CN110084041A - 病毒文件的查询方法、装置、客户端、管理端及存储介质 - Google Patents

病毒文件的查询方法、装置、客户端、管理端及存储介质 Download PDF

Info

Publication number
CN110084041A
CN110084041A CN201910365979.5A CN201910365979A CN110084041A CN 110084041 A CN110084041 A CN 110084041A CN 201910365979 A CN201910365979 A CN 201910365979A CN 110084041 A CN110084041 A CN 110084041A
Authority
CN
China
Prior art keywords
cryptographic hash
virus document
inquiry
file
virus
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910365979.5A
Other languages
English (en)
Inventor
陶鸿敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201910365979.5A priority Critical patent/CN110084041A/zh
Publication of CN110084041A publication Critical patent/CN110084041A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/13File access structures, e.g. distributed indices
    • G06F16/137Hash-based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种病毒文件的查询方法,包括以下步骤:当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。本发明还公开了一种病毒文件的查询装置、客户端、管理端及存储介质。本发明提高了识别出终端中病毒文件的识别率,以及提高了终端中存储文件的安全性。

Description

病毒文件的查询方法、装置、客户端、管理端及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种病毒文件的查询方法、装置、客户端、管理端及存储介质。
背景技术
随着信息化的发展,网络无处不在,但网络及电子产品的信息安全也越来越重要,因此,查杀终端病毒文件还是很有必要的。查杀终端的病毒文件必须先识别出终端中的病毒文件,然而,对于不能直接上网的终端,只能依赖终端本地离线病毒库来识别出终端中的病毒文件,而由于本地离线病毒存储的与病毒相关的数据量有限,从而导致终端中病毒文件的识别率低下。
发明内容
本发明的主要目的在于提供一种病毒文件的查询方法、装置、客户端、管理端及存储介质,旨在解决现有技术中识别终端中病毒文件识别率低下的技术问题。
为实现上述目的,本发明提供一种病毒文件的查询方法,所述病毒文件的查询方法包括以下步骤:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
可选地,所述当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件的步骤包括:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令获取所述客户端文件的文件特征信息;
将所述文件特征信息分别与预存的病毒特征信息和正常特征信息进行对比;
若所述文件特征信息与所述病毒特征信息和所述正常特征信息都不一致,则确定与所述病毒特征信息和所述正常特征信息都不一致的文件特征信息对应的文件为目标文件。
可选地,所述若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求的步骤之后,还包括:
将所述第二查询请求发送给云端,以供所述云端根据所述第二查询请求检测所述目标文件是否为病毒文件。
进一步地,为实现上述目的,本发明提供一种病毒文件的查询方法,所述病毒文件的查询方法包括以下步骤:
当管理端接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
可选地,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤包括:
若检测到所述数据库中未存在所述哈希值,则将所述哈希值存储至查询队列中,并检测所述查询队列中是否存在与所述哈希值一致的数值;
若所述查询队列中不存在与所述哈希值一致的数值,则将所述查询队列中的哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
