CN114844669B

CN114844669B - 数据的处理方法及装置

Info

Publication number: CN114844669B
Application number: CN202210266119.8A
Authority: CN
Inventors: 陈美伶; 曾炜; 郑培钿; 李杰一
Original assignee: Industrial and Commercial Bank of China Ltd ICBC
Current assignee: Industrial and Commercial Bank of China Ltd ICBC
Priority date: 2022-03-17
Filing date: 2022-03-17
Publication date: 2024-01-30
Anticipated expiration: 2042-03-17
Also published as: CN114844669A

Abstract

本申请涉及网络安全技术领域，尤其涉及数据的处理方法及装置。本申请的数据的处理方法包括：获取待处理文件，该待处理文件位于服务器的临时目录中，临时目录的权限包括外界无法直接访问；清除待处理文件中的木马文件，得到第一文件；根据哈希hash算法和预设文件后缀，对第一文件进行格式和文件名更改，得到第二文件；将第二文件存储至第一预设目录下的缓存路径中，该第一预设目录的权限包括应用读操作。本申请提供的数据的处理方法可以有效防御木马文件攻击，进而提高服务器的安全性。

Description

数据的处理方法及装置

技术领域

本申请涉及网络安全技术领域，尤其涉及数据的处理方法及装置。

背景技术

随着互联网的普及和相关技术的发展，应用中需要客户端进行文件上传的使用场景非常广泛，例如，应用中要求客户端进行身份证信息上传以验证用户身份认证、社交网站中要求客户端进行照片、视频文件上传等。随之而来利用的文件上传进行网络攻击的手段也越来越多，当一些恶意脚本或文件木马被上传到服务器，并且被服务器所读取和解析时，网站就会面临被侵入的威胁。

通常情况下，木马文件通过伪装上传，隐蔽性非常高，木马攻击方式主要是黑客将木马文件伪装为符合检测要求的上传文件格式(例如将木马文件伪装为图片格式xx.php.jpg)上传至服务器。目前相关技术中，在服务器应对文件上传的木马攻击时，利用服务器检测程序，主要是对文件扩展名进行判断(例如判断文件是否为合法图片.jpg，.png，.bmp或.gif)，若木马文件被认为是符合要求的文件并上传至服务器，攻击者再通过在文件名后缀中插入隔断字符，使最后的图片文件格式无法被系统读取解析，最终实现木马文件成为可执行的代码。

然而，现有的文件上传检测方式错漏率高，安全性低，已无法满足网络防御的需要。

因此，如何有效防御木马文件攻击，提高服务器的安全性成为亟待解决的技术问题。

发明内容

本申请提供数据的处理方法及装置，可以有效防御木马文件攻击，提高服务器的安全性。

第一方面，本申请提供一种数据的处理方法，应用于服务器，所述方法包括：获取待处理文件，所述待处理文件位于所述服务器的临时目录中，所述临时目录的权限包括外界无法直接访问；清除所述待处理文件中的木马文件，得到第一文件；根据哈希算法和预设文件后缀，对所述第一文件进行格式和文件名更改，得到第二文件；将所述第二文件存储至第一预设目录下的缓存路径中，所述第一预设目录的权限包括应用读操作。

该方面中，对待处理文件进行随机重命名与指定格式，最后再对其进行指定根目录转存，可以免去应用对文件的错判，确保木马文件不被执行，且执行目录没有执行权限，进而可以保证文件无法被入侵越权，提高安全性。

结合第一方面，在一种可能的实现方式中，所述第一预设目录包括至少一个文件存储目录，所述第二文件包括至少一个第二子文件；相应的，所述将所述第二文件存储至第一预设目录下的缓存路径中，包括：将所述至少一个第二子文件随机分别存储至所述至少一个文件存储目录下的缓存路径中。

该实现方式中，第一预设目录包括多个小的文件存储目录，使得子文件可以分开存储，避免一个目录下出现太多子文件，造成存储混乱。

结合第一方面，在一种可能的实现方式中，所述获取待处理文件之前，所述方法还包括：获取待上传文件，所述待上传文件包括正常路径传输的文件和意外引入文件；对所述待上传文件进行后缀检测、内容类型检测以及文件头检测；将所述后缀检测、所述内容类型检测以及所述文件头检测均正常的待上传文件，作为所述待处理文件；将所述待处理文件存储至所述临时目录中。

