CN115906079A - 文件检测方法、文件检测系统及文件检测装置 - Google Patents

文件检测方法、文件检测系统及文件检测装置 Download PDF

Info

Publication number
CN115906079A
CN115906079A CN202211433856.9A CN202211433856A CN115906079A CN 115906079 A CN115906079 A CN 115906079A CN 202211433856 A CN202211433856 A CN 202211433856A CN 115906079 A CN115906079 A CN 115906079A
Authority
CN
China
Prior art keywords
file
detection
detection result
detected
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211433856.9A
Other languages
English (en)
Inventor
刘弋龙
陈杰
薛锋
赵林林
童兆丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202211433856.9A priority Critical patent/CN115906079A/zh
Publication of CN115906079A publication Critical patent/CN115906079A/zh
Pending legal-status Critical Current

Links

Images

Abstract

本发明提供了一种文件检测方法、文件检测系统及文件检测装置。其中,该文件检测方法包括:服务端接收终端发送的待检测文件,其中,服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件,历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的;服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测,得到第一文件检测结果;服务端向终端发送根据第一文件检测结果得到的最终文件检测结果,能够在降低安装部署成本的同时提高检测效率,并提高检测准确性。

Description

文件检测方法、文件检测系统及文件检测装置
技术领域
本发明涉及网络安全技术领域,具体涉及一种文件检测方法、文件检测系统及文件检测装置。
背景技术
随着计算机技术和互联网的飞速发展,网络安全已经成为不可忽视的问题,为了改善不断恶化的网络环境,可以在终端安装安全防护软件对文件进行检测。
传统的文件检测方法是通过集成多个不同类型的文件检测引擎对文件进行多次检测,但是单纯的叠加文件检测引擎会增加终端的资源消耗,且效率不高;而传统的优化方式是分别在多个终端上部署多个文件检测引擎,再将多个终端连接在一起,从而在一定程度上控制了每台终端的资源占用,但是这种方式安装和部署成本较高。
发明内容
有鉴于此,本发明实施例提供了一种文件检测方法、文件检测系统及文件检测装置,能够在降低安装部署成本的同时提高检测效率,并提高检测准确性。
根据本发明实施例的第一方面,提供一种文件检测方法,包括:服务端接收终端发送的待检测文件,其中,服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件,历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的;服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,得到第一文件检测结果;服务端向终端发送根据第一文件检测结果得到的最终文件检测结果。
在本发明的一个实施例中,上述方法还包括:服务端向云端发送待检测文件,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;服务端接收云端发送的第二文件检测结果;其中,上述服务端向终端发送根据第一文件检测结果得到的最终文件检测结果,包括:服务端根据第一文件检测结果和第二文件检测结果,确定最终文件检测结果,并向终端发送最终文件检测结果。
在本发明的一个实施例中,上述服务端根据第一文件检测结果和第二文件检测结果,确定最终文件检测结果,包括:当第一文件检测结果和第二文件检测结果均表示待检测文件为恶意文件时,确定最终文件检测结果为恶意文件;或者当第一文件检测结果和第二文件检测结果均表示待检测文件为安全文件时,确定最终文件检测结果为安全文件;或者当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,服务端对待检测文件进行文件行为检测,得到最终文件检测结果,文件行为检测用于分析待检测文件的进程执行先后的行为。
在本发明的一个实施例中,上述服务端对待检测文件进行文件行为检测,得到最终文件检测结果,包括:服务端对待检测文件的进程日志进行进程执行先后的行为分析,得到进程异常类型;服务端根据进程异常类型和待检测文件的文件来源,确定最终文件检测结果。
在本发明的一个实施例中,多个第二检测引擎包括:云沙箱检测引擎、云病毒检测引擎和云网页后门检测引擎中的至少一种。
在本发明的一个实施例中,上述方法还包括:服务端向云端发送待检测文件和第一文件检测结果,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果,并根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;服务端接收云端发送的最终检测结果。
在本发明的一个实施例中,上述方法还包括:服务端向云端发送最终文件检测结果;服务端接收云端实时或定期发送的历史检测结果;服务端向终端发送历史检测结果。
在本发明的一个实施例中,上述方法还包括:服务端获取云端发送的第一检测样本库,其中,第一检测样本库包括与云端连接的多个服务端的检测样本。
在本发明的一个实施例中,上述方法还包括:服务端获取待检测文件的告警日志;服务端保存告警日志,以便于利用告警日志进行溯源分析。
在本发明的一个实施例中,上述方法还包括:服务端解析待检测文件的文件头信息,得到待检测文件的文件类型;服务端根据文件类型从多个第一检测引擎中选择第一目标检测引擎,其中第一目标检测引擎的检测范围包括文件类型,其中,上述利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,包括:利用第一目标检测引擎对待检测文件进行文件检测。
在本发明的一个实施例中,多个第一检测引擎包括:系统配置文件检测引擎、病毒检测引擎、网页后门检测引擎和可执行文件检测引擎中的至少一种。
根据本发明实施例的第二方面,提供一种文件检测方法,包括:终端获取待检测文件和历史检测结果,其中历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的;终端在历史检测结果中未记录待检测文件的检测结果时,将待检测文件发送至服务端,以便服务端对待检测文件进行文件检测。
根据本发明实施例的第三方面,提供一种文件检测方法,包括:云端接收多个服务端上报的文件检测结果;云端根据文件检测结果确定历史检测结果,历史检测结果包括多个服务端的文件检测结果;云端通过服务端向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件。