可选地,所述检测所述查询队列中是否存在与所述哈希值一致的数值的步骤之后,还包括:
若检测到所述查询队列中存在与所述哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值。
可选地,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤之后,还包括:
若根据所述云端返回的查询结果确定所述哈希值对应的目标文件为病毒文件或者为正常文件,则将所述哈希值存储至所述数据库中,并将所述查询结果发送给客户端。
可选地,在检测到所述数据库中未存在所述哈希值的步骤之后,还包括:
生成查询失败的失败消息,并将所述失败消息发送给所述客户端。
进一步地,为实现上述目的,本发明还提供一种病毒文件的查询装置,所述病毒文件的查询装置包括:
第一检测模块,用于当侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
生成模块,用于若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
第一发送模块,用于将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
进一步地,为实现上述目的,本发明还提供一种病毒文件的查询装置,所述病毒文件的查询装置包括:
第二检测模块,用于当接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
第二发送模块,用于若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
进一步地,为实现上述目的,本发明还提供一种病毒文件的查询客户端,所述病毒文件的查询客户端包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的病毒文件的查询程序,所述病毒文件的查询程序被所述处理器执行时实现如上述所述的病毒文件的查询方法中客户端执行的步骤。
进一步地,为实现上述目的,本发明还提供一种病毒文件的查询管理端,其特征在于,所述病毒文件的查询管理端包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的病毒文件的查询程序,所述病毒文件的查询程序被所述处理器执行时实现如上述所述的病毒文件的查询方法中管理端执行的步骤。
进一步地,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有病毒文件的查询程序,所述病毒文件的查询程序被处理器执行时实现如上所述的病毒文件的查询方法的步骤。
本发明通过客户端在本地进行病毒查询过程中,若确定其存储的文件中存在属性无法确定的目标文件,则生成携带该目标文件哈希值的第二查询请求,将第二查询请求发送给管理端,以供管理端根据第二查询请求查询目标文件是否为病毒文件,以便于实现在客户端在本地识别出可疑文件时,通过管理端进一步确定可疑文件的属性,提高了识别出终端中病毒文件的识别率,以及提高了终端中存储文件的安全性。
附图说明
图1为本发明病毒文件的查询设备实施例方案涉及的设备硬件运行环境的结构示意图;
图2为本发明病毒文件的查询方法第一实施例的流程示意图;
图3为本发明病毒文件的查询方法第二实施例的流程示意图;
图4为本发明病毒文件的查询装置第一实施例的功能模块示意图;
图5为本发明病毒文件的查询装置第二实施例的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
本发明提供一种病毒文件的查询设备,该查询设备可为客户端,也可为管理端,即病毒文件查询客户端和病毒文件查询客户端可以用同一个设备硬件运行环境的结构示意图。
参照图1,图1为本发明病毒文件的查询设备实施例方案涉及的设备硬件运行环境的结构示意图。
如图1所示,该病毒文件的查询设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储设备。
本领域技术人员可以理解,图1中示出的病毒文件的查询设备的硬件结构并不构成对病毒文件的查询设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及病毒文件的查询程序。其中,操作系统是管理和控制病毒文件的查询设备与软件资源的程序,支持网络通信模块、用户接口模块、病毒文件的查询程序以及其他程序或软件的运行;网络通信模块用于管理和控制网络接口1004;用户接口模块用于管理和控制用户接口1003。
在图1所示的病毒文件的查询设备硬件结构中,网络接口1004主要用于连接系统后台,与系统后台进行数据通信;当查询设备为客户端时,用户接口1003主要用于连接管理端,与管理端进行数据通信;当查询设备为管理端时,用户接口1003主要用于连接客户端,与客户端进行数据通信;处理器1001可以调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
进一步地,所述当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件的步骤包括:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令获取所述客户端文件的文件特征信息;
将所述文件特征信息分别与预存的病毒特征信息和正常特征信息进行对比;
若所述文件特征信息与所述病毒特征信息和所述正常特征信息都不一致,则确定与所述病毒特征信息和所述正常特征信息都不一致的文件特征信息对应的文件为目标文件。
进一步地,所述若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求的步骤之后,处理器1001还用于调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
将所述第二查询请求发送给云端,以供所述云端根据所述第二查询请求检测所述目标文件是否为病毒文件。
进一步地,处理器1001还用于调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
当管理端接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
进一步地,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤包括:
若检测到所述数据库中未存在所述哈希值,则将所述哈希值存储至查询队列中,并检测所述查询队列中是否存在与所述哈希值一致的数值;
若所述查询队列中不存在与所述哈希值一致的数值,则将所述查询队列中的哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
进一步地,所述检测所述查询队列中是否存在与所述哈希值一致的数值的步骤之后,处理器1001还用于调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
若检测到所述查询队列中存在与所述哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值。
进一步地,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤之后,处理器1001还用于调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
若根据所述云端返回的查询结果确定所述哈希值对应的目标文件为病毒文件或者为正常文件,则将所述哈希值存储至所述数据库中,并将所述查询结果发送给客户端。
进一步地,在检测到所述数据库中未存在所述哈希值的步骤之后,处理器1001还用于调用存储器1005中存储的病毒文件的查询程序,并执行以下操作:
生成查询失败的失败消息,并将所述失败消息发送给所述客户端。
本发明病毒文件的查询客户端和病毒文件的查询管理端的具体实施方式与下述病毒文件的查询方法各实施例基本相同,在此不再赘述。
本发明还提供一种病毒文件的查询方法。
参照图2,图2为本发明病毒文件的查询方法第一实施例的流程示意图。
在第一实施例中,所述病毒文件的查询方法包括以下步骤:
步骤S10,当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件。
当客户端侦测到在本地进行病毒查询的第一查询指令后,客户端根据第一查询指令对其存储的文件进行病毒查询,以检测其存储的文件中是否存在属性无法确定的目标文件。在本发明实施例中,客户端可以是Linux、Windows(微软视窗操作系统)、Android(安卓)和IOS等操作系统的平台。第一查询指令可为用户在客户端中手动触发的,也可为客户端根据定时任务定时触发。在本发明实施例中,文件的属性包括两种,一种是病毒文件,一种是正常文件。属性无法确定的目标文件为既不是病毒文件,也不是正常文件的文件,即可疑文件。
进一步地,步骤S10包括:
步骤a,当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令获取所述客户端文件的文件特征信息。
步骤b,将所述文件特征信息分别与预存的病毒特征信息和正常特征信息进行对比。
步骤c,若所述文件特征信息与所述病毒特征信息和所述正常特征信息都不一致,则确定与所述病毒特征信息和所述正常特征信息都不一致的文件特征信息对应的文件为目标文件。
具体地,当客户端侦测到在本地进行病毒查询的第一查询指令后,客户端根据第一查询指令获取其存储的各个文件对应的文件特征信息,将各个文件的文件特征信息分别与其预先存储的病毒特征信息和正常特征信息进行对比,若文件特征信息与病毒特征信息和正常特征信息都不一致,则确定与病毒特征信息和正常特征信息都不一致的文件特征信息对应的文件为目标文件。可以理解的是,文件特征信息与病毒特征信息对应的文件为病毒文件,文件特征信息与正常特征信息对应的文件为正常文件。在本实施例中,客户端中安装本地杀毒扫描引擎和本地病毒库,该本地杀毒扫描引擎和本地病毒库中,都存储有各自对应的病毒特征信息和正常特征信息,本地杀毒扫描引擎和本地病毒库对应的病毒特征信息可能一致,也可能不一致,本地杀毒扫描引擎和本地病毒库对应的正常特征信息可能一致,也可能不一致。针对不同的病毒,对应病毒特征信息也可能一致,可能不一致。文件特征信息包括但不限于文件名,该文件对应的特定字段代码和该文件对应的特定二进制数值。
需要说明的是,在其它实施例中,客户端中还可以安装有其它类型的杀毒工具,并不限制于本实施例中的本地杀毒扫描引擎和本地病毒库。
进一步地,为了提高客户端存储文件的安全性,也可在文件特征信息与病毒特征信息的相似度大于某个设定值时,确定与病毒特征信息相似度大于设定值的文件特征信息对应的文件为病毒文件。
步骤S20,若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求。
若客户端根据第一查询指令确定其存储的文件中存在属性无法确定的目标文件,客户端则计算该目标文件的哈希值,生成携带该目标文件哈希值的第二查询请求。其中,计算目标文件哈希值可采用MD5(Message Digest Algorithm MD5,消息摘要算法)和SHA(Secure Hash Algorithm,安全散列算法)等算法。
进一步地,若客户端根据第一查询指令确定其存储的文件中未存在属性无法确定的目标文件,客户端则不生成携带目标文件哈希值的第二查询请求。
步骤S30,将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
当客户端生成携带目标文件哈希值的第二查询请求后,客户端将第二查询请求发送给管理端,以供管理端根据第二查询请求查询目标文件是否为病毒文件。需要说明的是,本发明实施例中的管理端为负责管理客户端的一个平台,在客户端无法连接网络时,客户端可以发送第二查询请求给管理端。可以理解的是,在客户端可以连接网络时,客户端也可以将第二查询请求发送给管理端。具体地,客户端和管理端之间可通过IPC((Inter-Process Communication,进程间通信)进行数据传输。
本实施例通过客户端在本地进行病毒查询过程中,若确定其存储的文件中存在属性无法确定的目标文件,则生成携带该目标文件哈希值的第二查询请求,将第二查询请求发送给管理端,以供管理端根据第二查询请求查询目标文件是否为病毒文件,以便于实现在客户端在本地识别出可疑文件时,通过管理端进一步确定可疑文件的属性,提高了识别出终端中病毒文件的识别率,特别是在不要求客户端连接网络的情况下也能提高病毒文件的识别率,以及提高了终端中存储文件的安全性。
进一步地,病毒文件的查询方法还包括:
步骤d,将所述第二查询请求发送给云端,以供所述云端根据所述第二查询请求检测所述目标文件是否为病毒文件。
进一步地,当客户端可以连接网络时,客户端在生成第二查询请求后,客户端可以将第二查询请求直接发送给云端,以供云端根据第二查询请求检测目标文件是否为病毒文件。在云端,存储有大量病毒文件和大量的正常文件,云端相当于一个数据中心,云端可计算各个病毒文件和正常文件的哈希值。云端通过对比第二查询请求中携带的哈希值与其计算得到的哈希值即可确定目标文件是病毒文件,还是正常文件,或者是可疑文件。如当确定第二查询请求携带的哈希值与云端存储的病毒文件的哈希值一致时,云端可确定目标文件为病毒文件,此时云端返回目标文件为病毒文件的通知消息给客户端,以告知客户端目标文件为病毒文件;当确定第二查询请求携带的哈希值与云端存储的正常文件的哈希值一致时,云端可确定目标文件为正常文件,此时云端返回目标文件为正常文件的通知消息给客户端,以告知客户端目标文件为正常文件;当确定第二查询请求携带的哈希值与云端计算所得的所有哈希值都不相同,云端确定目标文件为可疑文件,此时客户端返回目标文件为可疑文件的通知消息给客户端,以告知客户端目标文件为可疑文件。
在此通过在客户端生成第二查询请求后,将第二查询请求发送给云端,以供云端根据第二查询请求检测目标文件是否为病毒文件,通过云端的数据库中存储的大量数据来提高识别出目标文件属性的识别率,以提高识别出终端中病毒文件的识别率。
进一步地,提出本发明病毒文件的查询方法第二实施例。
所述病毒文件的查询方法第二实施例与所述病毒文件的查询方法第一实施例的区别在于,参照图3,所述病毒文件的查询方法还包括:
步骤S40,当管理端接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值。
当管理端接收到客户端发送的,携带目标文件哈希值的第二查询请求后,管理端在第二查询请求中提取目标文件的哈希值,检测其数据库中是否存在该目标文件的哈希值。具体地,由管理端中具备代理缓存功能进程的主线程接收客户端发送的第二查询请求。在管理端的数据库中,可只存储病毒文件的哈希值,也可存储病毒文件和正常文件的哈希值。进一步地,若管理端检测到其数据库中存在该哈希值,且该哈希值属于病毒文件的哈希值,管理端可发送第一通知消息给客户端。当客户端接收到第一通知消息后,客户端在输出该第一通知消息,以根据该第一通知消息告知客户端用户,目标文件为病毒文件;若管理端检测到其数据库中存在该哈希值,且该哈希值属于正常文件的哈希值,客户端可发送第二通知消息给客户端。当客户端接收到第二通知消息后,客户端输出第二通知消息,以根据该第二通知消息告知客户端用户目标文件为病毒文件。在本发明实施例中,不限制客户端输出第一通知消息和第二通知消息的方式,如客户端可通过文字或者语音等方式输出第一通知消息和第二通知消息。需要说明的是,在管理端中,管理端可用属性标识来区分病毒文件和正常文件的哈希值,病毒文件对应的属性标识和正常文件对应的属性标识不一样,该属性标识可用数字、字母或者字符等表示。
步骤S50,若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
若管理端检测到其数据库中未存在该哈希值,管理端则将该哈希值发送给云端,以供云端检测哈希值对应的目标文件是否为病毒文件。需要说明的是,云端检测目标文件是否为病毒文件的过程已在上述实施例中说明,在此不再赘述,与上述实施例不同的是,在本实施例中,在云端得到目标文件是否为病毒文件的查询结果后,云端将该查询结果发送给管理端,而不是发送给客户端。当管理端通过具备代理缓存功能进程的子线程接收到云端发送的查询结果后,管理端会将该查询结果发送给客户端,以告知客户端目标文件是正常文件,还是病毒文件或者是可疑文件。可以理解的是,存在三种查询结果,分别为目标文件为正常文件,目标文件为病毒文件和目标文件为可疑文件。
本实施例通过管理端接收到携带目标文件哈希值的第二查询请求后,管理端先在其数据库中确定目标文件的属性,若管理端无法确定目标文件的属性,管理端则将目标文件的哈希值发送给云端,以借助云端的数据库进一步来确定目标文件的属性,提高了识别出病毒文件的识别率,且避免了大量客户端直接将目标文件的哈希值发送给云端,降低了云端的服务器处理数据的处理压力,以及降低了云端服务器的设计难度。
进一步地,所述病毒文件的查询方法还包括:
步骤e,生成查询失败的失败消息,并将所述失败消息发送给客户端。
进一步地,为了让客户端用户在最短的时间内获知在管理端中查询目标文件是否为病毒文件的查询结果,当管理端检测到其数据库中未存在目标文件的哈希值时,管理端生成查询失败的失败消息,并将该失败消息发送给客户端。当客户端接收到失败消息后,客户端输出该失败消息,以根据该失败消息提示其用户,管理端识别目标文件是否为病毒文件识别失败,此时,客户端可重新检测是否侦测到在本地进行病毒查询的第一查询指令。其中,客户端可采用语音或者文字等形式输出该失败消息。
进一步地,提出本发明病毒文件的查询方法第三实施例。
所述病毒文件的查询方法第三实施例与所述病毒文件的查询方法第二实施例的区别在于,步骤S50包括:
步骤f,若检测到所述数据库中未存在所述哈希值,则将所述哈希值存储至查询队列中,并检测所述查询队列中是否存在与所述哈希值一致的数值。
若管理端检测到其数据库中未存在哈希值,管理端则将哈希值存储至查询队列中,并检测查询队列中是否存在与哈希值一致的数值。可以理解的是,与哈希值一致的数值也是哈希值。当管理端在较短的时间内接收到其管理客户端发送的至少两个哈希值时,可能会导致查询队列中存在至少两个一样的哈希值。
步骤g,若所述查询队列中不存在与所述哈希值一致的数值,则将所述查询队列中的哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
若管理端检测到查询队列中不存在与哈希值一致的数值,管理端则将查询队列中的哈希值发送给云端,以供云端检测哈希值对应的目标文件是否为病毒文件。在管理端将查询队列中的哈希值发送给云端过程中,管理端中具备代理缓存功能进程的子线程以处理HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,超文本传输安全协议)请求的方式将哈希值发送给云端。具体地,管理端可实时将查询队列中的哈希值发送给云端,也可以按照固定频率将查询队列中的哈希值发送给云端。
进一步地,所述病毒文件的查询方法还包括:
步骤h,若检测到所述查询队列中存在与所述哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值。
当管理端检测到查询队列中存在与哈希值一致的数值时,管理端删除该哈希值,也可删除查询队列中与该哈希值一致的其他哈希值,存储该哈希值。
本实施例通过在检测到管理端数据库中未存在目标文件的哈希值时,将哈希值存储至查询队列过程中,若检测到查询队列中存在与哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值,在查询队列中进行去重操作,避免管理端将相同的两个或者多个哈希值发送给云端,导致云端重复查询相同的哈希值,降低了云端查询的重复率,以及降低了管理端数据传输的压力,且避免了由于管理端执行大量的重复查询操作导致的资源浪费。
进一步地,提出本发明病毒文件的查询方法第四实施例。
所述病毒文件的查询方法第四实施例与所述病毒文件的查询方法第二或第三实施例的区别在于,所述病毒文件的查询方法还包括:
步骤i,若根据所述云端返回的查询结果确定所述哈希值对应的目标文件为病毒文件或者为正常文件,则将所述哈希值存储至所述数据库中,并将所述查询结果发送给客户端。
当管理端将哈希值发送给云端后,管理端检测是否接收到云端返回的查询结果。若管理端接收到云端返回的查询结果,且根据该查询结果确定哈希值对应的目标文件为病毒文件或者为正常文件,管理端则将哈希值存储至其数据库中,并为该哈希值添加属性标识,以增加其数据库中存储的哈希值的数量,以便于在下一次接收到客户端发送的该哈希值后,可识别出该哈希值对应的文件为病毒文件还是正常文件,提高管理端识别病毒文件的识别率。当管理端接收到云端返回的查询结果后,管理端将该查询结果发送给客户端,以根据该查询结果告知客户端目标文件是病毒文件、正常文件还是可疑文件。进一步地,当管理端未接收到云端返回的查询结果时,管理端继续检测是否接收到云端返回的查询的结果。
进一步地,为了节省管理端的存储空间,当通过云端确定哈希值对应的目标文件为正常文件或者病毒文件时,管理端可在为哈希值添加属性标识后,删除查询队列中该哈希值。
本实施例通过管理端在根据云端返回的结果确定目标文件为病毒文件或者为正常文件时,将目标文件的哈希值存储至其数据库中,以增加其数据库中存储的哈希值的数量,以便于在下次接收到该哈希值的查询请求时,可以查询出该哈希值,提高了识别出病毒文件的识别率。
本发明还提供一种病毒文件的查询装置。
参照图4,图4为本发明病毒文件的查询装置第一实施例的功能模块示意图。所述病毒文件的查询装置包括:
第一检测模块10,用于当侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
生成模块20,用于若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
第一发送模块30,用于将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
进一步地,所述第一检测模块10包括:
获取单元,用于当侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令获取所述客户端文件的文件特征信息;
对比单元,用于将所述文件特征信息分别与预存的病毒特征信息和正常特征信息进行对比;
确定单元,用于若所述文件特征信息与所述病毒特征信息和所述正常特征信息都不一致,则确定与所述病毒特征信息和所述正常特征信息都不一致的文件特征信息对应的文件为目标文件。
进一步地,所述第一发送模块30还用于将所述第二查询请求发送给云端,以供所述云端根据所述第二查询请求检测所述目标文件是否为病毒文件。
进一步地,参照图5,图5为本发明病毒文件的查询装置第二实施例的功能模块示意图。所述病毒文件的查询装置包括:
第二检测模块40,用于当接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
第二发送模块50,用于若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
进一步地,所述第二发送模块50包括:
存储单元,用于若检测到所述数据库中未存在所述哈希值,则将所述哈希值存储至查询队列中;
检测单元,用于检测所述查询队列中是否存在与所述哈希值一致的数值;
发送单元,用于若所述查询队列中不存在与所述哈希值一致的数值,则将所述查询队列中的哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
进一步地,所述第二发送模块50还包括:
处理模块,用于若检测到所述查询队列中存在与所述哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值。
进一步地,所述病毒文件的查询装置还包括:
存储模块,用于若根据所述云端返回的查询结果确定所述哈希值对应的目标文件为病毒文件或者为正常文件,则将所述哈希值存储至所述数据库中;
所述第二发送模块50还用于将所述查询结果发送给客户端。
进一步地,所述第二发送模块50还用于生成查询失败的失败消息,并将所述失败消息发送给所述客户端。
本发明病毒文件的查询装置具体实施方式与上述病毒文件的查询方法各实施例基本相同,在此不再赘述。
此外,本发明实施例还提出一种计算机可读存储介质。
计算机可读存储介质上存储有病毒文件的查询程序,病毒文件的查询程序被处理器执行时实现如上所述的病毒文件的查询方法的步骤。
本发明计算机可读存储介质具体实施方式与上述病毒文件的查询方法各实施例基本相同,在此不再赘述。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,这些均属于本发明的保护之内。

Claims (13)

1.一种病毒文件的查询方法,其特征在于,所述病毒文件的查询方法包括以下步骤:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
2.如权利要求1所述的病毒文件的查询方法,其特征在于,所述当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件的步骤包括:
当客户端侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令获取所述客户端文件的文件特征信息;
将所述文件特征信息分别与预存的病毒特征信息和正常特征信息进行对比;
若所述文件特征信息与所述病毒特征信息和所述正常特征信息都不一致,则确定与所述病毒特征信息和所述正常特征信息都不一致的文件特征信息对应的文件为目标文件。
3.如权利要求1或2所述的病毒文件的查询方法,其特征在于,所述若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求的步骤之后,还包括:
将所述第二查询请求发送给云端,以供所述云端根据所述第二查询请求检测所述目标文件是否为病毒文件。
4.一种病毒文件的查询方法,其特征在于,所述病毒文件的查询方法包括以下步骤:
当管理端接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
5.如权利要求4所述的病毒文件的查询方法,其特征在于,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤包括:
若检测到所述数据库中未存在所述哈希值,则将所述哈希值存储至查询队列中,并检测所述查询队列中是否存在与所述哈希值一致的数值;
若所述查询队列中不存在与所述哈希值一致的数值,则将所述查询队列中的哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
6.如权利要求5所述的病毒文件的查询方法,其特征在于,所述检测所述查询队列中是否存在与所述哈希值一致的数值的步骤之后,还包括:
若检测到所述查询队列中存在与所述哈希值一致的数值,则删除所述哈希值,或者删除所述查询队列中与所述哈希值数值相等的其它哈希值。
7.如权利要求4所述的病毒文件的查询方法,其特征在于,所述若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件的步骤之后,还包括:
若根据所述云端返回的查询结果确定所述哈希值对应的目标文件为病毒文件或者为正常文件,则将所述哈希值存储至所述数据库中,并将所述查询结果发送给客户端。
8.如权利要求4至7任一项所述的病毒文件的查询方法,其特征在于,在检测到所述数据库中未存在所述哈希值的步骤之后,还包括:
生成查询失败的失败消息,并将所述失败消息发送给所述客户端。
9.一种病毒文件的查询装置,其特征在于,所述病毒文件的查询装置包括:
第一检测模块,用于当侦测到在本地进行病毒查询的第一查询指令后,根据所述第一查询指令检测是否存在属性无法确定的目标文件;
生成模块,用于若存在属性无法确定的目标文件,则生成携带所述目标文件哈希值的第二查询请求;
第一发送模块,用于将所述第二查询请求发送给管理端,以供所述管理端根据所述第二查询请求查询所述目标文件是否为病毒文件。
10.一种病毒文件的查询装置,其特征在于,所述病毒文件的查询装置包括:
第二检测模块,用于当接收到客户端发送的,携带目标文件哈希值的第二查询请求后,检测管理端的数据库中是否存在所述哈希值;
第二发送模块,用于若检测到所述数据库中未存在所述哈希值,则将所述哈希值发送给云端,以供所述云端检测所述哈希值对应的目标文件是否为病毒文件。
11.一种病毒文件的查询客户端,其特征在于,所述病毒文件的查询客户端包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的病毒文件的查询程序,所述病毒文件的查询程序被所述处理器执行时实现如权利要求1至3中任一项所述的病毒文件的查询方法的步骤。
12.一种病毒文件的查询管理端,其特征在于,所述病毒文件的查询管理端包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的病毒文件的查询程序,所述病毒文件的查询程序被所述处理器执行时实现如权利要求4至8中任一项所述的病毒文件的查询方法的步骤。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有病毒文件的查询程序,所述病毒文件的查询程序被处理器执行时实现如权利要求1至8中任一项所述的病毒文件的查询方法的步骤。
CN201910365979.5A 2019-04-29 2019-04-29 病毒文件的查询方法、装置、客户端、管理端及存储介质 Pending CN110084041A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910365979.5A CN110084041A (zh) 2019-04-29 2019-04-29 病毒文件的查询方法、装置、客户端、管理端及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910365979.5A CN110084041A (zh) 2019-04-29 2019-04-29 病毒文件的查询方法、装置、客户端、管理端及存储介质

Publications (1)

Publication Number Publication Date
CN110084041A true CN110084041A (zh) 2019-08-02

Family

ID=67418398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910365979.5A Pending CN110084041A (zh) 2019-04-29 2019-04-29 病毒文件的查询方法、装置、客户端、管理端及存储介质

Country Status (1)

Country Link
CN (1) CN110084041A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111400712A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 文件的病毒查杀方法、设备、装置以及计算机存储介质
CN113676489A (zh) * 2021-09-13 2021-11-19 深信服科技股份有限公司 一种威胁文件处置方法、装置及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102945348A (zh) * 2012-10-19 2013-02-27 北京奇虎科技有限公司 文件信息收集方法与装置
CN103020520A (zh) * 2012-11-26 2013-04-03 北京奇虎科技有限公司 一种基于企业的文件安全检测方法和系统
CN103034808A (zh) * 2012-11-30 2013-04-10 北京奇虎科技有限公司 扫描方法、设备和系统以及云端管理方法和设备
CN103049697A (zh) * 2012-11-26 2013-04-17 北京奇虎科技有限公司 针对企业的文件检测方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102945348A (zh) * 2012-10-19 2013-02-27 北京奇虎科技有限公司 文件信息收集方法与装置
CN103020520A (zh) * 2012-11-26 2013-04-03 北京奇虎科技有限公司 一种基于企业的文件安全检测方法和系统
CN103049697A (zh) * 2012-11-26 2013-04-17 北京奇虎科技有限公司 针对企业的文件检测方法和系统
CN103034808A (zh) * 2012-11-30 2013-04-10 北京奇虎科技有限公司 扫描方法、设备和系统以及云端管理方法和设备

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111400712A (zh) * 2020-03-17 2020-07-10 深信服科技股份有限公司 文件的病毒查杀方法、设备、装置以及计算机存储介质
CN113676489A (zh) * 2021-09-13 2021-11-19 深信服科技股份有限公司 一种威胁文件处置方法、装置及介质
CN113676489B (zh) * 2021-09-13 2023-03-24 深信服科技股份有限公司 一种威胁文件处置方法、装置及介质

Similar Documents

Publication Publication Date Title
US11997115B1 (en) Message platform for automated threat simulation, reporting, detection, and remediation
US11019094B2 (en) Methods and systems for malicious message detection and processing
AU2012308630B2 (en) Providing a network-accessible malware analysis
EP2859495B1 (en) Malicious message detection and processing
US20160164893A1 (en) Event management systems
US10986104B2 (en) Remote malware scanning capable of static and dynamic file analysis
US20090064335A1 (en) Instant messaging malware protection
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
US8250138B2 (en) File transfer security system and method
US10127382B2 (en) Malware detection method
US10887261B2 (en) Dynamic attachment delivery in emails for advanced malicious content filtering
WO2014082599A1 (zh) 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
CN110084041A (zh) 病毒文件的查询方法、装置、客户端、管理端及存储介质
EP3195140B1 (en) Malicious message detection and processing
US11063975B2 (en) Malicious content detection with retrospective reporting
CN108052826A (zh) 基于数据防泄漏终端的分布式敏感数据扫描方法及系统
Lee et al. Design of integrated messenger anti-virus system using chatbot service
US11257090B2 (en) Message processing platform for automated phish detection
US11636198B1 (en) System and method for cybersecurity analyzer update and concurrent management system
US11770388B1 (en) Network infrastructure detection
JP7268742B2 (ja) ポリシー評価装置、制御方法、及びプログラム
US11151248B1 (en) Increasing zero-day malware detection throughput on files attached to emails
JP6900328B2 (ja) 攻撃種別判定装置、攻撃種別判定方法、及びプログラム
CN117857209A (zh) 一种邮件安全检测方法、装置和系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190802

RJ01 Rejection of invention patent application after publication