该实现方式中，对上传文件进行后缀检测、内容类型检测以及文件头检测，将检测均正常的作为待处理文件，可以初步过滤一些明显的异常文件，方便文件后续的处理。

结合第一方面，在一种可能的实现方式中，所述方法还包括：将所述后缀检测、所述内容类型检测以及所述文件头检测中任一项异常的待上传文件清除。

该实现方式中，将检测异常的文件清除，可以要求用户重新上传，进而保证文件的安全性。

结合第一方面，在一种可能的实现方式中，所述方法还包括：以第一预设时间间隔扫描第二预设目录下的第三文件，所述第三文件包括至少一个第三子文件；根据所述至少一个第三子文件的上传时间和后缀，与所述第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断所述至少一个第三子文件中是否存在第一意外引入文件；若所述第三文件中存在第一意外引入文件，将所述第一意外引入文件作为所述待上传文件。

该实现方式中，定时扫描指定目录下的文件，看是否有意外引入的文件，若有，则将该意外引入的文件进行后缀检测、内容类型检测以及文件头检测，以及后续的重命名、转存等处理，进而保证意外引入文件的可靠性，提高服务器的安全性。

结合第一方面，在一种可能的实现方式中，所述方法还包括：在所述服务器的当前负荷低于预设负荷阈值时，以第二预设时间间隔扫描除所述第二预设目录以外的目录下的第四文件，所述第四文件包括至少一个第四子文件；根据所述至少一个第四子文件的上传时间和后缀，与所述第二预设时间间隔之前的第四文件中的至少一个第四子文件进行比对，判断所述至少一个第四子文件中是否存在第二意外引入文件；若所述第四文件中存在第二意外引入文件，将所述第二意外引入文件作为所述待上传文件。

该实现方式中，在服务器的低流量时段，定时扫描其他目录下的文件，看是否有意外引入的文件，若有，则将该意外引入的文件进行后缀检测、内容类型检测以及文件头检测，以及后续的重命名、转存等处理，进而保证意外引入文件的可靠性，提高服务器的安全性。

第二方面，本申请提供一种数据的处理装置，所述装置包括：获取模块，用于获取待处理文件，所述待处理文件位于服务器的临时目录中，所述临时目录的权限包括外界无法直接访问；清除模块，用于清除所述待处理文件中的木马文件，得到第一文件；更改模块，用于根据哈希算法和预设文件后缀，对所述第一文件进行格式和文件名更改，得到第二文件；存储模块，用于将所述第二文件存储至第一预设目录下的缓存路径中，所述第一预设目录的权限包括应用读操作。

结合第二方面，在一种可能的实现方式中，所述第一预设目录包括至少一个文件存储目录，所述第二文件包括至少一个第二子文件；相应的，所述存储模块具体用于：将所述至少一个第二子文件随机分别存储至所述至少一个文件存储目录下的缓存路径中。

结合第二方面，在一种可能的实现方式中，所述装置还包括：检测模块和处理模块；所述获取模块还用于获取待上传文件，所述待上传文件包括正常路径传输的文件和意外引入文件；所述检测模块用于对所述待上传文件进行后缀检测、内容类型检测以及文件头检测；所述处理模块用于将所述后缀检测、所述内容类型检测以及所述文件头检测均正常的待上传文件，作为所述待处理文件；所述存储模块还用于将所述待处理文件存储至所述临时目录中。

结合第二方面，在一种可能的实现方式中，所述清除模块还用于将所述后缀检测、所述内容类型检测以及所述文件头检测中任一项异常的待上传文件清除。

结合第二方面，在一种可能的实现方式中，所述装置还包括：扫描模块，用于以第一预设时间间隔扫描第二预设目录下的第三文件，所述第三文件包括至少一个第三子文件；所述处理模块还用于根据所述至少一个第三子文件的上传时间和后缀，与所述第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断所述至少一个第三子文件中是否存在第一意外引入文件；若所述第三文件中存在第一意外引入文件，所述处理模块还用于将所述第一意外引入文件作为所述待上传文件。

结合第二方面，在一种可能的实现方式中，所述扫描模块还用于在所述服务器的当前负荷低于预设负荷阈值时，以第二预设时间间隔扫描除所述第二预设目录以外的目录下的第四文件，所述第四文件包括至少一个第四子文件；所述处理模块还用于根据所述至少一个第四子文件的上传时间和后缀，与所述第二预设时间间隔之前的第四文件中的至少一个第四子文件进行比对，判断所述至少一个第四子文件中是否存在第二意外引入文件；若所述第四文件中存在第二意外引入文件，所述处理模块还用于将所述第二意外引入文件作为所述待上传文件。

第三方面，本申请提供一种服务器，包括：存储器和处理器；所述存储器用于存储程序指令；所述处理器用于调用所述存储器中的程序指令执行如第一方面或者其中任意一种可能的实现方式所述的方法。

第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如第一方面或者其中任意一种可能的实现方式所述的方法。

第五方面，本申请提供一种计算机程序产品，所述计算机程序产品中包括计算机程序，所述计算机程序被处理器执行时用于实现如第一方面或者其中任意一种可能的实现方式所述的方法。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请一个实施例提供的应用场景示意图；

图2为本申请一个实施例提供的数据的处理方法流程图；

图3为本申请一个实施例提供的数据处理系统的结构示意图；

图4为本申请一个实施例提供的数据的处理方法的整体流程图；

图5为本申请一个实施例提供的数据的处理装置示意图；

图6为本申请另一个实施例提供的装置示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

图1为本申请一个实施例提供的应用场景示意图，该场景包括客户端101和服务器102。客户端101和服务器102之间可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

可选地，在应用程序运行的过程中，为满足应用需求，需要通过客户端101上传文件，相应地，服务器102接收客户端101上传的文件，以执行相应操作。

例如，应用中要求客户端101将身份证信息上传至服务器102，以验证用户身份认证；或社交网站中要求客户端101进行照片、视频文件上传至服务器102中等。

随着互联网的普及和相关技术的发展，应用需要客户端101进行文件上传的应用场景非常广泛，随之而来利用文件上传进行网络攻击的手段也越来越多，当一些恶意脚本或文件木马被上传到服务器102，并且被服务器102所读取和解析时，网站就会面临被侵入的威胁。

通常情况下，木马文件通过伪装上传，隐蔽性非常高，木马攻击方式主要是黑客将木马文件伪装为符合检测要求的上传文件格式(例如将木马文件伪装为图片格式xx.php.jpg)上传至服务器。

目前相关技术中，在服务器应对文件上传的木马攻击时，利用服务器检测程序，主要是对文件扩展名进行判断(例如判断文件是否为合法图片.jpg，.png，.bmp或.gif)，若木马文件被认为是符合要求的文件并上传至服务器，攻击者再通过在文件名后缀中插入隔断字符，使最后的图片文件格式无法被系统读取解析，最终实现木马文件成为可执行的代码。

然而，现有的文件上传检测方式错漏率高，安全性低，已无法满足网络防御的需要，另外，因应用普遍引入开源代码与开源模块，在实际中经常会因为意外引入文件上传功能，而应用开发者因疏忽而未能发现，同时木马文件上传有时候会绕过的判断过滤，导致攻击者有利用可行性，将木马文件直接存储在系统中。

有鉴于此，本申请提供数据的处理方法，旨在解决现有技术的如上技术问题。

下面以具体的实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

结合图1所示的应用场景，图2为本申请一个实施例提供的数据的处理方法流程图，应用于服务器102。如图2所示，本申请实施例提供的方法包括S201、S202、S203和S204。下面详细说明图2所示的方法中的各个步骤。

S201，获取待处理文件，该待处理文件位于服务器的临时目录中，临时目录的权限包括外界无法直接访问。

该步骤中，在从临时目录中获取待处理文件之前，首先获取待上传文件，待上传文件包括用户通过正常路径传输的文件和意外引入文件；对待上传文件进行后缀检测、内容类型检测以及文件头检测，将后缀检测、内容类型检测以及文件头检测均正常的待上传文件，作为待处理文件，并存储至临时目录中。

具体地，对待上传文件进行后缀检测，是将待上传文件的后缀与正常文件的后缀进行比对，将正常后缀的文件进行下一步处理，异常后缀的文件进行删除，告警并要求用户重新上传文件。例如判断文件为图片时其后缀是否为合法后缀“.jpg，.png，.bmp或.gif”。

对待上传文件进行内容类型检测，即通过内容类型(content-type)进行判断，通过控制接收文件的多用途互联网邮件扩展类型(multipurpose internet mailextensions，MIME)进行判断。其中，content-type用于定义网络文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件；MIME是描述消息内容类型的因特网标准，一般用户上传的文件在content-type中会有特定的标示。进一步地，将正常内容类型的文件进行下一步处理，异常内容类型的文件进行删除，告警并要求用户重新上传文件。

对待上传文件进行文件头检测，即通过文件流判断文件头，其中，文件流包括字节输入流、字节输出流、字符输入流和字符输出流。进一步地，将正常文件头的文件进行下一步处理，异常文件头的文件进行删除，告警并要求用户重新上传文件。

服务器接收经过上述后缀检测、内容类型检测以及文件头检测均正常的待上传文件，并将其存储在服务器的一个临时目录中，该临时目录为服务器中临时创建且外界不可直接访问的目录。

可选地，待上传文件中的意外引入文件是通过应用新增的文件防护功能进行定时定点扫描得到的，且对没有在应用功能规划内的意外引入文件进行告警并转存隔离。

例如，以第一预设时间间隔扫描第二预设目录下的第三文件，第三文件包括至少一个第三子文件，根据至少一个第三子文件的上传时间和后缀，与第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断至少一个第三子文件中是否存在第一意外引入文件，若第三文件中存在第一意外引入文件，将所述第一意外引入文件作为待上传文件，否则结束扫描。

再如，在服务器的当前负荷低于预设负荷阈值时，即在服务器的低流量时段，以第二预设时间间隔扫描除第二预设目录以外的目录下的第四文件，第四文件包括至少一个第四子文件，根据至少一个第四子文件的上传时间和后缀，与第二预设时间间隔之前的第四文件中的至少一个第四子文件进行比对，判断至少一个第四子文件中是否存在第二意外引入文件，若第四文件中存在第二意外引入文件，将第二意外引入文件作为待上传文件，否则结束扫描。

S202，清除待处理文件中的木马文件，得到第一文件。

该步骤中，利用服务器的杀毒软件对上述步骤中得到的待处理文件进行扫描，清除其中的木马文件。

可选地，服务器的杀毒软件还对待处理文件进行实时监控，定期扫描新上传的文件，清除其中的木马文件。

S203，根据哈希算法和预设文件后缀，对第一文件进行格式和文件名更改，得到第二文件。

该步骤中，对经过上述步骤中杀毒后的安全干净的文件进行格式和文件名更改，具体地，使用哈希(hash)算法对文件进行重命名，即hash因子采用26位时间戳加上原文件名加上20位随机数，得到新的文件名。同时，服务器强指定文件后缀，即使用预设文件后缀对文件的格式进行更改。

可选地，hash算法是将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值，哈希值是一段数据唯一且极其紧凑的数值表示形式，hash算法的意义在于提供了一种快速存取数据的方法，它用一种算法建立键值与真实值之间的对应关系。

S204，将第二文件存储至第一预设目录下的缓存路径中，第一预设目录的权限包括应用读操作。

其中，第一预设目录包括至少一个文件存储目录，第二文件包括至少一个第二子文件，将至少一个第二子文件随机分别存储至至少一个文件存储目录下的缓存路径中。

该步骤中，为了防止一个目录下面出现太多文件，设置多个文件存储目录，使用hash算法将文件进行打散存储，避免存储混乱，方便后续处理。且由于转存后的文件不再具备可执行程序功能，因此将文件存档在预设的指定存储目录，不会对原有系统构成影响。

该实施例中，通过将对所有用户主动上传文件和意外引入文件进行检测后的正常文件，通过应用本身病毒扫描系统进行恶意代码扫描，同时在服务器后端进行随机数的重命名，然后强制指定文件后缀并转存至指定目录，指定目录设置为只允许应用读操作权限。客户端上传文件按照随机重命名与指定格式、指定目录进行转存，既能够免去应用对文件错判，又能确保木马文件不被执行，另外目录没有执行权限，也可保证无法被入侵越权，提高服务器的安全性。

另外针对应用有可能在无意间引入文件上传功能，或整体防护流程被绕过，本申请实施例同时设计文件新增防护功能，在应用目录下，不间断扫描新增文件，对所有非许可用户新增的文件，对没有在应用功能规划内的新增文件进行告警并删除。

在上述实施例的基础上，图3为本申请一个实施例提供的数据的处理系统的结构示意图，该系统应用于上述实施例中的服务器102，该数据的处理系统包括后端管理子系统301、文件处理子系统302和定点守护子系统303，其中，后端管理子系统301包括终端上送模块3011、终端判定模块3012和终端接收模块3013，文件处理子系统302包括病毒扫描模块3021和文件存储模块3022，定点守护子系统303包括定时监控模块3031和扫描处理模块3032。

终端上送模块3011用于用户上送文件，即用户通过客户端上传文件。

终端判定模块3012用于判定上送文件的格式，即上述步骤中对上送文件进行后缀检测、内容类型检测以及文件头检测。

终端接收模块3013用于接收符合初判要求的文件，即将上述检测结果均正常的文件存储至服务器的临时目录中。

病毒扫描模块3021用于对接收的文件进行病毒扫描，即对上述临时目录中的文件利用杀毒软件进行扫描，清除其中的木马文件。

文件存储模块3022对接收的文件进行重命名和转存，即将上述清除过木马的文件进行随机重命名和指定格式，转存至指定目录下。

定时监控模块3031用于建立定时监控机制，首次建立守护系统生成文件目录，定时触发文件扫描。

扫描处理模块3032用于扫描意外引入文件，并对其进行下一步处理。

从图3中可以看出，经后端管理子系统301和定点守护子系统303得到的文件都会传送至文件处理子系统302进行下一步处理，即通过应用病毒扫描模块3021进行恶意代码扫描，同时使用文件存储模块3022对接收的文件进行重命名，然后强制指定文件后缀并转存至指定目录。

作为一种示例，在上述实施例的基础上，图4为本申请一个实施例提供的数据的处理方法的整体流程图。如图4所示，该数据的处理方法的整体流程包括S401、S402、S403、S404、S405、S406、S407、S408、S409、S410、S411、S412和S413。下面详细说明图4所示的方法中的各个步骤。

S401，获取上传文件。

该步骤中，获取用户上传至服务器的文件。

S402，检测文件后缀。

S403，检测文件内容类型。

该步骤中，通过content-type进行判断，进而控制接收文件的MIME进行判断。

S404，检测头文件。

该步骤中，通过文件流判断文件头。

S405，判断文件是否符合要求，若是，则执行S407，否则执行S406。

S406，告警并删除文件。

S407，接收并存储文件。

该步骤中，服务器接收上述步骤中检测均正常的文件，将其存储至临时目录下的缓存路径中。

S408，清除文件中的木马。

该步骤中，使用服务器自身的杀毒软件扫描临时目录下的文件，清除其中的木马文件。

S409，对文件进行重命名和格式更改。

该步骤中，对文件进行格式和文件名更改，具体地，使用哈希(hash)算法对文件进行重命名，即hash因子采用26位时间戳加上原文件名加上20位随机数，得到新的文件名。同时，服务器强指定文件后缀，即使用预设文件后缀对文件的格式进行更改。

S410，对文件进行转存。

该步骤中，将上述经过重命名和指定格式更改后的文件存储至指定目录的缓存路径中，指定目录的权限为只读权限。

S411，定点触发启动扫描所有文件。

S412，判断是否存在意外引入文件，若是，则执行S402，否则执行S413。

该步骤中，若存在意外引入文件，则将该意外引入文件进行步骤S402乃至后续的检测和处理，确保意外引入文件不会对服务器进行木马攻击。

S413，结束。

该数据的处理方法可以有效安全的防御木马上传攻击，加固传统文件判断规则，避免漏判；同时对文件进行重命名，扫毒，转存，可以确保木马文件无法被利用，进一步地，定点对引入文件进行扫描，确保引入文件无风险，提高服务器的安全性。

图5示出了本申请一个实施例提供的数据的处理装置500，该装置500包括：获取模块501、清除模块502、更改模块503、存储模块504、检测模块505、处理模块506和扫描模块507。

其中，获取模块501，用于获取待处理文件，待处理文件位于服务器的临时目录中，临时目录的权限包括外界无法直接访问；清除模块502，用于清除待处理文件中的木马文件，得到第一文件；更改模块503，用于根据哈希hash算法和预设文件后缀，对第一文件进行格式和文件名更改，得到第二文件；存储模块504，用于将第二文件存储至第一预设目录下的缓存路径中，第一预设目录的权限包括应用读操作。

作为一种示例，装置500可以用于执行图2所示的方法，例如，获取模块501用于执行S201，清除模块502用于执行S202，更改模块503用于执行S203，存储模块504应用执行S204。

在一种可能的实现方式中，第一预设目录包括至少一个文件存储目录，第二文件包括至少一个第二子文件；相应的，存储模块504具体用于：将至少一个第二子文件随机分别存储至至少一个文件存储目录下的缓存路径中。

在一种可能的实现方式中，数据的处理装置500还包括：检测模块505和处理模块506；获取模块501还用于获取待上传文件，待上传文件包括正常路径传输的文件和意外引入文件；检测模块505用于对待上传文件进行后缀检测、内容类型检测以及文件头检测；处理模块506用于将后缀检测、内容类型检测以及文件头检测均正常的待上传文件，作为待处理文件；存储模块504还用于将待处理文件存储至临时目录中。

在一种可能的实现方式中，清除模块502还用于将后缀检测、内容类型检测以及文件头检测中任一项异常的待上传文件清除。

在一种可能的实现方式中，数据的处理装置500还包括：扫描模块507，用于以第一预设时间间隔扫描第二预设目录下的第三文件，第三文件包括至少一个第三子文件；处理模块506还用于根据至少一个第三子文件的上传时间和后缀，与第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断至少一个第三子文件中是否存在第一意外引入文件；若第三文件中存在第一意外引入文件，处理模块506还用于将第一意外引入文件作为待上传文件。

在一种可能的实现方式中，扫描模块507还用于在服务器的当前负荷低于预设负荷阈值时，以第二预设时间间隔扫描除第二预设目录以外的目录下的第四文件，第四文件包括至少一个第四子文件；处理模块506还用于根据至少一个第四子文件的上传时间和后缀，与第二预设时间间隔之前的第四文件中的至少一个第四子文件进行比对，判断至少一个第四子文件中是否存在第二意外引入文件；若第四文件中存在第二意外引入文件，处理模块506还用于将第二意外引入文件作为待上传文件。

图6为本申请另一个实施例提供的装置示意图。图6所示的装置可以用于执行前述任意一个实施例所述的方法。

如图6所示，本实施例的装置600包括：存储器601、处理器602、通信接口603以及总线604。其中，存储器601、处理器602、通信接口603通过总线604实现彼此之间的通信连接。

存储器601可以是只读存储器(read only memory，ROM)，静态存储设备，动态存储设备或者随机存取存储器(random access memory，RAM)。存储器601可以存储程序，当存储器601中存储的程序被处理器602执行时，处理器602用于执行上述实施例中所示的方法的各个步骤。

处理器602可以采用通用的中央处理器(central processing unit，CPU)，微处理器，应用专用集成电路(application specific integrated circuit，ASIC)，或者一个或多个集成电路，用于执行相关程序，以实现本申请实施例中所示的各个方法。

处理器602还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请实施例的方法的各个步骤可以通过处理器602中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器602还可以是通用处理器、数字信号处理器(digital signalprocessing，DSP)、ASIC、现成可编程门阵列(field programmable gate array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器601，处理器602读取存储器601中的信息，结合其硬件完成本申请装置包括的单元所需执行的功能。

通信接口603可以使用但不限于收发器一类的收发装置，来实现装置600与其他设备或通信网络之间的通信。

总线604可以包括在装置600各个部件(例如，存储器601、处理器602、通信接口603)之间传送信息的通路。

应理解，本申请实施例所示的装置600可以是电子设备，或者，也可以是配置于电子设备中的芯片。

需要说明的是，本申请中的数据的处理方法及装置可用于网络安全技术领域，也可用于除网络安全技术领域以外的任意领域。本申请对该数据的处理方法及装置的应用领域不作限定。

应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况，其中A，B可以是单数或者复数。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系，但也可能表示的是一种“和/或”的关系，具体可参考前后文进行理解。

本申请中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c或a-b-c，其中a，b，c可以是单个，也可以是多个。

应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器、随机存取存储器、磁碟或者光盘等各种可以存储程序代码的介质。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。

Claims

1.一种数据的处理方法，其特征在于，应用于服务器，所述方法包括：

获取待处理文件，所述待处理文件位于所述服务器的临时目录中，所述临时目录的权限包括外界无法直接访问；

清除所述待处理文件中的木马文件，得到第一文件；

根据哈希算法和预设文件后缀，对所述第一文件进行格式和文件名更改，得到第二文件；

将所述第二文件存储至第一预设目录下的缓存路径中，所述第一预设目录的权限包括应用读操作；

所述获取待处理文件之前，所述方法还包括：

获取待上传文件，所述待上传文件包括正常路径传输的文件和意外引入文件；

对所述待上传文件进行后缀检测、内容类型检测以及文件头检测；

将所述后缀检测、所述内容类型检测以及所述文件头检测均正常的待上传文件，作为所述待处理文件；

将所述待处理文件存储至所述临时目录中；

将所述后缀检测、所述内容类型检测以及所述文件头检测中任一项异常的待上传文件清除；

以第一预设时间间隔扫描第二预设目录下的第三文件，所述第三文件包括至少一个第三子文件；

根据所述至少一个第三子文件的上传时间和后缀，与所述第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断所述至少一个第三子文件中是否存在第一意外引入文件；

若所述第三文件中存在第一意外引入文件，将所述第一意外引入文件作为所述待上传文件。

2.根据权利要求1所述的方法，其特征在于，所述第一预设目录包括至少一个文件存储目录，所述第二文件包括至少一个第二子文件；

相应的，所述将所述第二文件存储至第一预设目录下的缓存路径中，包括：

将所述至少一个第二子文件随机分别存储至所述至少一个文件存储目录下的缓存路径中。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述服务器的当前负荷低于预设负荷阈值时，以第二预设时间间隔扫描除所述第二预设目录以外的目录下的第四文件，所述第四文件包括至少一个第四子文件；

根据所述至少一个第四子文件的上传时间和后缀，与所述第二预设时间间隔之前的第四文件中的至少一个第四子文件进行比对，判断所述至少一个第四子文件中是否存在第二意外引入文件；

若所述第四文件中存在第二意外引入文件，将所述第二意外引入文件作为所述待上传文件。

4.一种数据的处理装置，其特征在于，所述装置包括：

获取模块，用于获取待处理文件，所述待处理文件位于服务器的临时目录中，所述临时目录的权限包括外界无法直接访问；

清除模块，用于清除所述待处理文件中的木马文件，得到第一文件；

更改模块，用于根据哈希算法和预设文件后缀，对所述第一文件进行格式和文件名更改，得到第二文件；

存储模块，用于将所述第二文件存储至第一预设目录下的缓存路径中，所述第一预设目录的权限包括应用读操作；

所述装置还包括：检测模块和处理模块；

所述获取模块还用于获取待上传文件，所述待上传文件包括正常路径传输的文件和意外引入文件；所述检测模块用于对所述待上传文件进行后缀检测、内容类型检测以及文件头检测；

所述处理模块用于将所述后缀检测、所述内容类型检测以及所述文件头检测均正常的待上传文件，作为所述待处理文件；

所述存储模块还用于将所述待处理文件存储至所述临时目录中；

所述清除模块还用于将所述后缀检测、所述内容类型检测以及所述文件头检测中任一项异常的待上传文件清除；

所述装置还包括：扫描模块，用于以第一预设时间间隔扫描第二预设目录下的第三文件，所述第三文件包括至少一个第三子文件；所述处理模块还用于根据所述至少一个第三子文件的上传时间和后缀，与所述第一预设时间间隔之前的第三文件中的至少一个第三子文件进行比对，判断所述至少一个第三子文件中是否存在第一意外引入文件；若所述第三文件中存在第一意外引入文件，所述处理模块还用于将所述第一意外引入文件作为所述待上传文件。

5.一种服务器，其特征在于，包括：存储器和处理器；

所述存储器用于存储程序指令；

所述处理器用于调用所述存储器中的程序指令执行如权利要求1至3中任一项所述的方法。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1至3中任一项所述的方法。