在本发明的一个实施例中,上述方法还包括:云端接收服务端发送的待检测文件和第一文件检测结果,其中,第一文件检测结果是服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测所得到的;云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;云端根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;云端通过服务端将最终文件检测结果发送至终端。
根据本发明实施例的第四方面,提供一种文件检测系统,包括终端、服务端和云端,其中,服务端获取云端的历史检测结果和第一检测样本库,并将历史检测结果发送至终端,第一检测样本库包括与云端连接的多个服务端的检测样本,历史检测结果包括与云端连接的多个服务端的历史检测记录;终端用于当历史检测结果中未记录待检测文件的文件检测结果时,将待检测文件发送至服务端;服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,获取第一文件检测结果;服务端还用于将待检测文件发送至云端;云端基于第二检测样本库,利用一个或多个第二检测引擎对待检测文件进行文件检测,获取第二文件检测结果;服务端或云端根据第一文件检测结果和第二文件检测结果,获得最终文件检测结果,并将最终文件检测结果发送至终端。
根据本发明实施例的第五方面,提供一种文件检测装置,包括:接收模块,用于服务端接收终端发送的待检测文件,其中,服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件,历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的;检测模块,用于服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,得到第一文件检测结果;发送模块,用于服务端向终端发送根据第一文件检测结果得到的最终文件检测结果。
根据本发明实施例的第六方面,提供一种文件检测装置,包括:获取模块,用于终端获取待检测文件和历史检测结果,其中历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的;发送模块,用于终端在历史检测结果中未记录待检测文件的检测结果时,将待检测文件发送至服务端,以便服务端对待检测文件进行文件检测。
根据本发明实施例的第七方面,提供一种文件检测装置,包括:接收模块,用于云端接收多个服务端上报的文件检测结果;确定模块,用于云端根据文件检测结果确定历史检测结果,历史检测结果包括多个服务端的文件检测结果;发送模块,用于云端通过服务端向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件。
根据本发明实施例的第八方面,提供一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述任一实施例所述的文件检测方法。
根据本发明实施例的第九方面,提供一种电子设备,所述电子设备包括:处理器;用于存储所述处理器可执行指令的存储器,其中,所述处理器用于执行上述任一实施例所述的文件检测方法。
根据本发明实施例提供的技术方案,通过在服务端部署的一个或多个第一检测引擎,能够降低终端的资源占用,并减少安装部署成本;通过利用终端确定历史检测结果中是否记录有待检测文件的文件检测结果,当该历史检测结果记录有该待检测文件的文件检测结果时,说明该待检测文件是全新文件,需要检测,将该待检测文件发送至服务端进行文件检测,能够避免过多的冗余检测,提高检测效率且降低资源消耗;同时,通过同步云端的历史检测结果可保证不用适配过多检测引擎就可对更多文件进行判定,增加了检测的覆盖率。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明一实施例提供的文件检测系统的框图。
图2所示为本发明一实施例提供的文件检测方法的流程示意图。
图3所示为本发明另一实施例提供的文件检测方法的流程示意图。
图4所示为本发明另一实施例提供的文件检测方法的流程示意图。
图5所示为本发明另一实施例提供的文件检测方法的流程示意图。
图6所示为本发明一实施例提供的文件检测装置的框图。
图7所示为本发明另一实施例提供的文件检测装置的框图。
图8所示为本发明另一实施例提供的文件检测装置的框图。
图9所示为本发明一实施例提供的电子设备的框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
随着计算机技术和互联网的飞速发展,网络安全已经成为不可忽视的问题,为了改善不断恶化的网络环境,可以在终端安装安全防护软件对文件进行检测。
传统的文件检测方法是通过部署文件检测引擎,利用文件检测引擎对待检测文件进行检测。但是,由于单个文件检测引擎只能支持固定的几种文件类型,能够检测的文件范围有限,存在漏检的问题。为了增加检测准确性,可以集成多个不同的文件检测引擎对文件进行多次检测,该方式虽然在一定范围内能够增加一定的准确性,但是,单纯的叠加检测引擎会增加终端的资源消耗,且检测效率较低。传统的优化方式是将多个文件检测引擎部署在多个终端上,再将多个终端连接在一起,从而在一定程度上控制了每个终端的资源占用,但是这种方式安装和部署成本较高。而且,文件检测引擎对文件检测的结果依赖于自身检测样本库,无法保证较好的准确性,容易有误判的结果。
有鉴于此,本发明提供一种文件检测系统、文件检测方法及装置,能够在降低安装部署成本的同时提高检测效率,并提高检测准确性。
图1所示为本发明一实施例提供的文件检测系统的示意图。如图1所示,该文件检测系统包括终端10、服务端20和云端30。其中,终端与服务端保持正常通信,同时在联网状态下服务端和云端保持正常通信,无网状态时则自动检测网络连接,一旦恢复网络自动恢复服务端与云端通信,使得终端、服务端、云端的执行环境处于正常连通中。
需要说明的是,该文件检测系统可以包括多个服务端和多个终端,本发明对此不作具体限定。在本实施例中,将以一个终端10、一个服务端20与云端30之间的交互为例进行说明。
云端30可以实时或定期向服务端20发送历史检测结果和第一检测样本库,或者,服务端20可以从云端30拉取已有的历史检测结果和第一检测样本库。第一检测样本库包括与云端30连接的多个服务端20的检测样本,历史检测结果包括与云端30连接的多个服务端20的历史检测记录。
服务端20获取云端30发送的历史检测结果和第一检测样本库,并将历史检测结果发送至终端10。
当终端10监测到用户通过下载或上传的行为在主机上新生成一个文件,或者对某些敏感文件进行内容修改时,终端10便对该文件进行文件检测。具体地,终端10查询历史检测结果,当历史检测结果中记录有待检测文件的检测结果时,则可以直接获取该文件的检测结果,当检测结果为恶意文件时,可直接对该文件进行相关处理,例如降低文件权限、隔离文件、删除文件等;当历史检测结果中未记录待检测文件的检测结果时,则将待检测文件发送至服务端20进行文件检测。
服务端20基于第一检测样本库,利用服务端20部署的一个或多个第一检测引擎对待检测文件进行文件检测,获取第一文件检测结果;并向终端10发送根据该第一文件检测结果得到的最终文件检测结果。
在本发明的一个实施例中,服务端20还用于将待检测文件发送至云端30;云端30基于第二检测样本库,利用一个或多个第二检测引擎对待检测文件进行文件检测,获取第二文件检测结果。服务端20或云端30根据第一文件检测结果和第二文件检测结果,获得最终文件检测结果,并将该最终文件检测结果发送至终端10。若所述最终文件检测结果为恶意文件,则终端对该文件进行相关处理,例如降低文件权限、隔离文件、删除文件等。
根据本发明实施例提供的技术方案,将终端、服务端、云端三者的数据通信通道打通,通过实时与定时同步等实现检测资源共享,可以让终端以更小的成本发挥更大的检测能力;通过将检测引擎部署在服务端和云端,能够降低终端的资源占用,并减少安装部署成本;通过共享历史检测结果,利用终端确定历史检测结果中是否记录有待检测文件的文件检测结果,当该历史检测结果记录有该待检测文件的文件检测结果时,说明该待检测文件是全新文件,需要检测,则将该待检测文件发送至服务端进行文件检测,能够避免过多的冗余检测,提高检测效率且降低资源消耗;同时,通过同步云端的历史检测结果可保证不用适配过多检测引擎就可对更多文件进行判定,增加了检测的覆盖率。
图2所示为本发明一实施例提供的文件检测方法的流程示意图。该方法可以由图1的服务端执行。如图2所示,该方法包括如下内容。
S210:服务端接收终端发送的待检测文件,其中,服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件,历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的。
具体地,历史检测结果中可以记录与云端连接的各个服务端已经检测过的文件的哈希值。应当理解,上述哈希值可以为Sha256值、MD5等,本发明对此不做具体限定。
云端可以实时或定期向服务端发送历史检测结果,并由服务端向终端发送历史检测结果;也可以是服务端从云端拉取已有的历史检测结果,并向终端发送历史检测结果;若为离线环境,可通过提供人工导入的接口定期人工导入,本发明对此不做具体限定。
待检测文件可以是用户通过下载或上传的行为在主机上新生成的文件,也可以是被用户修改的某个敏感文件。终端可以在监测到用户的上述行为时,获取该待检测文件的哈希值,并将该哈希值与历史检测结果中的哈希值进行对比;当历史检测结果中记录有该待检测文件的哈希值时,说明该待检测文件已被检测过,终端可直接给出该待检测文件的检测结果;当历史检测结果中未记录该待检测文件的哈希值时,说明该待检测文件未被检测过,为全新文件,则终端将待检测文件发送至服务端进行检测。
本发明中的历史检测结果中记录有与云端连接的多个服务端的历史检测记录,能够充分利用云端丰富的数据收集能力和数据库存,获取更丰富的历史检测结果数据,从而过滤出更多不需要检测的文件,进一步提高检测效率,并降低终端在文件检测上的资源占用。
S220:服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,得到第一文件检测结果。
在本发明的一个实施例中,云端可以实时或定期向服务端发送第一检测引擎对应的第一检测样本库;也可以是由服务端从云端拉取第一检测样本库;若为离线环境,可通过提供人工导入的接口定期人工导入,本发明对此不做具体限定。
第一检测样本库可以为第一检测引擎用于与待检测文件信息进行对比的病毒库、规则库等,本发明对此不做具体限定。其中,第一检测样本库包括与云端连接的多个服务端的检测样本,能够充分利用云端丰富的数据收集能力和数据库存,获取更丰富的检测样本数据,从而提高检测准确率。
服务端可以首先判断该待检测文件的文件类型是否在上述第一检测引擎的检测范围内,如果在该检测范围内,则利用服务端的第一检测引擎对该待检测文件进行检测。在本发明的另一个实施例中,如果不在该检测范围内,则可以将该待检测文件发送至云端进行检测,本发明对此不做具体限定。
需要说明的是,上述多个第一检测引擎可以包括系统配置文件检测引擎、病毒检测引擎、网页后门检测引擎和可执行文件检测引擎中的至少一种,本发明对第一检测引擎的类型不做具体限定。
具体地,针对系统配置文件检测引擎,可以利用系统配置文件检测引擎读取待检测文件的文件内容,分别通过全文匹配、多行匹配、单行匹配和/或特征匹配的方式与系统配置文件检测引擎内置的规则库进行比对。其中,规则库中的规则类型分为恶意和可疑(或无法判定)两大类。
例如,凡命中任何一个恶意类型规则,则可以判定该待检测文件为恶意系统配置文件;命中低于半数以下的可疑类型规则,则可以认为该待检测文件无法判定;命中高于半数以上的可疑类型规则,则可以判定该待检测文件为恶意系统配置文件。
需要说明的是,该系统配置文件检测引擎可以支持所有系统相关文件类型,文件类型包括但不限于环境变量、动态链接库、启动项、计划任务、系统配置、用户公钥等,本发明对此不做具体限定。
针对病毒检测引擎,可以通过调用第三方病毒检测引擎来进行文件检测。具体地,可以获取第三方病毒检测开发工具包的接口,并输入待检测文件,从而利用第三方病毒检测引擎进行文件检测,来获取检测结果。
需要说明的是,该第三方病毒检测引擎可支持所有文件类型,文件类型包括但不限于环境变量、动态链接库、启动项、计划任务、系统配置、用户公钥等,本发明对此不做具体限定。
针对网页后门(webshell)检测引擎,可以利用webshell检测引擎读取webshell文件内容,并对文件进行特征标签或特征向量的解析和提取;然后将提取结果输入机器学习算法模型中,并将提取的特征标签与规则库中的特征标签样本进行匹配;模型根据匹配结果进行标签打分,命中的特征标签越多,分值越高,分值7分以上则认为该文件为恶意文件,4分以下则认为该文件为安全文件,中间分值则认为该文件无法判定。
针对可执行文件检测引擎,可以利用可执行文件引擎读取可执行文件内容,并对文件进行特征标签和向量的解析和提取;然后将提取结果输入机器学习算法模型中,将提取的特征标签与规则库中的特征标签样本进行匹配;模型根据匹配结果进行标签打分,命中的特征标签越多,分值越高,分值7分以上则认为该文件为恶意文件,4分以下则认为该文件为安全文件,中间分值则认为该文件无法判定。
S230:服务端向终端发送根据第一文件检测结果得到的最终文件检测结果。
需要说明的是,上述第一文件检测结果即为服务端中部署的一个或多个第一检测引擎的检测结果。可以结合多个第一检测引擎的检测结果进行综合判断,得到最终文件检测结果。
例如,若服务端中多个第一检测引擎的检测结果均为恶意文件,则最终文件检测结果为恶意文件;若多个第一检测引擎的检测结果均为安全文件,则最终文件检测结果为安全文件;若服务端中多个第一检测引擎的检测结果中超过半数以上的检测结果为恶意文件,则最终文件检测结果为恶意文件;若服务端中多个第一检测引擎的检测结果中超过半数以下的检测结果为恶意文件,则最终文件检测结果为安全文件等,应当理解,上述规则仅为示例性描述,本发明对此不做具体限定。
根据本发明实施例提供的技术方案,通过在服务端部署的一个或多个第一检测引擎,能够降低终端的资源占用,并减少安装部署成本;通过利用终端确定历史检测结果中是否记录有待检测文件的文件检测结果,当该历史检测结果记录有该待检测文件的文件检测结果时,说明该待检测文件是全新文件,需要检测,将该待检测文件发送至服务端进行文件检测,能够避免过多的冗余检测,提高检测效率且降低资源消耗;同时,通过同步云端的历史检测结果可保证不用适配过多检测引擎就可对更多文件进行判定,增加了检测的覆盖率。
在本发明的一个实施例中,上述方法还包括:服务端向云端发送待检测文件,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;服务端接收云端发送的第二文件检测结果;其中,上述服务端向终端发送根据第一文件检测结果得到的最终文件检测结果,包括:服务端根据第一文件检测结果和第二文件检测结果,确定最终文件检测结果,并向终端发送最终文件检测结果。
也就是说,利用服务端对待检测文件进行一次检测后,还可以将该待检测文件发送至云端进行二次检测,以进一步提高检测正确性。
第二检测样本库可以为第二检测引擎用于与待检测文件信息进行对比的病毒库、规则库等,本发明对此不做具体限定。
云端接收到服务端发送的文件后,会选择相应的第二检测引擎进行检测。具体地,如果该文件为服务端已检测过的文件,则可以直接选择与服务端同类型的检测引擎进行检测;如果该文件为服务端引擎暂不支持检测的文件,则可以根据该文件的文件头信息获取文件类型,选择该文件类型对应的检测引擎进行文件检测。
上述多个第二检测引擎可以包括云沙箱检测引擎、云病毒检测引擎和云网页后门检测引擎中的至少一种,应当理解,本发明对第二检测引擎的类型不做具体限定。
