群。该客户端在接收到恶意文件的文件特征之后,可以在第一时间内直接以该文件特征为关键字主动查找该恶意文件,及时的对该恶意文件进行查杀。例如,当客户端查找终端设备中是否存在包含0day漏洞的恶意文件时,客户端在接收到云端服务器下发的包含0day漏洞的恶意文件的文件特征之后,若该文件特征为文件名,直接以该文件名为关键字,查找出该文件,并确定该文件为包含0day漏洞的恶意文件。每个一个接收到文件特征的客户端都如此对恶意文件进行查杀,与现有技术中每一个客户端都要进行102中的0day漏洞的文件的确定相比,极大的加快了0day漏洞的文件的确定过程,使得恶意文件的查杀大大加快。
本发明实施例中,当云端服务器检测到一个客户端上传的文件为恶意文件时,及时的向预定区域内的所有终端发送该恶意文件的文件特征,以便其他客户端在对该恶意文件进行查杀时,不需要将恶意文件上传到云端服务器,由服务器进行查找,在客户端本地即可实现恶意文件的查杀,与现有技术相比,局域网范围内的每个客户端均节省了由客户端发送给云端服务器以及云端服务器进行检测,并将检测结果返回所用时间,极大的加快了恶意文件的查杀速度,有效的遏制了快速扩散恶意文件的扩散。
基于上述方法,本发明实施例还提供一种云端服务器,如图3所示,该云端服务器包括:
文件获取单元31,用于获取客户端上传的待检测的文件。其中,所述待检测的文件为在客户端处未确定文件安全性并且对其操作已放行的文件。在实际实施的过程中,当用户在终端设备上打开一个文件时,为了不影响用户的打开文件的速度,一般先将文件打开,再将打开的文件上传到云端服务器进行文件的安全性的检测。
检测单元32,用于对所述文件进行安全检测。在对文件进行安全检测时,可以采用现有技术中的任一种方法,本发明实施例对此不进行限制。
第一发送单元33,用于当检测到所述文件为恶意文件时,将检测结果返回给所述客户端,以便所述客户对所述恶意文件进行安全处理。
文件特征获取单元34,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征。其中,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。本发明实施例对此不进行限制,其他的能够表达恶意文件的特征也可以应用在本发明实施例中。
第二发送单元35,用于将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。其中,所述预定范围内的所有客户端,可以是局域网内预先设定的客户端,也可以是根据上传该恶意文件的终端确定的波及范围的客户端,还可以为根据云端服务器所服务的范围决定的客户端,例如其是一个企业局域网内的所有客户端,也可以是云端服务器所服务的所有的客户端,具体的本发明实施例对此不进行限制,根据具体实施具体确定。
本发明实施例还提供一种客户端,所述客户端位于预定范围内,该预定范围可以是局域网内,也可以是根据上传该恶意文件的终端确定的波及范围,具体的本发明实施例对此不进行限定。如图4所示,该客户端包括:
接收单元41,用于接收云端服务器发送的恶意文件的文件特征。其中,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。本发明实施例对此不进行限制,其他的能够表达恶意文件的特征也可以应用在本发明实施例中。
查杀单元42,用于根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
其中,查杀单元42在根据所述文件特征实现所述恶意文件的本地查杀时,可以在接收到该文件特征之后立即进行对应恶意文件的查杀,也可以先将该文件特征保存在本地的文件特征库中,基于用户的触发进行恶意文件的查杀,具体的本发明实施例对此不进行限制。具体的如下:
当客户端在接收到该文件特征之后立即进行对应恶意文件的查杀时,所述查杀单元42用于所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀。基于该种查杀方式,进一步的,如图5所示,该客户端还包括:
第一存储单元43,用于在所述查杀单元42接收所述文件特征,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀之后,将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
进一步的,如图6所示,该客户端还包括:
第二存储单元44,用于在所述接收单元41接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中。
所述查杀单元42还用于当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。
需要说明的是,在具体实施时,该第一存储单元和第二存储单元可以为一个存储单元。本发明实施例为了清除的区分不同的执行方案,将其写成不一样的单元模块。
进一步的,本发明实施例还提供一种文件安全查杀系统,如图7所示,该系统包括:第一客户端51、如上所述的云端服务器52以及多个如图4至图6任一项所描述的第二客户端53。
所述第一客户端51,用于当用户打开待检测的文件,并将所述待检测的文件上传到云端服务器52;接收所述云端服务器52返回的检测结果,当所述检测结果为恶意文件时,对所述恶意文件进行查杀。
需要说明的是,关于文件安全查杀系统各功能模块的相关描述,可以参考前面方法和装置实施例的相关描述,本发明实施例此处将不再赘述。
本发明实施例中,当云端服务器检测到一个客户端上传的文件为恶意文件时,及时的向预定区域内的所有终端发送该恶意文件的文件特征,以便其他客户端在对该恶意文件进行查杀时,不需要将恶意文件上传到云端服务器,由服务器进行查找,在客户端本地即可实现恶意文件的查杀,与现有技术相比,局域网范围内的每个客户端均节省了由客户端发送给云端服务器以及云端服务器进行检测,并将检测结果返回所用时间,极大的加快了恶意文件的查杀速度,有效的遏制了快速扩散恶意文件的扩散。
并且,本发明实施例中,接收到恶意文件特征的客户端,可以在接收到文件特征的时候就进行恶意文件的本地查杀,也可以根据用户的触发进行恶意文件的本地查杀,使得查杀方式多样化,能够满足不同的需求。
本发明的实施例公开了:
A1、一种文件查杀方法,包括:
云端服务器获取客户端上传的待检测的文件;
对所述文件进行安全检测;
当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。
A2、如A1所述的方法,所述待检测的文件包括在客户端处未确定文件安全性并且对其操作已放行的文件。
A3、如A1或A2所述的方法,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。
B4、一种文件查杀方法,包括:
客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内;
根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
B5、如B4所述的方法,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。
B6、如B5所述的方法,根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀包括:
所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在终端设备中查找所述恶意文件并进行查杀。
B7、如B6所述的方法,还包括:
将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
B8、如B5所述的方法,还包括:
所述客户端在接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;
所述根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀具体为:当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。
C9、一种云端服务器,包括:
文件获取单元,用于获取客户端上传的待检测的文件;
检测单元,用于对所述文件进行安全检测;
文件特征获取单元,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征;
第一发送单元,用于将检测结果返回给所述客户端;
第二发送单元,用于将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。
C10、如C9所述的云端服务器,所述待检测的文件包括在客户端处未确定文件安全性并且对其操作已放行的文件。
C11、如C9或C10所述的云端服务器,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。
D12、一种客户端,所述客户端位于预定范围内,包括:
接收单元,用于接收云端服务器发送的恶意文件的文件特征;
查杀单元,用于根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
D13、如D12所述的客户端,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。
D14、如D13所述的客户端,查杀单元用于所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀。
D15、如D14所述的客户端,还包括:
第一存储单元,用于在所述查杀单元接收所述文件特征,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀之后,将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
D16、如D13所述的客户端,还包括:
第二存储单元,用于在所述接收单元接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;
所述查杀单元还用于当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。
E17、一种文件安全查杀系统,包括:第一客户端、如权利要求C9-C11中任一项所述的云端服务器以及多个如权利要求D12-D16中任一项所述的第二客户端;
所述第一客户端,用于当用户打开待检测的文件,并将所述待检测的文件上传到云端服务器;接收所述云端服务器返回的检测结果,当所述检测结果为恶意文件时,对所述恶意文件进行查杀。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的文件安全查杀方法、装置及系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
Claims (17)
1.一种文件查杀方法,其特征在于,包括:
云端服务器获取客户端上传的待检测的文件;
对所述文件进行安全检测;
当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。
2.根据权利要求1所述的方法,其特征在于,所述待检测的文件包括在客户端处未确定文件安全性并且对其操作已放行的文件。
3.根据权利要求1或2所述的方法,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。
4.一种文件查杀方法,其特征在于,包括:
客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内,所述恶意文件的文件特征是所述云端服务器在检测到上传的待检测文件为恶意文件时发送的;
根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
5.根据权利要求4所述的方法,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。
6.根据权利要求5所述的方法,其特征在于,根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀包括:
所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在终端设备中查找所述恶意文件并进行查杀。
7.根据权利要求6所述的方法,其特征在于,还包括:
将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
8.根据权利要求5所述的方法,其特征在于,还包括:
所述客户端在接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;
所述根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀具体为:当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。
9.一种云端服务器,其特征在于,包括:
文件获取单元,用于获取客户端上传的待检测的文件;
检测单元,用于对所述文件进行安全检测;
文件特征获取单元,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征;
第一发送单元,用于将检测结果返回给所述客户端;
第二发送单元,用于将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。
10.根据权利要求9所述的云端服务器,其特征在于,所述待检测的文件包括在客户端处未确定文件安全性并且对其操作已放行的文件。
11.根据权利要求9所述的云端服务器,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。
12.一种客户端,所述客户端位于预定范围内,其特征在于,包括:
接收单元,用于接收云端服务器发送的恶意文件的文件特征,所述恶意文件的文件特征是所述云端服务器在检测到上传的待检测文件为恶意文件时发送的;
查杀单元,用于根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。
13.根据权利要求12所述的客户端,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。
14.根据权利要求13所述的客户端,其特征在于,查杀单元用于所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀。
15.根据权利要求14所述的客户端,其特征在于,还包括:
第一存储单元,用于在所述查杀单元接收所述文件特征,在第一时间内主动根据所述文件特征在所述客户端中查找所述恶意文件进行查杀之后,将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。
16.根据权利要求13所述的客户端,其特征在于,还包括:
第二存储单元,用于在所述接收单元接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;
所述查杀单元还用于当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。
17.一种文件安全查杀系统,其特征在于,包括:第一客户端、如权利要求9-11中任一项所述的云端服务器以及多个如权利要求12-16中任一项所述的客户端;
所述第一客户端,用于当用户打开待检测的文件,并将所述待检测的文件上传到云端服务器;接收所述云端服务器返回的检测结果,当所述检测结果为恶意文件时,对所述恶意文件进行查杀。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410852723.4A CN104537304B (zh) | 2014-12-31 | 2014-12-31 | 文件查杀方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410852723.4A CN104537304B (zh) | 2014-12-31 | 2014-12-31 | 文件查杀方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104537304A CN104537304A (zh) | 2015-04-22 |
| CN104537304B true CN104537304B (zh) | 2017-04-12 |
Family
ID=52852826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410852723.4A Active CN104537304B (zh) | 2014-12-31 | 2014-12-31 | 文件查杀方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104537304B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106682508B (zh) * | 2016-06-17 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 病毒的查杀方法和装置 |
| CN107733927B (zh) * | 2017-11-28 | 2021-10-19 | 深信服科技股份有限公司 | 一种僵尸网络文件检测的方法、云服务器、装置及系统 |
| CN108898014B (zh) * | 2018-06-22 | 2022-09-27 | 珠海豹趣科技有限公司 | 一种病毒查杀方法、服务器及电子设备 |
| CN112100619B (zh) * | 2019-06-18 | 2024-01-05 | 深信服科技股份有限公司 | 一种恶意文件检测方法、系统、设备及计算机存储介质 |
| CN111159708B (zh) * | 2019-12-02 | 2022-08-19 | 中国建设银行股份有限公司 | 检测服务器中网页木马的装置、方法及存储介质 |
| CN116760819B (zh) * | 2023-07-14 | 2024-01-30 | 中电长城网际系统应用广东有限公司 | 计算机文件网络传送方法、计算机装置和装置介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1349166A (zh) * | 2001-12-03 | 2002-05-15 | 上海市计算机病毒防范服务中心 | 对网络化病毒源反馈式报警方法 |
| CN102902915B (zh) * | 2012-09-29 | 2016-06-29 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的系统 |
| CN103281325B (zh) * | 2013-06-04 | 2018-03-02 | 北京奇虎科技有限公司 | 基于云安全的文件处理方法及装置 |
-
2014
- 2014-12-31 CN CN201410852723.4A patent/CN104537304B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN104537304A (zh) | 2015-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104537304B (zh) | 文件查杀方法、装置及系统 | |
| EP3343867B1 (en) | Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset | |
| EP3420697B1 (en) | Reactive and pre-emptive security system for the protection of computer networks&systems | |
| US8881276B2 (en) | Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality | |
| CN104980309B (zh) | 网站安全检测方法及装置 | |
| US20240163253A1 (en) | Network security analysis system with reinforcement learning for selecting domains to scan | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| US9509715B2 (en) | Phishing and threat detection and prevention | |
| Kebande et al. | A cloud forensic readiness model using a botnet as a service | |
| EP3957042A1 (en) | Detecting sensitive data exposure via logging | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN103825888A (zh) | 网络威胁处理方法及设备 | |
| CN104901975B (zh) | 网站日志安全分析方法、装置及网关 | |
| CN106357689A (zh) | 威胁数据的处理方法及系统 | |
| CN105100092B (zh) | 控制客户端访问网络的检测方法、装置和系统 | |
| CN104954384B (zh) | 一种保护Web应用安全的url拟态方法 | |
| US11606375B2 (en) | Methods and systems for identifying malware enabled by automatically generated domain names | |
| CN107360162A (zh) | 一种网络应用防护方法和装置 | |
| CN105099821A (zh) | 基于云的虚拟环境下流量监控的方法和装置 | |
| CN109074454A (zh) | 基于赝象对恶意软件自动分组 | |
| CN104468563A (zh) | 网站漏洞防护方法、装置及系统 | |
| CN105550593A (zh) | 一种基于局域网的云盘文件监控方法和装置 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN105447385B (zh) | 一种多层次检测的应用型数据库蜜罐实现系统及方法 | |
| CN104579819B (zh) | 网络安全检测方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20161230 Address after: 100015 Chaoyang District Road, Jiuxianqiao, No. 10, building No. 3, floor 15, floor 17, 1701-26, Applicant after: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park) Applicant before: BEIJING QIHOO TECHNOLOGY Co.,Ltd. Applicant before: Qizhi software (Beijing) Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Patentee after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Patentee before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |