CN107682392A - 特定类型文件的通知方法及装置、存储介质和处理器 - Google Patents
特定类型文件的通知方法及装置、存储介质和处理器 Download PDFInfo
- Publication number
- CN107682392A CN107682392A CN201710668023.3A CN201710668023A CN107682392A CN 107682392 A CN107682392 A CN 107682392A CN 201710668023 A CN201710668023 A CN 201710668023A CN 107682392 A CN107682392 A CN 107682392A
- Authority
- CN
- China
- Prior art keywords
- file
- terminal
- identification information
- particular type
- type file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种特定类型文件的通知方法及装置、存储介质和处理器。其中,该方法包括:接收第一终端上报的通知消息,其中,通知消息携带有标识信息,标识信息对应的文件被第一终端确认为特定类型文件;根据通知消息将标识信息发送至当前管控的除第一终端之外的其他终端。本发明解决了相关技术中所提供的特定类型文件发现方式不但增加了终端处理器的计算负担而且还占用了过多的网络资源的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种特定类型文件的通知方法及装置、存储介质和处理器。
背景技术
计算机病毒(Computer Virus)是编制者在计算机程序中插入的破坏计算机功能或者数据的代码,使其能够影响计算机使用,并能够自我复制的一组计算机指令或者程序代码。计算机病毒具有传播性、隐蔽性、感染性、潜伏性、可激发性、表现性或破坏性。计算机病毒的生命周期可以包括:开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。
计算机病毒可以是一个程序,一段可执行码,其就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。病毒能够将自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,病毒就随同文件一起蔓延开来。
目前,伴随着云计算、大数据等网络信息化技术的迅猛发展,越来越多的人们将生活和工作相关的信息在网络上进行存储和处理,但与此同时,以商业利益甚至是国家力量的驱动的专业攻击团伙应运而生,继而催生出各种新兴病毒,由此引发的用户信息泄露和数据丢失等信息安全事故会对个人、社会,甚至是国家安全都会产生恶劣影响,网络信息安全威胁形式日益严峻。
相关技术中,为了能够有效防范病毒扩散的措施在于:终端可以通过自身安装的安全防卫工具对接收到的各式各样文件逐一进行检测;判断接收到的文件是否属于特定类型文件,如果判定结果为是,即,该终端已经发现特定类型文件,则需要及时将特定类型文件的标识信息上报至服务端。但是,这样操作方式的缺陷在于:假设终端A接收到文件A并检测到该文件A属于特定类型文件,于是将标识信息文件A上报至服务端,而终端B也同样接收到文件A并检测到该文件A属于特定类型文件,于是也将标识信息文件A上报至服务端,由此导致不同终端需要重复检测文件A是否属于特定类型文件以及不同终端需要重复上报对应的标识信息,从而不但增加了终端处理器的计算负担而且还占用了过多的网络资源。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种特定类型文件的通知方法及装置、存储介质和处理器,以至少解决相关技术中所提供的特定类型文件发现方式不但增加了终端处理器的计算负担而且还占用了过多的网络资源的技术问题。
根据本发明实施例的一个方面,提供了一种特定类型文件的通知方法,包括:
接收第一终端上报的通知消息,其中,通知消息携带有标识信息,标识信息对应的文件被第一终端确认为特定类型文件;根据通知消息将标识信息发送至当前管控的除第一终端之外的其他终端。
可选地,在接收第一终端上报的通知消息之后,还包括:根据标识信息对特定类型文件进行验证。
可选地,根据标识信息对特定类型文件进行验证包括:根据标识信息从第一终端获取对应的文件;如果发现标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定标识信息对应文件属于特定类型文件。
可选地,根据通知消息将标识信息发送至除第一终端之外的其他终端包括:获取当前的网络拓扑结构信息,其中,网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;根据网络拓扑结构信息向除第一终端之外的其他终端发送通知消息,其中,通知消息用于通知除第一终端之外的其他终端跳过对标识信息对应文件的验证过程并将标识信息对应文件定义为特定类型文件。
根据本发明实施例的另一方面,还提供了一种特定类型文件的通知装置,包括:
接收模块,用于接收第一终端上报的通知消息,其中,通知消息携带有标识信息,标识信息对应的文件被第一终端确认为特定类型文件;发送模块,用于根据通知消息将标识信息发送至当前管控的除第一终端之外的其他终端。
可选地,上述装置还包括:验证模块,用于根据标识信息对特定类型文件进行验证。
可选地,验证模块包括:第一获取单元,用于根据标识信息从第一终端获取对应的文件;验证单元,用于如果发现标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定标识信息对应文件属于特定类型文件。
可选地,发送模块包括:第二获取单元,用于获取当前的网络拓扑结构信息,其中,网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;发送单元,用于根据网络拓扑结构信息向除第一终端之外的其他终端发送通知消息,其中,通知消息用于通知除第一终端之外的其他终端跳过对标识信息对应文件的验证过程并将标识信息对应文件定义为特定类型文件。
根据本发明实施例的又一方面,还提供了一种存储介质,该存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述特定类型文件的通知方法。
根据本发明实施例的再一方面,还提供了一种处理器,该处理器用于运行程序,其中,程序运行时执行权利要求上述特定类型文件的通知方法。
在本发明实施例中,采用接收第一终端上报的标识信息,该标识信息对应的文件被第一终端确认为特定类型文件的方式,通过将标识信息发送至当前管控的除第一终端之外的其他终端,达到了在第一终端将标识信息对应的文件确认为特定类型文件后,服务端及时通知给当前管控的除第一终端之外的其他终端,以使其他终端无需再对该标识信息对应的文件进行检测和上报的目的,从而实现了减轻终端处理器的计算负担、节省网络资源的技术效果,进而解决了相关技术中所提供的特定类型文件发现方式不但增加了终端处理器的计算负担而且还占用了过多的网络资源的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的特定类型文件的通知方法的流程图;
图2是根据本发明优选实施例的特定类型文件的通知过程示意图;
图3是根据本发明实施例的特定类型文件的通知装置的结构框图;
图4是根据本发明优选实施例的特定类型文件的通知装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种特定类型文件的通知方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的特定类型文件的通知方法的流程图,如图1所示,该方法包括如下步骤:
步骤S12,接收第一终端上报的通知消息,其中,通知消息携带有标识信息,标识信息对应的文件被第一终端确认为特定类型文件;
步骤S14,根据通知消息将标识信息发送至当前管控的除第一终端之外的其他终端。
通过上述步骤,可以采用接收第一终端上报的标识信息,该标识信息对应的文件被第一终端确认为特定类型文件的方式,通过将标识信息发送至当前管控的除第一终端之外的其他终端,达到了在第一终端将标识信息对应的文件确认为特定类型文件后,服务端及时通知给当前管控的除第一终端之外的其他终端,以使其他终端无需再对该标识信息对应的文件进行检测和上报的目的,从而实现了减轻终端处理器的计算负担、节省网络资源的技术效果,进而解决了相关技术中所提供的特定类型文件发现方式不但增加了终端处理器的计算负担而且还占用了过多的网络资源的技术问题。
上述特定类型文件,主要指代恶意文件,又称恶意代码,其是指通过故意编制或设置的并且在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件或文件。
可选地,在步骤S12,接收第一终端上报的通知消息之后,还可以包括以下执行步骤:
步骤S13,根据标识信息对特定类型文件进行验证。
考虑到第一终端上装载的安全防卫工具(例如:杀毒软件、安全卫士)存在误报的可能性,由此会导致可以正常运行的文件被认定为恶意文件,进而被隔离甚至删除,造成数据损失。因此,服务端在接收第一终端上报的通知消息之后,可以对标识信息对应的文件进行二次验证,即,此时服务端可以将标识信息对应文件视为待检测文件,其是指来源不可信、具备破坏力或无法判定程序执行意图的文件,其存在一定可能性成为恶意文件。该待检测文件的来源可以包括但不限于:即时通讯软件上加载的文件、邮箱附件、网络上传或下载的文件。
可选地,在步骤S13中,根据标识信息对特定类型文件进行验证可以包括以下执行步骤:
步骤S131,根据标识信息从第一终端获取对应的文件;
步骤S132,如果发现标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定标识信息对应文件属于特定类型文件。
服务端可以通过解析待检测文件所包含的单个数据包,分析传输层协议(例如:传输控制协议(TCP)、用户数据报协议(UDP))和/或应用层协议(例如:超文本传输协议(HTTP)、文件传输协议(FTP)、域名系统(DNS)、网络文件系统(NFS)、简单邮件传输协议(SMTP)、简单网络管理协议(SNMP))网络协议特征,能够确定该单个数据包中包含原本不应该携带的参数信息(例如:执行恶意行为的字符串信息),那么便可就此认定该待检测文件为恶意文件。例如:源IP地址在向目的IP地址发送的邮件附件中携带有木马病毒。由此确定与该网络流量数据包对应的可疑文件为恶意文件。
需要说明的是,上述参数信息可以经过大量重复试验对不同类型的样本进行静态分析总结出与恶意行为相关的参数,由此设定为后续检测分析中可以比对参照的预设类型参数。
然而,如果凭借对单个数据包进行解析无法准确判定该待检测文件是否为恶意文件,那么便需要通过对待检测文件中相互关联的多个数据包之间是否符合预设规则来判断待检测文件是否存在恶意行为。
假设主机A的源IP地址为192.168.1.22,源MAC地址是:22-22-22-22-22-22;主机B的目的IP地址为192.168.1.66,目的MAC地址为66-66-66-66-66-66。网关的IP地址为192.168.1.1,MAC地址为01-01-01-01-01-01。在正常的通讯过程中,主机A与主机B各自独立与网关进行数据交互,在主机A与主机B之间并不存在数据交互。然而,主机A却向主机B发送ARP欺骗包(ARP应答包)通知主机B,“主机A是网关,主机B可以将访问外网的数据发送至主机A”,其ARP欺骗包如下:
源IP地址:192.168.1.1,源MAC地址:22-22-22-22-22-22;
目的IP地址:192.168.1.66,目的MAC地址:66-66-66-66-66-66。
然后,主机A再向网关发送ARP欺骗包(ARP应答包),通知网关,“主机A是主机B”,以使网关将所有待发送至主机B的数据均发送至主机A,其ARP欺骗包如下:
源IP地址:192.168.1.66,源MAC地址:66-66-66-66-66-66;
目的IP地址:192.168.1.1,目的MAC地址:01-01-01-01-01-01;
需要说明的是,上述ARP欺骗包需要在每隔一段时间后重新发送一次,否则网关和主机B的ARP缓存会进行定时更新。
上述ARP欺骗过程通过发送ARP应答包使得网关和受害主机B的动态ARP表产生错误IP-MAC映射。
在上述场景下,凭借对单个文件数据包进行解析恐怕难以准确判定该待检测文件是否为恶意文件,而需要对与整个ARP欺骗过程的多个数据包进行检测分析,判定其是否改变了原有的IP-MAC映射(即上述预设规则),从而判定相互关联的多个数据包之间是否符合预设规则来判断待检测文件是否存在恶意网络行为。
另外,服务端还可以获取待检测文件在运行期间调用的应用程序编程接口(API)函数,并对API函数以及与API函数对应的参数列表进行检测分析,判断可疑文件是否为恶意文件。
API函数是一些预先定义的函数,其目的在于:提供应用程序与开发人员基于特定软件或硬件得以访问一组例程的能力,而又无需访问源码或者理解内部工作机制的细节。
API函数通常包含在Windows系统目录下的动态连接库文件中。Windows API是一套用来控制Windows的各个部件的外观和行为的预先定义的Windows函数。用户执行的每个动作都会触发一个或几个函数的运行以通知Windows发生了什么事件。例如:当用户点击窗体上的一个按钮时,Windows便会向窗体发送一个消息,并在VB获取这个调用并经过分析后生成一个特定事件。换言之,Windows系统除了协调应用程序的执行、内存的分配、系统资源的管理外,同时也是一个很大的服务中心。调用这个服务中心的各种服务(每一种服务可以理解为一个函数)可以帮助应用程序达到开启视窗、描绘图形和使用周边设备等目的,由于这些函数服务的对象是应用程序,故而称之为API函数。
在优选实施例中,当待检测文件运行时,可以通过系统接口或主动修改系统操作流程的方式,监控并记录可疑文件在运行时调用的全部API函数及其相应的参数信息。在具体实施过程中,可以记录该可疑文件在初始环境状态下按照预先设定时间内依次调用的各种API函数,例如:该可疑文件先后依次执行了WNetAddConnection创建同一个网络资源的永久性连接、PostThreadMessage将一条消息投递给应用程序、CreateDirectory创建一个新目录、CreateFile打开和创建文件、管道、邮槽、通信服务、设备以及控制台等API函数,进而形成由多个API函数组成的操作系列,通过分析每个API函数及其参数是否存在恶意特征或目的,并且通过将可疑文件调用的API函数操作序列与正常文件调用的API函数操作序列执行行为相似度匹配,便可判定该待检测文件是否存在恶意行为,进而检测识别该待检测文件是否为恶意文件。
进一步地,在对待检测文件的动态行为进行检测分析的基础上,添加针对单个文件级别的网络流量检测功能,识别已知或未知的网络攻击行为,达到从网络流量的维度识别和定性单个文件是否为恶意文件、改善恶意文件检测效果和降低网络安全威胁的功能和目的。
可选地,步骤S14,根据通知消息将标识信息发送至除第一终端之外的其他终端可以包括以下执行步骤:
步骤S141,获取当前的网络拓扑结构信息,其中,网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;
步骤S142,根据网络拓扑结构信息向除第一终端之外的其他终端发送通知消息,其中,通知消息用于通知除第一终端之外的其他终端跳过对标识信息对应文件的验证过程并将标识信息对应文件定义为特定类型文件。
图2是根据本发明优选实施例的特定类型文件的通知过程示意图。如图2所示,鉴于服务端管控的终端可能发生定时更新,因此,服务端需要实时掌握当前最新的网络拓扑结构,即服务端当前管控的全部终端的组网结构(即当前网络内包含多少个终端,这些终端相互间的连接关系以及这些终端与服务端之间的连接关系),然后再根据网络拓扑结构信息向除第一终端之外的其他终端发送通知消息,以使除第一终端之外的其他终端跳过对标识信息对应文件的验证过程并将标识信息对应文件定义为特定类型文件,无需对标识信息对应文件进行重复验证以及重复上报。
可选地,在根据通知消息将标识信息发送至除第一终端之外的其他终端之后,还可以包括以下执行步骤:
步骤S15,向管控的全部终端下发控制策略,其中,控制策略用于指示每个终端对本地的查杀功能组件进行升级,并指示第一终端采用升级后的查杀功能组件对特定类型文件进行隔离并删除;
步骤S16,接收来自于第一终端的处理日志,其中,处理日志用于记录第一终端对特定类型文件的查杀结果。
当服务端确定标识信息对应文件属于特定类型文件,则需要向全部终端下发控制策略,即,对于第一终端而言,服务端不仅需要对第一终端本地的查杀功能组件进行升级,同时还需要指示第一终端尽快对特定类型文件进行隔离并删除,而对于其他终端,服务端需要对每个终端本地的查杀功能组件进行升级,以防止各个终端遭受特定类型文件的侵袭。另外,服务端还需要通过接收第一终端上报的处理日志,及时掌握第一终端对特定类型文件的处理进度。如果第一终端无法独立将特征类型文件清除,那么还需要服务端向第一终端提供更加强力的查杀手段。
可选地,在步骤S14,根据通知消息将标识信息发送至除第一终端之外的其他终端之后,还包括:
步骤S17,向第一终端发送指示消息,其中,指示消息用于第一终端上报特定类型文件的来源信息;
步骤S18,根据来源信息确定发送特定类型文件的源头为第二终端;
步骤S19,阻断第二终端与除第二终端之外的其他终端进行通信。
除了需要对第一终端上存在的特定类型文件进行及时查杀,服务端还需要进一步掌握该特定类型文件的源头。如果仅满足于第一终端清除该特定类型文件,那么作为扩散源头的第二终端还有可能向其他终端传播该特定类型文件。因此,服务端需要进一步掌握该传播该特定类型文件的第二终端的IP地址与MAC地址,以便对第二终端进行隔离,阻断其访问网络。
可选地,在步骤S19,阻断第二终端与除第二终端之外的其他终端进行通信之后,还可以包括以下执行步骤:
步骤S20,确定第二终端已经清除特定类型文件;
步骤S21,恢复第二终端与除第二终端之外的其他终端进行通信。
如果服务端能够确定上述第二终端已经恢复正常工作状态,而不再被作为特定类型文件的扩散源头,那么便可以重新恢复第二终端对网络进行访问。
根据本发明实施例,提供了一种特定类型文件的通知装置的实施例,图3是根据本发明实施例的特定类型文件的通知装置的结构框图,如图3所示,该装置可以包括:接收模块10,用于接收第一终端上报的通知消息,其中,通知消息携带有标识信息,标识信息对应的文件被第一终端确认为特定类型文件;发送模块20,用于根据通知消息将标识信息发送至当前管控的除第一终端之外的其他终端。
可选地,图4是根据本发明优选实施例的特定类型文件的通知装置的结构框图,如图4所示,上述装置还可以包括:验证模块30,用于根据标识信息对特定类型文件进行验证。
可选地,验证模块30可以包括:第一获取单元(图中未示出),用于根据标识信息从第一终端获取对应的文件;验证单元(图中未示出),用于如果发现标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定标识信息对应文件属于特定类型文件。
可选地,发送模块20可以包括:第二获取单元(图中未示出),用于获取当前的网络拓扑结构信息,其中,网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;发送单元(图中未示出),用于根据网络拓扑结构信息向除第一终端之外的其他终端发送通知消息,其中,通知消息用于通知除第一终端之外的其他终端跳过对标识信息对应文件的验证过程并将标识信息对应文件定义为特定类型文件。
可选地,发送模块20,还用于向管控的全部终端下发控制策略,其中,控制策略用于指示每个终端对本地的查杀功能组件进行升级,并指示第一终端采用升级后的查杀功能组件对特定类型文件进行隔离并删除;接收模块10,还用于接收来自于第一终端的处理日志,其中,处理日志用于记录第一终端对特定类型文件的查杀结果。
可选地,发送模块20,用于向第一终端发送指示消息,其中,指示消息用于第一终端上报特定类型文件的来源信息;如图4所示,上述装置还可以包括:确定模块40,用于根据来源信息确定发送特定类型文件的源头为第二终端;处理模块50,用于阻断第二终端与除第二终端之外的其他终端进行通信。
可选地,确定模块40,还用于确定第二终端已经清除特定类型文件;处理模块50,还用于恢复第二终端与除第二终端之外的其他终端进行通信。
根据本发明其中一实施例,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述特定类型文件的通知方法。上述存储介质可以包括但不限于:U盘、只读存储器(ROM)、随机存取存储器(RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
根据本发明其中一实施例,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述特定类型文件的通知方法。上述处理器可以包括但不限于:微处理器(MCU)或可编程逻辑器件(FPGA)等的处理装置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种特定类型文件的通知方法,其特征在于,包括:
接收第一终端上报的通知消息,其中,所述通知消息携带有标识信息,所述标识信息对应的文件被所述第一终端确认为特定类型文件;
根据所述通知消息将所述标识信息发送至当前管控的除所述第一终端之外的其他终端。
2.根据权利要求1所述的方法,其特征在于,在接收所述第一终端上报的所述通知消息之后,还包括:
根据所述标识信息对所述特定类型文件进行验证。
3.根据权利要求2所述的方法,其特征在于,根据所述标识信息对所述特定类型文件进行验证包括:
根据所述标识信息从所述第一终端获取对应的文件;
如果发现所述标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定所述标识信息对应文件属于所述特定类型文件。
4.根据权利要求1所述的方法,其特征在于,根据所述通知消息将所述标识信息发送至除所述第一终端之外的其他终端包括:
获取当前的网络拓扑结构信息,其中,所述网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;
根据所述网络拓扑结构信息向除所述第一终端之外的其他终端发送通知消息,其中,所述通知消息用于通知除所述第一终端之外的其他终端跳过对所述标识信息对应文件的验证过程并将所述标识信息对应文件定义为所述特定类型文件。
5.一种特定类型文件的通知装置,其特征在于,包括:
接收模块,用于接收第一终端上报的通知消息,其中,所述通知消息携带有标识信息,所述标识信息对应的文件被所述第一终端确认为特定类型文件;
发送模块,用于根据所述通知消息将所述标识信息发送至当前管控的除所述第一终端之外的其他终端。
6.根据权利要求5所述的装置,其特征在于,所述装置还包括:
验证模块,用于根据所述标识信息对所述特定类型文件进行验证。
7.根据权利要求6所述的装置,其特征在于,所述验证模块包括:
第一获取单元,用于根据所述标识信息从所述第一终端获取对应的文件;
验证单元,用于如果发现所述标识信息对应文件内的单个数据包中包含预设类型参数或者相互关联的多个数据包之间符合预设匹配规则,则确定所述标识信息对应文件属于所述特定类型文件。
8.根据权利要求5所述的装置,其特征在于,所述发送模块包括:
第二获取单元,用于获取当前的网络拓扑结构信息,其中,所述网络拓扑结构信息用于表示实时更新的由当前管控的全部终端的组网结构;
发送单元,用于根据所述网络拓扑结构信息向除所述第一终端之外的其他终端发送通知消息,其中,所述通知消息用于通知除所述第一终端之外的其他终端跳过对所述标识信息对应文件的验证过程并将所述标识信息对应文件定义为所述特定类型文件。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至4中任意一项所述的特定类型文件的通知方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至4中任意一项所述的特定类型文件的通知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710668023.3A CN107682392A (zh) | 2017-08-07 | 2017-08-07 | 特定类型文件的通知方法及装置、存储介质和处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710668023.3A CN107682392A (zh) | 2017-08-07 | 2017-08-07 | 特定类型文件的通知方法及装置、存储介质和处理器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107682392A true CN107682392A (zh) | 2018-02-09 |
Family
ID=61135144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710668023.3A Pending CN107682392A (zh) | 2017-08-07 | 2017-08-07 | 特定类型文件的通知方法及装置、存储介质和处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107682392A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110029769A1 (en) * | 2003-08-12 | 2011-02-03 | Selim Aissi | Method for using trusted, hardware identity credentials in runtime package signature to secure mobile communications and high value transaction execution |
| CN102957667A (zh) * | 2011-08-23 | 2013-03-06 | 潘燕辉 | 一种基于云计算的智能替换文件的方法 |
| CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
| CN106101086A (zh) * | 2016-06-02 | 2016-11-09 | 北京奇虎科技有限公司 | 程序文件的云检测方法及系统、客户端、云端服务器 |
-
2017
- 2017-08-07 CN CN201710668023.3A patent/CN107682392A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110029769A1 (en) * | 2003-08-12 | 2011-02-03 | Selim Aissi | Method for using trusted, hardware identity credentials in runtime package signature to secure mobile communications and high value transaction execution |
| CN102957667A (zh) * | 2011-08-23 | 2013-03-06 | 潘燕辉 | 一种基于云计算的智能替换文件的方法 |
| CN104243214A (zh) * | 2014-09-28 | 2014-12-24 | 北京奇虎科技有限公司 | 一种数据处理的方法、装置及系统 |
| CN106101086A (zh) * | 2016-06-02 | 2016-11-09 | 北京奇虎科技有限公司 | 程序文件的云检测方法及系统、客户端、云端服务器 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US20190020672A1 (en) | System and methods for detecting malicious email transmission | |
| US10069851B2 (en) | Managing infectious forwarded messages | |
| CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
| KR101070614B1 (ko) | 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법 | |
| US9979739B2 (en) | Automated forensics of computer systems using behavioral intelligence | |
| EP1995929B1 (en) | Distributed system for the detection of eThreats | |
| US11399288B2 (en) | Method for HTTP-based access point fingerprint and classification using machine learning | |
| Bhattacharyya et al. | Met: An experimental system for malicious email tracking | |
| US8775333B1 (en) | Systems and methods for generating a threat classifier to determine a malicious process | |
| CA3069437A1 (en) | Cyberanalysis workflow acceleration | |
| CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
| CN110113350A (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
| CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
| CN114598525A (zh) | 一种针对网络攻击的ip自动封禁的方法和装置 | |
| CN110210213A (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| Mohammed et al. | Honeycyber: Automated signature generation for zero-day polymorphic worms | |
| CN108011805A (zh) | 消息过滤的方法、装置、中间服务器及车联网系统 | |
| Jasiul et al. | Identification of malware activities with rules | |
| Kendrick et al. | A self-organising multi-agent system for decentralised forensic investigations | |
| Jaw et al. | A novel hybrid-based approach of snort automatic rule generator and security event correlation (SARG-SEC) | |
| Zheng et al. | A network state based intrusion detection model | |
| US11924228B2 (en) | Messaging server credentials exfiltration based malware threat assessment and mitigation | |
| CN107682392A (zh) | 特定类型文件的通知方法及装置、存储介质和处理器 | |
| Kondakci | Intelligent network security assessment with modeling and analysis of attack patterns |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180209 |