例如,针对云沙箱检测引擎,其可适用于检测可检测系统配置文件,可执行文件等,本发明对此不做具体限定。具体地,可以利用云沙箱检测引擎解析该待检测文件的文件内容,提取部分关键代码与特征向量;将该部分关键代码与特征向量在沙箱中运行,获得运行结果;最终根据该运行结果获得文件的检测结果。
再例如,针对云病毒检测引擎,可以在云端集成多种(例如超过10种以上)第三方杀毒引擎,将待检测文件分别发送至每种第三方杀毒引擎,获得每种引擎的检测结果;然后根据所有引擎的检测结果,通过加权算法给出文件的检测结果。需要说明的是,云病毒检测引擎可支持所有文件类型,本发明对文件类型不做具体限定。
再例如,针对云网页后门(webshell)检测引擎,除了使用与服务端相同的特征匹配检测方式外,还可以提取部分关键代码放入容器(docker)中运行,获取运行结果;然后根据运行结果,获得待检测文件的检测结果。
在本发明的另一个实施例中,由于云端定时将历史检测结果同步给服务端和终端,为避免两次同步期间,历史检测结果发生了更新,可以在利用第二检测引擎(例如上述云沙箱检测引擎、云病毒检测引擎或云webshell检测引擎)进行检测前,获取该待检测文件的哈希值(例如Sha256值),将该哈希值与云端中当前最新版本的历史检测结果进行对比;当历史检测结果中记录有该待检测文件的哈希值时,说明该待检测文件已被检测过,可直接给出该待检测文件为恶意文件的检测结果;当历史检测结果中未记录该待检测文件的哈希值时,说明该待检测文件尚未被检测过,为全新文件,则利用第二检测引擎对其进行检测。
根据本发明实施例提供的技术方案,通过将待检测文件发送至云端进行检测,可以利用更多的检测引擎对待检测文件进行检测,能够进一步提高检测准确性。当集成多个引擎时,本实施例提供的技术方案能够解决传统多个引擎检测结果不相关的情况,根据第一文件检测结果和第二文件检测结果,给出统一的检测结果。
在本发明的一个实施例中,上述服务端根据第一文件检测结果和第二文件检测结果,确定最终文件检测结果,包括:当第一文件检测结果和第二文件检测结果均表示待检测文件为恶意文件时,确定最终文件检测结果为恶意文件;或者当第一文件检测结果和第二文件检测结果均表示待检测文件为安全文件时,确定最终文件检测结果为安全文件;或者当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,服务端对待检测文件进行文件行为检测,得到最终文件检测结果,文件行为检测用于分析待检测文件的进程执行先后的行为。
也就是说,当服务端和云端中的各个引擎的检测结果均相同时,可直接得到该待检测文件的检测结果;当各个引擎的检测结果不一致或者包含无法判定的结果时,则利用服务端对待检测文件进行进一步的文件行为检测,从而根据文件行为检测的检测结果确定最终文件检测结果。当集成多个引擎时,本实施例提供的技术方案能够解决传统多个引擎检测结果不相关的情况,根据第一文件检测结果和第二文件检测结果以及文件行为,给出统一的判定结果。
具体地,上述对待检测文件进行文件行为检测,得到最终文件检测结果,可以包括:对待检测文件的进程日志进行进程执行先后的行为分析,得到进程异常类型;根据进程异常类型和待检测文件的文件来源,确定最终文件检测结果。
具体地,上述进程日志可以包括终端上传至服务端的第一进程日志以及从云端下载至服务端的第二进程日志。
需要说明的是,可以是终端将待检测文件发送至服务端的同时,将该文件关联的第一进程日志发送至服务端的。另外,从云端下载至服务端的第二进程日志可以包括云端从其他服务端获取的与该文件关联的进程日志。
首先,可以对待检测文件的类型进行判定。若该待检测文件本身为一个可执行的进程文件,则可以直接对其进程日志进行分析;若该待检测文件为某个进程执行的目标文件,则可以对其绑定关联的进程日志进行分析。
其次,可以通过该进程日志分析进程执行先后的行为,获得进程异常类型。例如,进程异常类型可以为进程异常(频繁上传文件等行为)、账号异常(频繁登陆账号等行为)、网络异常(通过外网上传下载文件,修改敏感文件等行为)等,本发明对此不做具体限定。
再次,可以根据进程异常类型和待检测文件的文件来源,确定最终文件检测结果。其中,文件来源可以包括:外网下载/上传、内网拷贝、用户生成、邮箱等,本发明对此不做具体限定。
例如,可以将进程异常类型和文件来源的组合与规则库中的规则进行对比。例如,规则库中,满足进程异常类型为进程异常,文件来源为外网下载/上传的文件为恶意文件,若命中该规则,则认为该文件是恶意文件,未命中则认为该文件是安全文件。应当理解,上述描述仅为示例性描述,本发明对此不做具体限定。
根据本发明实施例提供的技术方案,当待检测文件的检测结果无法确定时,通过对待检测文件进行文件行为检测,能够从原本的文件内容检测的维度中跳出来,进而根据该文件的进程执行先后的行为确定检测结果,能够利用多种纬度的检测方式,以获得对文件更精准的判定结果,减少误报与漏检的情况。
应当理解,也可以在服务端和云端分别获得各个检测引擎的检测结果(即第一文件检测结果和第二文件检测结果)后,利用云端根据第一文件检测结果和第二文件检测结果确定最终文件检测结果,本发明对此不做具体限定。
具体地,服务端可以向云端发送待检测文件和第一文件检测结果,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果,并根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;服务端接收云端发送的最终检测结果。
在本发明的一个实施例中,上述方法还包括:服务端向云端发送最终文件检测结果;服务端接收云端实时或定期发送的历史检测结果;服务端向终端发送历史检测结果。
服务端可以将最终文件检测结果发送至云端,以便更新云端的历史检测结果,以便于方便终端利用历史检测结果筛选需要检测的文件,降低机器在文件检测上的资源占用。
云端可以定时或定期将历史检测结果发送至服务端,例如可以在每天晚上机器低频使用时,将当天从其它产品服务端处收集到的新的检测样本和检测记录同步到服务端,增加服务端的检测准确性。服务端将最新的历史检测结果同步至终端,增加终端历史检测结果的覆盖率,以提高终端的检测效率。
在本发明的另一个实施例中,为了增加检测准确性以及不断更新历史检测结果,云端可以对每条历史检测记录都有有效期保证,有效期过后则将该记录删除,当再次遇到相同的文件时重新检测,重新保存新的检测记录。
在本发明的一个实施例中,上述方法还包括:服务端获取待检测文件的告警日志;服务端保存告警日志,以便于利用告警日志进行溯源分析。
也就是说,在检测完该待检测文件后,可以汇总本次检测过程中的数据,例如,对文件检测引擎信息、文件信息、文件检测结果、该文件本次执行的告警日志等数据进行汇总记录,以便于使检测数据不仅仅只对当前检测负责,能够使检测数据发挥关联性的价值,提升产品的溯源分析能力,增加主机安全性。例如,可应用到EDR产品对告警的溯源分析中,增加产品的检测与溯源能力,比如:补全或丰富用户行为进程链,文件历史变化和执行链路图等,应当理解,本发明对此不做具体限定。
在本发明的一个实施例中,上述方法还包括:服务端解析待检测文件的文件头信息,得到待检测文件的文件类型;服务端根据文件类型从多个第一检测引擎中选择第一目标检测引擎,其中第一目标检测引擎的检测范围包括文件类型,其中,上述利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,包括:利用第一目标检测引擎对待检测文件进行文件检测。
也就是说,当服务端接收到终端发送的待检测文件时,可以先对该待检测文件的文件类型判断,即,解析该待检测文件的文件头信息,然后根据该文件的文件头特征标志判断文件类型;然后,判断该文件类型是否在当前多个第一检测引擎的可检测范围内;如果在可检测范围内,则利用服务端中与该文件类型对应的第一检测引擎(即第一目标检测引擎)对该待检测文件进行检测。
图3所示为本发明一实施例提供的文件检测方法的流程示意图。该方法可以由图1的终端执行。如图3所示,该方法包括如下内容。
S310:终端获取待检测文件和历史检测结果,其中历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的。
S320:终端在历史检测结果中未记录待检测文件的检测结果时,将待检测文件发送至服务端,以便服务端对待检测文件进行文件检测。
具体地,终端可以获取该待检测文件的哈希值;然后,终端将该哈希值与历史检测结果进行对比;当历史检测结果中记录有该待检测文件的哈希值时,说明该待检测文件已被检测过,可直接给出该待检测文件的检测结果;当历史检测结果中未记录该待检测文件的哈希值时,说明该待检测文件未被检测过,为全新文件,则终端将待检测文件发送至服务端进行检测。
应当理解,上述哈希值可以为Sha256值、MD5等,本发明对此不做具体限定。
需要说明的是,本发明中的历史检测结果中记录有与云端连接的多个服务端的历史检测记录,能够充分利用云端丰富的数据收集能力和数据库存,获取更丰富的历史检测结果数据,从而使终端过滤出更多不需要检测的文件,进一步提高检测效率,并降低终端在文件检测上的资源占用。
图4所示为本发明一实施例提供的文件检测方法的流程示意图。该方法可以由图1的云端执行。如图4所示,该方法包括如下内容。
S410:云端接收多个服务端上报的文件检测结果。
S420:云端根据文件检测结果确定历史检测结果,历史检测结果包括多个服务端的文件检测结果。
S430:云端通过服务端向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件。
根据发明实施例提供的技术方案,通过云端将来自多个服务端的文件检测结果通过服务端同步至终端,能够充分利用云端丰富的数据收集能力和数据库存,获取更丰富的历史检测结果数据,从而使终端过滤出更多不需要检测的文件,进一步提高检测效率,并降低终端在文件检测上的资源占用。
在本发明的另一个实施例中,上述文件检测方法还包括:云端接收服务端发送的待检测文件和第一文件检测结果,其中,第一文件检测结果是服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测所得到的;云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;云端根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;云端通过服务端将最终文件检测结果发送至终端。
上述多个第一检测引擎可以包括系统配置文件检测引擎、病毒检测引擎、网页后门检测引擎和可执行文件检测引擎中的至少一种,本发明对第一检测引擎的类型不做具体限定。
上述多个第二检测引擎可以包括云沙箱检测引擎、云病毒检测引擎和云网页后门检测引擎中的至少一种,应当理解,本发明对第二检测引擎的类型不做具体限定。
利用服务端对待检测文件进行一次检测后,还可以将该待检测文件发送至云端进行二次检测,以进一步提高检测正确性。
云端接收到服务端发送的文件后,会选择相应的第二检测引擎进行检测。具体地,如果该文件为服务端已检测过的文件,则可以直接选择与服务端同类型的检测引擎进行检测;如果该文件为服务端引擎暂不支持检测的文件,则可以根据该文件的文件头信息获取文件类型,选择该文件类型对应的检测引擎进行文件检测。
当服务端得到的第一文件检测结果和云端得到的第二文件检测结果均表示待检测文件为恶意文件时,确定最终文件检测结果为恶意文件;或者当第一文件检测结果和第二文件检测结果均表示待检测文件为安全文件时,确定最终文件检测结果为安全文件;或者当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,服务端对待检测文件进行文件行为检测,得到最终文件检测结果,文件行为检测用于分析待检测文件的进程执行先后的行为。
根据本发明实施例提供的技术方案,通过将待检测文件发送至云端进行检测,可以利用更多的检测引擎对待检测文件进行检测,能够进一步提高检测准确性;当待检测文件的检测结果无法确定时,通过对待检测文件进行文件行为检测,能够从原本的文件内容检测的维度中跳出来,进而根据该文件的进程执行先后的行为确定检测结果,能够进一步提高检测准确性。
图5所示为本发明另一实施例提供的文件检测方法的流程示意图。图5的文件检测方法为图2的实施例的例子。如图5所示,该方法包括如下内容。
S505:服务端1和服务端2向云端发送各自的文件检测结果和检测样本。
S510:云端定时或定期将历史检测结果和第一检测样本库发送至服务端1。历史检测结果包含各个服务端的文件检测结果。第一检测样本库包含各个服务端的检测样本。
S515:服务器1将历史检测结果发送至终端。
S520:终端确定待检测文件。
待检测文件可以是用户通过下载或上传的行为在主机上新生成的文件,也可以是被用户修改的某个敏感文件。终端可以在监测到用户的上述行为时,将该文件确定为待检测文件。
S525:终端判断历史检测结果中是否记录待检测文件的检测结果。
当历史检测结果中未记录该待检测文件的检测结果时,执行步骤S530;当历史检测结果中记录有该待检测文件的检测结果时,输出检测结果。
S530:终端将待检测文件发送至服务端1进行检测。
S535:服务端1判断该待检测文件的文件类型是否在服务端1部署的多个第一检测引擎的检测范围内。
如果该待检测文件的文件类型在该检测范围内,则执行步骤S580;如果不在该检测范围内,则直接执行步骤S590。
S540:服务端1基于第一检测样本库,利用服务端1部署的多个第一检测引擎对待检测文件进行文件检测,得到第一文件检测结果。
S545:服务端1将待检测文件发送至云端进行检测。
S550:云端基于第二检测样本库,利用云端部署的多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果。
云端接收到服务端1发送的文件后,会选择相应的第二检测引擎进行检测。具体地,如果该文件为服务端1已检测过的文件,则可以直接选择与服务端1同类型的检测引擎进行检测;如果该文件为服务端引擎暂不支持检测的文件,则可以根据该文件的文件头信息获取文件类型,选择该文件类型对应的检测引擎进行文件检测,获得第二文件检测结果。
S555:云端将第二文件检测结果发送至服务端1。
S560:服务端1判断第一文件检测结果和第二文件检测结果是否相同。
当第一文件检测结果和第二文件检测结果相同时,则服务端1直接获得最终文件检测结果,并执行步骤S5140;当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,执行步骤S565。
S565:服务端1对待检测文件进行文件行为检测,得到最终文件检测结果。
S570:服务端1发送最终文件检测结果至终端。
若最终文件检测结果为恶意文件,则终端对该文件进行相关处理,例如降低文件权限、隔离文件、删除文件等。
S575:服务端1发送最终文件检测结果至云端保存。
根据本发明实施例提供的技术方案,将终端、服务端、云端三者的数据通信通道打通,通过实时与定时同步等实现检测资源共享,可以让终端以更小的成本发挥更大的检测能力;通过将检测引擎部署在服务端和云端,能够降低终端的资源占用,并减少安装部署成本;通过共享历史检测结果,利用终端筛选需要检测的文件,能够避免过多的冗余检测,提高检测效率且降低资源消耗;同时,通过同步云端的历史检测结果可保证不用适配过多检测引擎就可对更多文件进行判定,增加了检测的覆盖率。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
下述为本发明装置实施例,可以用于执行本发明方法实施例。对于本发明装置实施例中未披露的细节,请参照本发明方法实施例。
图6所示为本发明一实施例提供的文件检测装置的框图。如图6所示,该文件检测装置600包括:
接收模块610,用于服务端接收终端发送的待检测文件,其中,服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件,历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的;
第一检测模块620,用于服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测,得到第一文件检测结果;
发送模块630,用于服务端向终端发送根据第一文件检测结果得到的最终文件检测结果。
根据本发明实施例提供的技术方案,通过在服务端部署的一个或多个第一检测引擎,能够降低终端的资源占用,并减少安装部署成本;通过利用终端确定历史检测结果中是否记录有待检测文件的文件检测结果,当该历史检测结果记录有该待检测文件的文件检测结果时,说明该待检测文件是全新文件,需要检测,将该待检测文件发送至服务端进行文件检测,能够避免过多的冗余检测,提高检测效率且降低资源消耗;同时,通过同步云端的历史检测结果可保证不用适配过多检测引擎就可对更多文件进行判定,增加了检测的覆盖率。
在本发明的一个实施例中,上述装置还包括第二检测模块640,用于服务端向云端发送待检测文件,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;上述接收模块610还用于服务端接收云端发送的第二文件检测结果;上述发送模块630还用于服务端根据第一文件检测结果和第二文件检测结果,确定最终文件检测结果,并向终端发送最终文件检测结果。
在本发明的一个实施例中,上述发送模块630还用于当第一文件检测结果和第二文件检测结果均表示待检测文件为恶意文件时,确定最终文件检测结果为恶意文件;或者当第一文件检测结果和第二文件检测结果均表示待检测文件为安全文件时,确定最终文件检测结果为安全文件;或者当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,服务端对待检测文件进行文件行为检测,得到最终文件检测结果,文件行为检测用于分析待检测文件的进程执行先后的行为。
在本发明的一个实施例中,上述发送模块630还用于服务端对待检测文件的进程日志进行进程执行先后的行为分析,得到进程异常类型;服务端根据进程异常类型和待检测文件的文件来源,确定最终文件检测结果。
在本发明的一个实施例中,多个第二检测引擎包括:云沙箱检测引擎、云病毒检测引擎和云网页后门检测引擎中的至少一种。
在本发明的一个实施例中,上述发送模块630还用于服务端向云端发送待检测文件和第一文件检测结果,以便于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果,并根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;上述接收模块610还用于服务端接收云端发送的最终检测结果。
在本发明的一个实施例中,上述发送模块630还用于服务端向云端发送最终文件检测结果;上述接收模块610还用于服务端接收云端实时或定期发送的历史检测结果;上述发送模块630还用于服务端向终端发送历史检测结果。
在本发明的一个实施例中,上述接收模块610还用于服务端接收云端发送的第一检测样本库,其中,第一检测样本库包括与云端连接的多个服务端的检测样本。
在本发明的一个实施例中,上述装置还包括保存模块650,用于服务端获取待检测文件的告警日志;服务端保存告警日志,以便于利用告警日志进行溯源分析。
在本发明的一个实施例中,上述装置还包括解析模块660,用于服务端解析待检测文件的文件头信息,得到待检测文件的文件类型;服务端根据文件类型从多个第一检测引擎中选择第一目标检测引擎,其中第一目标检测引擎的检测范围包括文件类型,其中,上述第一检测模块620还用于利用第一目标检测引擎对待检测文件进行文件检测。
在本发明的一个实施例中,多个第一检测引擎包括:系统配置文件检测引擎、病毒检测引擎、网页后门检测引擎和可执行文件检测引擎中的至少一种。
图7所示为本发明一实施例提供的文件检测装置的框图。如图7所示,该文件检测装置700包括:
获取模块710,用于终端获取待检测文件和历史检测结果,其中历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的;
发送模块720,用于终端在历史检测结果中未记录待检测文件的检测结果时,将待检测文件发送至服务端,以便服务端对待检测文件进行文件检测。
根据本发明实施例提供的技术方案,终端能够根据历史检测结果过滤出不需要检测的文件,提高检测效率,并降低终端在文件检测上的资源占用。
图8所示为本发明一实施例提供的文件检测装置的框图。如图8所示,该文件检测装置800包括:
接收模块810,用于云端接收多个服务端上报的文件检测结果;
确定模块820,用于云端根据文件检测结果确定历史检测结果,历史检测结果包括多个服务端的文件检测结果;
发送模块830,用于云端通过服务端向终端发送历史检测结果,以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件。
根据发明实施例提供的技术方案,通过云端将来自多个服务端的文件检测结果通过服务端同步至终端,能够充分利用云端丰富的数据收集能力和数据库存,获取更丰富的历史检测结果数据,从而使终端过滤出更多不需要检测的文件,进一步提高检测效率,并降低终端在文件检测上的资源占用。
在本发明的另一个实施例中,上述接收模块810还用于云端接收服务端发送的待检测文件和第一文件检测结果,其中,第一文件检测结果是服务端基于第一检测样本库,利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测所得到的;上述确定模块820还用于云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测,得到第二文件检测结果;云端根据第一文件检测结果和第二文件检测结果确定最终文件检测结果;上述发送模块830还用于云端通过服务端将最终文件检测结果发送至终端。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
图9所示为本发明一实施例提供的电子设备900的框图。
参照图9,电子设备900包括处理组件910,其进一步包括一个或多个处理器,以及由存储器920所代表的存储器资源,用于存储可由处理组件910的执行的指令,例如应用程序。存储器920中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外,处理组件910被配置为执行指令,以执行上述文件检测方法。
电子设备900还可以包括一个电源组件被配置为执行电子设备900的电源管理,一个有线或无线网络接口被配置为将电子设备900连接到网络,和一个输入输出(I/O)接口。电子设备900可以操作基于存储在存储器920的操作系统,例如Windows ServerTM,Mac OSXTM,UnixTM,LinuxTM,FreeBSDTM或类似。
一种非临时性计算机可读存储介质,当存储介质中的指令由上述电子设备900的处理器执行时,使得上述电子设备900能够执行上述文件检测方法。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序校验码的介质。
另外,还需要说明的是,本案中各技术特征的组合方式并不限本案权利要求中所记载的组合方式或是具体实施例所记载的组合方式,本案所记载的所有技术特征可以以任何方式进行自由组合或结合,除非相互之间产生矛盾。
需要注意的是,以上列举的仅为本发明的具体实施例,显然本发明不限于以上实施例,随之有着许多的类似变化。本领域的技术人员如果从本发明公开的内容直接导出或联想到的所有变形,均应属于本发明的保护范围。
应当理解,本发明实施例中提到的第一、第二等限定词,仅仅为了更清楚地描述本发明实施例的技术方案使用,并不能用以限制本发明的保护范围。
以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (18)

1.一种文件检测方法,其特征在于,包括:
服务端接收终端发送的待检测文件,其中,所述服务端被配置为从云端接收历史检测结果并向所述终端发送所述历史检测结果,以便所述终端确定所述历史检测结果中未记录所述待检测文件的文件检测结果时向所述服务端发送所述待检测文件,所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到的;
所述服务端基于第一检测样本库,利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测,得到第一文件检测结果;
所述服务端向所述终端发送根据所述第一文件检测结果得到的最终文件检测结果。
2.根据权利要求1所述的文件检测方法,其特征在于,还包括:
所述服务端向所述云端发送所述待检测文件,以便于所述云端基于第二检测样本库,利用所述云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测,得到第二文件检测结果;
所述服务端接收所述云端发送的所述第二文件检测结果;
其中,所述服务端向所述终端发送根据所述第一文件检测结果得到的最终文件检测结果,包括:
所述服务端根据所述第一文件检测结果和所述第二文件检测结果,确定所述最终文件检测结果,并向所述终端发送所述最终文件检测结果。
3.根据权利要求2所述的文件检测方法,其特征在于,所述服务端根据所述第一文件检测结果和所述第二文件检测结果,确定所述最终文件检测结果,包括:
当所述第一文件检测结果和所述第二文件检测结果均表示所述待检测文件为恶意文件时,确定所述最终文件检测结果为恶意文件;或者
当所述第一文件检测结果和所述第二文件检测结果均表示所述待检测文件为安全文件时,确定所述最终文件检测结果为安全文件;或者
当所述第一文件检测结果和所述第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时,所述服务端对所述待检测文件进行文件行为检测,得到所述最终文件检测结果,所述文件行为检测用于分析所述待检测文件的进程执行先后的行为。
4.根据权利要求3所述的文件检测方法,其特征在于,所述服务端对所述待检测文件进行文件行为检测,得到所述最终文件检测结果,包括:
所述服务端对所述待检测文件的进程日志进行进程执行先后的行为分析,得到进程异常类型;
所述服务端根据所述进程异常类型和所述待检测文件的文件来源,确定所述最终文件检测结果。
5.根据权利要求1所述的文件检测方法,其特征在于,还包括:
所述服务端向所述云端发送所述待检测文件和所述第一文件检测结果,以便于所述云端基于第二检测样本库,利用所述云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测,得到第二文件检测结果,并根据所述第一文件检测结果和所述第二文件检测结果确定所述最终文件检测结果;
所述服务端接收所述云端发送的所述最终检测结果。
6.根据权利要求1至5中任一项所述的文件检测方法,其特征在于,还包括:
所述服务端向所述云端发送所述最终文件检测结果;
所述服务端接收所述云端实时或定期发送的所述历史检测结果;
所述服务端向所述终端发送所述历史检测结果。
7.根据权利要求1至5中任一项所述的文件检测方法,其特征在于,还包括:
所述服务端获取所述云端发送的所述第一检测样本库,其中,所述第一检测样本库包括与所述云端连接的多个服务端的检测样本。
8.根据权利要求1至5中的任一项所述的文件检测方法,其特征在于,还包括:
所述服务端获取所述待检测文件的告警日志;
所述服务端保存所述告警日志,以便于利用所述告警日志进行溯源分析。
9.根据权利要求1至5中的任一项所述的文件检测方法,其特征在于,还包括:
所述服务端解析所述待检测文件的文件头信息,得到所述待检测文件的文件类型;
所述服务端根据所述文件类型从所述多个第一检测引擎中选择第一目标检测引擎,其中所述第一目标检测引擎的检测范围包括所述文件类型,
其中,所述利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测,包括:
利用所述第一目标检测引擎对所述待检测文件进行文件检测。
10.一种文件检测方法,其特征在于,包括:
终端获取待检测文件和历史检测结果,其中所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的;
所述终端在所述历史检测结果中未记录所述待检测文件的检测结果时,将所述待检测文件发送至所述服务端,以便所述服务端对所述待检测文件进行文件检测。
11.一种文件检测方法,其特征在于,包括:
云端接收多个服务端上报的文件检测结果;
所述云端根据所述文件检测结果确定历史检测结果,所述历史检测结果包括所述多个服务端的文件检测结果;
所述云端通过所述服务端向终端发送所述历史检测结果,以便所述终端确定历史检测结果中未记录待检测文件的文件检测结果时向所述服务端发送所述待检测文件。
12.根据权利要求11所述的文件检测方法,其特征在于,还包括:
所述云端接收所述服务端发送的所述待检测文件和第一文件检测结果,其中,所述第一文件检测结果是所述服务端基于第一检测样本库,利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测所得到的;
所述云端基于第二检测样本库,利用所述云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测,得到第二文件检测结果;
所述云端根据所述第一文件检测结果和所述第二文件检测结果确定所述最终文件检测结果;
所述云端通过所述服务端将所述最终文件检测结果发送至所述终端。
13.一种文件检测系统,其特征在于,包括终端、服务端和云端,
其中,所述服务端获取所述云端的历史检测结果和第一检测样本库,并将所述历史检测结果发送至所述终端,所述第一检测样本库包括与所述云端连接的多个服务端的检测样本,所述历史检测结果包括与所述云端连接的多个服务端的历史检测记录;
所述终端用于当所述历史检测结果中未记录所述待检测文件的文件检测结果时,将所述待检测文件发送至所述服务端;
所述服务端基于所述第一检测样本库,利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测,获取第一文件检测结果;
所述服务端还用于将所述待检测文件发送至所述云端;
所述云端基于第二检测样本库,利用云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测,获取第二文件检测结果;
所述服务端或所述云端根据所述第一文件检测结果和所述第二文件检测结果,获得最终文件检测结果,并将所述最终文件检测结果发送至所述终端。
14.一种文件检测装置,其特征在于,包括:
接收模块,用于服务端接收终端发送的待检测文件,其中,所述服务端被配置为从云端接收历史检测结果并向所述终端发送所述历史检测结果,以便所述终端确定所述历史检测结果中未记录所述待检测文件的文件检测结果时向所述服务端发送所述待检测文件,所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到的;
检测模块,用于所述服务端基于第一检测样本库,利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测,得到第一文件检测结果;
发送模块,用于所述服务端向所述终端发送根据所述第一文件检测结果得到的最终文件检测结果。
15.一种文件检测装置,其特征在于,包括:
获取模块,用于终端获取待检测文件和历史检测结果,其中所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到的,并且是通过服务端从云端接收的;
发送模块,用于所述终端在所述历史检测结果中未记录所述待检测文件的检测结果时,将所述待检测文件发送至所述服务端,以便所述服务端对所述待检测文件进行文件检测。
16.一种文件检测装置,其特征在于,包括:
接收模块,用于云端接收多个服务端上报的文件检测结果;
确定模块,用于所述云端根据所述文件检测结果确定历史检测结果,所述历史检测结果包括所述多个服务端的文件检测结果;
发送模块,用于所述云端通过所述服务端向终端发送所述历史检测结果,以便所述终端确定历史检测结果中未记录待检测文件的文件检测结果时向所述服务端发送所述待检测文件。
17.一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序用于执行上述权利要求1至12任一项所述的文件检测方法。
18.一种电子设备,所述电子设备包括:
处理器;
用于存储所述处理器可执行指令的存储器,
其中,所述处理器用于执行上述权利要求1至12任一项所述的文件检测方法。
CN202211433856.9A 2022-11-16 2022-11-16 文件检测方法、文件检测系统及文件检测装置 Pending CN115906079A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211433856.9A CN115906079A (zh) 2022-11-16 2022-11-16 文件检测方法、文件检测系统及文件检测装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211433856.9A CN115906079A (zh) 2022-11-16 2022-11-16 文件检测方法、文件检测系统及文件检测装置

Publications (1)

Publication Number Publication Date
CN115906079A true CN115906079A (zh) 2023-04-04

Family

ID=86496689

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211433856.9A Pending CN115906079A (zh) 2022-11-16 2022-11-16 文件检测方法、文件检测系统及文件检测装置

Country Status (1)

Country Link
CN (1) CN115906079A (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1349166A (zh) * 2001-12-03 2002-05-15 上海市计算机病毒防范服务中心 对网络化病毒源反馈式报警方法
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN108924139A (zh) * 2018-07-05 2018-11-30 杭州安恒信息技术股份有限公司 基于云端提升文件检测效率的方法、装置及执行服务器
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN110955891A (zh) * 2018-09-26 2020-04-03 阿里巴巴集团控股有限公司 文件检测的方法、装置、系统和数据处理法的方法
CN111291372A (zh) * 2020-01-21 2020-06-16 上海戎磐网络科技有限公司 一种基于软件基因技术对终端设备文件检测的方法及装置
CN114003914A (zh) * 2021-12-30 2022-02-01 北京微步在线科技有限公司 一种文件的安全性检测方法、装置、电子设备及存储介质

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1349166A (zh) * 2001-12-03 2002-05-15 上海市计算机病毒防范服务中心 对网络化病毒源反馈式报警方法
CN107689975A (zh) * 2016-08-05 2018-02-13 腾讯科技(深圳)有限公司 一种基于云计算的计算机病毒识别方法及系统
CN108924139A (zh) * 2018-07-05 2018-11-30 杭州安恒信息技术股份有限公司 基于云端提升文件检测效率的方法、装置及执行服务器
CN110955891A (zh) * 2018-09-26 2020-04-03 阿里巴巴集团控股有限公司 文件检测的方法、装置、系统和数据处理法的方法
CN110287701A (zh) * 2019-06-28 2019-09-27 深信服科技股份有限公司 一种恶意文件检测方法、装置、系统及相关组件
CN111291372A (zh) * 2020-01-21 2020-06-16 上海戎磐网络科技有限公司 一种基于软件基因技术对终端设备文件检测的方法及装置
CN114003914A (zh) * 2021-12-30 2022-02-01 北京微步在线科技有限公司 一种文件的安全性检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN105743730B (zh) 为移动终端的网页服务提供实时监控的方法及其系统
CN101923617B (zh) 一种基于云的样本数据库动态维护方法
CN109688188A (zh) 监控告警方法、装置、设备及计算机可读存储介质
CN111931860A (zh) 异常数据检测方法、装置、设备及存储介质
CN103279710B (zh) Internet信息系统恶意代码的检测方法和系统
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
CN103051627B (zh) 一种反弹式木马的检测方法
US20180357214A1 (en) Log analysis system, log analysis method, and storage medium
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
CN113282928B (zh) 恶意文件的处理方法、装置、系统、电子装置和存储介质
CN102984161A (zh) 一种可信网站的识别方法和装置
CN114528457A (zh) Web指纹检测方法及相关设备
CN113704328A (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN111859399A (zh) 一种基于oval的漏洞检测方法及装置
CN115033876A (zh) 日志处理方法、日志处理装置、计算机设备及存储介质
Fatemi et al. Threat hunting in windows using big security log data
CN114968959A (zh) 日志处理方法、日志处理装置及存储介质
CN115906079A (zh) 文件检测方法、文件检测系统及文件检测装置
WO2024051017A1 (zh) 基于分布式的网站篡改检测系统及方法
CN115051867B (zh) 一种非法外联行为的检测方法、装置、电子设备及介质
EP3361405B1 (en) Enhancement of intrusion detection systems
US11936513B2 (en) System and method for anomaly detection in a computer network
CN109327433B (zh) 基于运行场景分析的威胁感知方法及系统
CN114398994A (zh) 基于图像识别的业务异常检测方法、装置、设备及介质
CN110213055B (zh) 情报更新方法、装置、计算机设备及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination