專利名稱:文件信息收集方法與裝置的制作方法
技術(shù)領(lǐng)域:
本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域,特別是涉及一種未知文件的文件信息收集方法與裝置���。
背景技術(shù):
殺毒軟件�����,也稱反病毒軟件或防毒軟件��,是用于消除電腦病毒�、特洛伊木馬和惡意軟件的一類軟件�����。殺毒軟件通常集成監(jiān)控識(shí)別��、病毒掃描和清除�、和自動(dòng)升級(jí)等功能,有的殺毒軟件還帶有數(shù)據(jù)恢復(fù)等功能���,是計(jì)算機(jī)防御系統(tǒng)(包含殺毒軟件��,防火墻�����,特洛伊木馬和其他惡意軟件的查殺程序�����,入侵預(yù)防系統(tǒng)等)的重要組成部分�。目前,在使用殺毒軟件進(jìn)行系統(tǒng)防御和病毒查殺時(shí)����,一方面,殺毒軟件根據(jù)自身存儲(chǔ)的病毒特征數(shù)據(jù)庫(kù)中的病毒特征匹配待查殺文件��,若匹配一致��,則認(rèn)為待查殺文件為病毒文件���,進(jìn)行病毒查殺處理;若匹配不一致��,則認(rèn)為待查殺文件為正常文件����,進(jìn)行放行 ’另一方面��,上述查殺過(guò)程僅在本地進(jìn)行�。然而����,對(duì)于某些可疑的未知文件,因其不屬于現(xiàn)有殺毒軟件病毒庫(kù)中的病毒文件����,病毒庫(kù)中不具有相應(yīng)的病毒特征,現(xiàn)有的殺毒軟件將其放行���,因而現(xiàn)有的殺毒軟件無(wú)法對(duì)可疑的未知文件進(jìn)行有效檢測(cè)�,無(wú)法進(jìn)行有效的可疑未知文件防御��;而本地查殺比較局限�����,無(wú)法使用查殺結(jié)果影響其它機(jī)器的病毒查殺���。
發(fā)明內(nèi)容
鑒于上述現(xiàn)有殺毒軟件無(wú)法對(duì)未知文件進(jìn)行有效檢測(cè)和防御��,且查殺結(jié)果影響受限的問(wèn)題���,提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的文件信息收集方法與裝置��。依據(jù)本發(fā)明的一個(gè)方面����,提供了一種文件信息收集方法���,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征���,其中,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件�����;控制服務(wù)器判斷待檢測(cè)文件的文件特征與控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?�?蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配����;若待檢測(cè)文件的文件特征與正??蓤?zhí)行文件的文件特征和所述病毒文件的文件特征均不匹配����,則控制服務(wù)器確定待檢測(cè)文件為未知文件���;控制服務(wù)器向終端返回待檢測(cè)文件為未知文件的消息��,并通知終端上傳未知文件的文件信息���;控制服務(wù)器接收并收集終端上傳的未知文件的文件信肩、O可選地�,待檢測(cè)文件的文件特征為對(duì)待檢測(cè)文件的文件內(nèi)容使用MD5算法后的MD5值;在企業(yè)內(nèi)網(wǎng)控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征的步驟之前���,還包括控制服務(wù)器獲取正??蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容���;分別對(duì)正?��?蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容使用MD5算法,獲取正?���?蓤?zhí)行文件的MD5值和病毒文件的MD5值����;將正?����?蓤?zhí)行文件的MD5值保存為正??蓤?zhí)行文件的文件特征,將病毒文件的MD5值保存為病毒文件的文件特征�����。
可選地��,控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征的步驟包括控制服務(wù)器接收終端使用HTTP協(xié)議封裝的待檢測(cè)文件的MD5值�����?����?蛇x地����,控制服務(wù)器接收并收集終端上傳的未知文件的文件信息的步驟包括控制服務(wù)器接收并收集終端通過(guò)終端后臺(tái)直接上傳的未知文件的文件信息�,其中����,未知文件的文件信息使用HTTP協(xié)議封裝�����。
可選地����,在控制服務(wù)器接收并收集終端上傳的未知文件的文件信息的步驟之后,還包括控制服務(wù)器對(duì)未知文件的文件信息進(jìn)行分析�,確定未知文件是否為安全文件;若確定未知文件不為安全文件��,則記錄未知文件的MD5值�����,禁止未知文件運(yùn)行���??蛇x地,控制服務(wù)器接收并收集終端上傳的未知文件的文件信息的步驟包括控制服務(wù)器接收并收集終端上傳的未知文件的MD5值��,以及以下信息至少之一未知文件的數(shù)字簽名����、文件版本號(hào)、文件名�、未知文件所屬的產(chǎn)品名、產(chǎn)品版本號(hào)�����、未知文件所屬的公司版權(quán)信息��?��?蛇x地����,終端中新增加的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的��、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件�;進(jìn)行了修改的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件�����。根據(jù)本發(fā)明的另一方面,提供了一種文件信息收集裝置���,設(shè)置于企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端�,該文件信息收集裝置包括獲取模塊�����,用于從企業(yè)內(nèi)網(wǎng)的終端獲取待檢測(cè)文件的文件特征�,其中��,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件���;判斷模塊�����,用于判斷待檢測(cè)文件的文件特征與控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正??蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配����;確定模塊��,用于若判斷模塊判斷待檢測(cè)文件的文件特征與正?����?蓤?zhí)行文件的文件特征和病毒文件的文件特征均不匹配�����,則確定待檢測(cè)文件為未知文件�����;收集模塊�����,用于向終端返回待檢測(cè)文件為未知文件的消息��,并通知終端上傳未知文件的文件信息��;接收并收集終端上傳的未知文件的文件信息�?�?蛇x地,待檢測(cè)文件的文件特征為對(duì)待檢測(cè)文件的文件內(nèi)容使用MD5算法后的MD5值�;該文件信息收集裝置還包括保存模塊,用于在獲取模塊從企業(yè)內(nèi)網(wǎng)的終端獲取待檢測(cè)文件的文件特征之前����,獲取正常可執(zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容�����;分別對(duì)正?�?蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容使用MD5算法��,獲取正?���?蓤?zhí)行文件的MD5值和病毒文件的MD5值��;將正?����?蓤?zhí)行文件的MD5值保存為正?���?蓤?zhí)行文件的文件特征��,將病毒文件的MD5值保存為病毒文件的文件特征����??蛇x地,獲取模塊��,用于從企業(yè)內(nèi)網(wǎng)的終端獲取終端使用HTTP協(xié)議封裝的待檢測(cè)文件的MD5值����。可選地�,收集模塊,用于向終端返回待檢測(cè)文件為未知文件的消息�����,并通知終端上傳未知文件的文件信息���;以及����,接收并收集終端通過(guò)終端后臺(tái)直接上傳的未知文件的文件信息,其中�����,未知文件的文件信息使用HTTP協(xié)議封裝����。可選地��,還包括分析模塊���,用于在收集模塊接收并收集終端上傳的未知文件的文件信息之后�����,對(duì)未知文件的文件信息進(jìn)行分析���,確定未知文件是否為安全文件�����;若確定未知文件不為安全文件���,則記錄未知文件的MD5值�,禁止未知文件運(yùn)行?�?蛇x地��,收集模塊收集的未知文件的文件信息包括未知文件的MD5值��,以及以下信息至少之一未知文件的數(shù)字簽名��、文件版本號(hào)�����、文件名�、未知文件所屬的產(chǎn)品名、產(chǎn)品版本號(hào)��、未知文件所屬的公司版權(quán)信息��?����?蛇x地����,終端中新增加的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的���、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件;進(jìn)行了修改的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的�、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件。根據(jù)本發(fā)明的文件信息收集方案���,在企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端除了保存有病毒文件的文件特征(即病毒特征)外��,還同時(shí)保存有正?�?蓤?zhí)行文件的文件特征��,通過(guò)這些文件特征����,當(dāng)企業(yè)內(nèi)網(wǎng)的終端新增加了文件或?qū)ξ募M(jìn)行了修改時(shí)�����,可以對(duì)終端的這些待檢測(cè)文件進(jìn)行檢測(cè)���,當(dāng)終端上報(bào)的待檢測(cè)文件的文件特征與控制服務(wù)器中保存的這些文件特征均不匹配時(shí),則說(shuō)明終端的待檢測(cè)文件為未知文件,此時(shí),通知終端并要求終端上報(bào)待檢測(cè)文件的文件信息��,控制服務(wù)器通過(guò)終端上報(bào)的內(nèi)容收集該未知文件的文件信息����,以便進(jìn)行后續(xù)其它終端未知文件的識(shí)別和判定��。未知文件有可能是正常文件�,但更可能是對(duì)系統(tǒng)具有危害的文件(如變形的病毒文件等),若按照現(xiàn)有方案不對(duì)未知文件信息加以收集進(jìn)而進(jìn)行未知文件控制��,則可能導(dǎo)致危害系統(tǒng)及用戶的后果��;而通過(guò)本發(fā)明的方案��,通過(guò)對(duì)未知文件的文件信息的收集���,可以了解未知文件情況����,進(jìn)而判定未知文件的性質(zhì)�����,及時(shí)管理和防御���,可以大大提高整個(gè)系統(tǒng)中所有終端的安全性��,降低系統(tǒng)安全風(fēng)險(xiǎn)���;并且��,控制服務(wù)器端可以使用本次收集的未知文件的文件信息�����,對(duì)后續(xù)其它終端的待檢測(cè)文件進(jìn)行檢測(cè)和判斷���,將一個(gè)終端的未知文件影響擴(kuò)大到整個(gè)系統(tǒng),進(jìn)一步提高了系統(tǒng)的安全性��,以及未知文件檢測(cè)和處理效率�����。上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述�����,為了能夠更清楚了解本發(fā)明的技術(shù)手段��,而可依照說(shuō)明書(shū)的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的具體實(shí)施方式
����。
通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實(shí)施方式的目的��,而并不認(rèn)為是對(duì)本發(fā)明的限制�����。而且在整個(gè)附圖中�����,用相同的參考符號(hào)表示相同的部件���。在附圖中圖I是根據(jù)本發(fā)明實(shí)施例一的一種文件信息收集方法的步驟流程圖�;圖2是根據(jù)本發(fā)明實(shí)施例二的一種文件信息收集方法的步驟流程圖;圖3是根據(jù)本發(fā)明實(shí)施例三的一種文件信息收集方法的步驟流程圖���;圖4是根據(jù)本發(fā)明實(shí)施例四的一種文件信息收集裝置的結(jié)構(gòu)框圖�。
具體實(shí)施例方式下面將參照附圖更詳細(xì)地描述本公開(kāi)的示例性實(shí)施例�����。雖然附圖中顯示了本公開(kāi)的示例性實(shí)施例����,然而應(yīng)當(dāng)理解,可以以各種形式實(shí)現(xiàn)本公開(kāi)而不應(yīng)被這里闡述的實(shí)施例所限制��。相反���,提供這些實(shí)施例是為了能夠更透徹地理解本公開(kāi)�,并且能夠?qū)⒈竟_(kāi)的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。實(shí)施例一參照?qǐng)D1,示出了根據(jù)本發(fā)明實(shí)施例一的一種文件信息收集方法的步驟流程圖。本實(shí)施例的文件信息收集方法包括以下步驟
步驟S102 :企業(yè)內(nèi)網(wǎng)的控制服務(wù)器從企業(yè)內(nèi)網(wǎng)的終端獲取待檢測(cè)文件的文件特征�。其中,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件��。終端中新增加的文件可能是僅本機(jī)新增的文件��,而企業(yè)內(nèi)網(wǎng)中的其它終端中可能已有也可能均未有的新文件����;也可能是對(duì)于整個(gè)企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)的新文件���,即�,終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的���、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件�����。同樣�����,進(jìn)行了修改的文件可能是修改后的文件僅限于本機(jī)的文件�����,而企業(yè)內(nèi)網(wǎng)中的其它終端中可能已有也可能均未有的該修改后的文件�;也可能是對(duì)于整個(gè)企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)的進(jìn)行了修改的文件,即��,終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的�����、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件�。終端之間可以通過(guò)信息交互確定其它終端中是否存在相應(yīng)的文件。這樣�����,對(duì)于整個(gè)企業(yè)內(nèi)網(wǎng)來(lái)說(shuō)�,大大減少了待檢測(cè)文件數(shù)據(jù)和因?yàn)闄z測(cè)產(chǎn)生的信息交互量,提高了檢測(cè)效率����。當(dāng)終端新增加了文件或進(jìn)行了文件修改時(shí),終端將該新增加文件或修改的文件的文件特征自動(dòng)上報(bào)給控制服務(wù)器��,觸發(fā)控制服務(wù)器獲取終端的待檢測(cè)文件的文件特征����。例 如��,當(dāng)終端中有某個(gè)文件被修改���,則觸發(fā)控制服務(wù)器獲取該文件進(jìn)行后續(xù)的未知文件檢測(cè)的文件信息收集;或者���,當(dāng)由第三方設(shè)備如U盤(pán)向終端復(fù)制了文件���,則觸發(fā)控制服務(wù)器獲取該文件進(jìn)行后續(xù)的未知文件檢測(cè)的文件信息收集����;或者,當(dāng)初始終端進(jìn)行系統(tǒng)安裝時(shí)�����,觸發(fā)控制服務(wù)器獲取所有安裝入終端的文件的文件特征�����,并進(jìn)行后續(xù)的未知文件檢測(cè)的文件信息收集���。但不限于此���,在實(shí)際應(yīng)用中�����,本領(lǐng)域技術(shù)人員也可設(shè)置適當(dāng)?shù)囊?guī)則���,當(dāng)滿足設(shè)置的規(guī)則時(shí),由終端上報(bào)或者服務(wù)器主動(dòng)獲取待檢測(cè)文件的文件特征����。文件特征是文件的特征信息,能夠反映出一個(gè)文件不同于其它文件的特點(diǎn)��,可以作為文件的唯一標(biāo)識(shí)���,如��,通過(guò)文件信息計(jì)算的MD5值��、文件的數(shù)字簽名��、文件的版本號(hào)����、文件所屬的產(chǎn)品名、文件所屬的產(chǎn)品版本號(hào)�����、文件所屬的公司名�、公司版權(quán)信息、甚至整個(gè)文件等����。步驟S104 :控制服務(wù)器判斷待檢測(cè)文件的文件特征與控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正常可執(zhí)行文件的文件特征和病毒文件的文件特征是否匹配���。控制服務(wù)器的文件特征數(shù)據(jù)庫(kù)中同時(shí)存儲(chǔ)有正?���?蓤?zhí)行文件的文件特征和病毒文件的文件特征(即病毒特征),存儲(chǔ)的上述文件特征可以通過(guò)對(duì)收集到的大量文件數(shù)據(jù)進(jìn)行分析提取����,也可以通過(guò)其它適當(dāng)方式收集存儲(chǔ)。步驟S106 :若待檢測(cè)文件的文件特征與正?����?蓤?zhí)行文件的文件特征和病毒文件的文件特征均不匹配,則控制服務(wù)器確定待檢測(cè)文件為未知文件�。步驟S108 :控制服務(wù)器向終端返回待檢測(cè)文件為未知文件的消息,并通知終端上傳未知文件的文件信息��。步驟SllO :控制服務(wù)器接收并收集終端上傳的未知文件的文件信息��。通過(guò)本實(shí)施例�����,在控制服務(wù)器端除了保存有病毒文件的文件特征(即病毒特征)夕卜�����,還同時(shí)保存有正?����?蓤?zhí)行文件的文件特征�,,當(dāng)企業(yè)內(nèi)網(wǎng)的終端新增加了文件或?qū)ξ募M(jìn)行了修改時(shí)���,通過(guò)這些文件特征可以對(duì)終端的這些待檢測(cè)文件進(jìn)行檢測(cè)�����,當(dāng)終端上報(bào)的待檢測(cè)文件的文件特征與控制服務(wù)器中保存的這些文件特征均不匹配時(shí)����,則說(shuō)明終端的待檢測(cè)文件為未知文件,此時(shí)����,通知終端并要求終端上報(bào)待檢測(cè)文件的文件信息,控制服務(wù)器通過(guò)終端上報(bào)的內(nèi)容收集該未知文件的文件信息��,以便進(jìn)行后續(xù)其它終端未知文件的識(shí)別和判定���。未知文件有可能是正常文件���,但更可能是對(duì)系統(tǒng)具有危害的文件(如變形的病毒文件等),若按照現(xiàn)有方案不對(duì)未知文件信息加以收集進(jìn)而進(jìn)行未知文件控制��,則可能導(dǎo)致危害系統(tǒng)及用戶的后果�����;而通過(guò)本實(shí)施例的方案����,通過(guò)對(duì)未知文件的文件信息的收集,可以了解未知文件情況�,進(jìn)而判定未知文件的性質(zhì),及時(shí)管理和防御��,可以大大提高整個(gè)系統(tǒng)中所有終端的安全性�,降低系統(tǒng)安全風(fēng)險(xiǎn);并且�,控制服務(wù)器端可以使用本次收集的未知文件的文件信息,對(duì)后續(xù)其它終端的待檢測(cè)文件進(jìn)行檢測(cè)和判斷�����,將一個(gè)終端的未知文件影響擴(kuò)大到整個(gè)系統(tǒng)����,進(jìn)一步提高了系統(tǒng)的安全性,以及未知文件檢測(cè)和處理效率�����。需要說(shuō)明的是����,本發(fā)明的文件信息收集方案除可適用于企業(yè)內(nèi)網(wǎng)場(chǎng)景外,也可適用于單機(jī)場(chǎng)景��。實(shí)施例一從企業(yè)內(nèi)網(wǎng)場(chǎng)景對(duì)本發(fā)明的文件信息收集方案進(jìn)行了說(shuō)明�,下文實(shí)施例二從單機(jī)場(chǎng)景對(duì)本發(fā)明作以說(shuō)明。實(shí)施例二參照?qǐng)D2�,示出了根據(jù)本發(fā)明實(shí)施例二的一種文件信息收集方法的步驟流程圖。本實(shí)施例以單機(jī)的本地殺毒軟件為例��,對(duì)本發(fā)明的文件信息收集方法作以說(shuō)明�����。本實(shí)施例的文件信息收集方法包括以下步驟步驟S202 :企業(yè)內(nèi)網(wǎng)終端的本地殺毒軟件獲取正?��?蓤?zhí)行文件的文件特征和病毒文件的文件特征�����,并保存至本地殺毒軟件的文件特征數(shù)據(jù)庫(kù)中�����。企業(yè)內(nèi)網(wǎng)終端可以從企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端獲取正常可執(zhí)行文件的文件特征和病毒文件的文件特征����,也可以是自身攜帶文件特征�,還可以是對(duì)文件進(jìn)行收集分析后生成文件特征���。本實(shí)施例中�����,正?����?蓤?zhí)行文件的文件特征和病毒文件的文件特征都是MD5值的形式�,MD5值信息量小����,便于比較識(shí)別,且碰撞率低�����,能夠有效區(qū)分各文件特征�。當(dāng)然,其它適當(dāng)文件特征形式也同樣適用,如通過(guò)Shal等安全散列算法得出的計(jì)算值�。步驟S204 :本地殺毒軟件獲取待檢測(cè)文件的文件特征。當(dāng)企業(yè)內(nèi)網(wǎng)終端新增加了文件和/或進(jìn)行了文件修改�,將觸發(fā)本步驟。本實(shí)施例中的待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件����。本實(shí)施例中,待檢測(cè)文件的文件特征與存儲(chǔ)的正??蓤?zhí)行文件的文件特征和病毒文件的文件特征的形式一致,均為MD5值的形式���。需要說(shuō)明的是���,在生成MD5值時(shí),MD5的生成參數(shù)可以由本領(lǐng)域技術(shù)人員適當(dāng)選取�����,如文件名�����、文件長(zhǎng)度��、特征詞匯、文件內(nèi)容等等���。本實(shí)施例中,不論是待檢測(cè)文件的MD5值�����,還是正??蓤?zhí)行文件的MD5值和病毒文件的MD5值均是對(duì)文件內(nèi)容使用MD5算法后獲得。對(duì)文件內(nèi)容使用MD5算法獲得MD5值�����,能夠更有效地表示文件的文件特征��。此外��,文件特征的生成算法也不限于MD5算法���,還可以為其它適當(dāng)算法�,如Shal等安全散列算法��。步驟S206 :本地殺毒軟件判斷待檢測(cè)文件的文件特征與文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?�?蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配,若匹配�����,執(zhí)行步驟S208 ����;若不匹配,執(zhí)行步驟S210����。也即,判斷待檢測(cè)文件的MD5值與正?���?蓤?zhí)行文件的MD5值或病毒文件的MD5值
是否一致。步驟S208 :根據(jù)匹配結(jié)果�,確定待檢測(cè)文件為正常可執(zhí)行文件或?yàn)椴《疚募?����,若為正?�?蓤?zhí)行文件����,則放行�;若為病毒文件���,則進(jìn)行病毒查殺處理���,結(jié)束本次流程�。
步驟S210 :本地殺毒軟件確定待檢測(cè)文件為未知文件,收集該未知文件的文件信
肩��、O如����,收集該未知文件的MD5值,以及以下信息至少之一該未知文件的數(shù)字簽名���、文件版本號(hào)�、文件名��、該未知文件所屬的產(chǎn)品名���、產(chǎn)品版本號(hào)�����、該未知文件所屬的公司版權(quán)
信息等����。步驟S212 :本地殺毒軟件對(duì)該未知文件的文件信息進(jìn)行分析,確定該未知文件是否為安全文件��;若確定該未知文件不為安全文件�����,則記錄該未知文件的MD5值����,禁止該未知文件運(yùn)行;若確定該未知文件為安全文件���,則放行�。通過(guò)本實(shí)施例���,實(shí)現(xiàn)了本地殺毒軟件對(duì)未知文件的檢測(cè)和防御��,降低了本地系統(tǒng)的安全風(fēng)險(xiǎn)��?�!?br>
實(shí)施例三參照?qǐng)D3����,示出了根據(jù)本發(fā)明實(shí)施例三的一種文件信息收集方法的步驟流程圖。本實(shí)施例仍為企業(yè)內(nèi)網(wǎng)場(chǎng)景下的文件信息收集方案����,本實(shí)施例以企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端殺毒軟件為例,對(duì)本發(fā)明的文件信息收集方法作以說(shuō)明���。本實(shí)施例的文件信息收集方法包括以下步驟步驟S302 :企業(yè)內(nèi)網(wǎng)的控制服務(wù)器獲取正常可執(zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容���。步驟S304 :控制服務(wù)器分別對(duì)正?���?蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容使用MD5算法�,獲取正常可執(zhí)行文件的MD5值和病毒文件的MD5值����。步驟S306 :控制服務(wù)器將正??蓤?zhí)行文件的MD5值和病毒文件的MD5值保存至控制服務(wù)器的殺毒軟件的文件特征數(shù)據(jù)庫(kù)中����,分別作為正常可執(zhí)行文件的文件特征和病毒文件的文件特征��。步驟S308 :企業(yè)內(nèi)網(wǎng)的終端發(fā)現(xiàn)待檢測(cè)文件���,獲得待檢測(cè)文件的文件內(nèi)容�����,對(duì)待檢測(cè)文件的文件內(nèi)容使用MD5算法��,得到待檢測(cè)文件的MD5值��。其中����,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件���。步驟S310 :終端使用HTTP協(xié)議將待檢測(cè)文件的MD5值封裝成消息���,向控制服務(wù)器發(fā)送����。如��,終端把待檢測(cè)文件的MD5值作為POST的內(nèi)容以HTTP協(xié)議發(fā)送請(qǐng)求到控制服務(wù)器���。步驟S312 :控制服務(wù)器接收終端使用HTTP協(xié)議封裝的消息��,從消息中獲取待檢測(cè)文件的MD5值��。步驟S314 :控制服務(wù)器判斷待檢測(cè)文件的MD5值與文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?��?蓤?zhí)行文件的MD5值和病毒文件的MD5值是否匹配,若匹配�,則執(zhí)行步驟S316 ;若不匹配��,則執(zhí)行步驟S318��。步驟S316 :控制服務(wù)器根據(jù)匹配結(jié)果�����,確定待檢測(cè)文件為正?���?蓤?zhí)行文件或?yàn)椴《疚募?����,向終端返回待檢測(cè)文件為正??蓤?zhí)行文件或?yàn)椴《疚募南?����,結(jié)束本次流程����。終端在接收到控制服務(wù)器返回的消息后,可以根據(jù)消息內(nèi)容進(jìn)行后續(xù)的處理���,如查殺病毒或執(zhí)行待檢測(cè)文件等�。步驟S318 :控制服務(wù)器確定待檢測(cè)文件為未知文件���,向終端返回待檢測(cè)文件為未知文件的消息�����,并通知終端上傳該未知文件的文件信息�����。步驟S320 :終端使用HTTP協(xié)議封裝該未知文件的文件信息���,并通過(guò)終端后臺(tái)直接上傳給控制服務(wù)器�。如����,終端上傳該未知文件的MD5值,以及以下信息至少之一該未知文件的數(shù)字簽名�����、文件版本號(hào)���、文件名����、該未知文件所屬的產(chǎn)品名���、產(chǎn)品版本號(hào)、該未知文件所屬的公司版 權(quán)信息等。本實(shí)施例中��,終端把未知文件的MD5值����,以及文件數(shù)字簽名、文件名���、文件版本號(hào)�、產(chǎn)品名�、產(chǎn)品版本號(hào)、公司copyright (版權(quán)信息)�,作為POST的內(nèi)容以HTTP協(xié)議發(fā)送控制服務(wù)器。步驟S322 :控制服務(wù)器接收終端通過(guò)終端后臺(tái)直接上傳的未知文件的文件信息并保存��,向終端返回上傳成功消息��。步驟S324 :控制服務(wù)器對(duì)該未知文件的文件信息進(jìn)行分析��,確定該未知文件是否為安全文件�����;若確定為安全文件�,則通知終端放行該未知文件����;若確定不為安全文件��,則記錄該未知文件的MD5值�,通知終端禁止該未知文件運(yùn)行。例如����,終端所在電腦在使用者的主觀意識(shí)下,插入U(xiǎn)盤(pán)��,向內(nèi)網(wǎng)的終端復(fù)制了一個(gè)文件�。這時(shí)候,終端便會(huì)把文件特征發(fā)往控制服務(wù)器做查詢�����,控制服務(wù)器判斷是未知文件時(shí)向終端下發(fā)上傳通知���,那么終端便把該文件的文件信息發(fā)往控制服務(wù)器��,控制服務(wù)器將會(huì)記錄該文件的文件信息����,以便給管理員做參考�����。如�����,實(shí)現(xiàn)360私有云的功能����。360私有云需要構(gòu)建私有庫(kù),私有庫(kù)用于控制所有內(nèi)網(wǎng)文件的放行與禁用��,通過(guò)對(duì)文件信息進(jìn)行分析����,可以確定是放行還是該禁止該文件。通過(guò)本實(shí)施例���,實(shí)現(xiàn)了基于企業(yè)內(nèi)網(wǎng)的殺毒軟件終端以及控制服務(wù)器的C/S架構(gòu)��,終端通過(guò)HTTP協(xié)議做文件的查詢����,控制服務(wù)器通過(guò)查詢結(jié)果,對(duì)未知文件做上傳通知�����,終端通過(guò)下一個(gè)HTTP請(qǐng)求發(fā)送未知文件的文件信息�。本實(shí)施例的方案可以在企業(yè)內(nèi)網(wǎng)利用殺毒軟件終端,把監(jiān)控到的文件的文件特征(譬如文件的MD5值)�,發(fā)送到控制服務(wù)器鑒定,當(dāng)控制服務(wù)器鑒定結(jié)果為不是正常文件�����,也不是病毒時(shí)��,該文件即是未知文件���,控制服務(wù)器即通知?dú)⒍拒浖K端提交文件信息�����,提交的文件信息將會(huì)保存在控制服務(wù)器上����?��?刂品?wù)器能控制所有終端上傳有需要的文件�����,也有能力通知終端主動(dòng)后臺(tái)掃描所有文件�,并把未知文件提交控制服務(wù)器��。相比傳統(tǒng)企業(yè)級(jí)殺毒軟件不管控任何未知文件�����,內(nèi)網(wǎng)安全風(fēng)險(xiǎn)以及取證都要相對(duì)容易��。實(shí)施例四參照?qǐng)D4��,示出了根據(jù)本發(fā)明實(shí)施例四的一種文件信息收集裝置的結(jié)構(gòu)框圖����。本實(shí)施例的文件信息收集裝置設(shè)置于企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端,該裝置包括獲取模塊402��,用于從企業(yè)內(nèi)網(wǎng)的終端獲取待檢測(cè)文件的文件特征����,其中�����,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件��;判斷模塊404���,用于判斷待檢測(cè)文件的文件特征與控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正常可執(zhí)行文件的文件特征和病毒文件的文件特征是否匹配��;確定模塊406��,用于若判斷模塊404判斷待檢測(cè)文件的文件特征與正?�?蓤?zhí)行文件的文件特征和病毒文件的文件特征均不匹配���,則確定待檢測(cè)文件為未知文件��;收集模塊408�,用于向終端返回待檢測(cè)文件為未知文件的消息��,并通知終端上傳未知文件的文件信息��;接收并收集終端上傳的未知文件的文件信息。
優(yōu)選地���,待檢測(cè)文件的文件特征為對(duì)待檢測(cè)文件的文件內(nèi)容使用MD5算法后的MD5值��;本實(shí)施例的文件信息收集裝置還包括保存模塊410���,用于在獲取模塊402從終端獲取待檢測(cè)文件的文件特征之前,獲取正?��?蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容;分別對(duì)正?����?蓤?zhí)行文件的文件內(nèi)容和病毒文件的文件內(nèi)容使用MD5算法���,獲取正?���?蓤?zhí)行文件的MD5值和病毒文件的MD5值����;將正常可執(zhí)行文件的MD5值保存為正?��?蓤?zhí)行文件的文件特征����,將病毒文件的MD5值保存為病毒文件的文件特征。優(yōu)選地����,獲取模塊402,用于從企業(yè)內(nèi)網(wǎng)的終端獲取終端使用HTTP協(xié)議封裝的待檢測(cè)文件的MD5值�����。優(yōu)選地��,收集模塊408���,用于向終端返回待檢測(cè)文件為未知文件的消息��,并通知終端上傳未知文件的文件信息�;以及��,接收并收集終端通過(guò)終端后臺(tái)直接上傳的未知文件的文件信息���,其中���,未知文件的文件信息使用HTTP協(xié)議封裝����。優(yōu)選地���,本實(shí)施例的文件信息收集裝置還包括分析模塊412��,用于在收集模塊408收集未知文件的文件信息之后����,對(duì)未知文件的文件信息進(jìn)行分析�����,確定未知文件是否為安全文件���;若確定未知文件不為安全文件,則記錄未知文件的MD5值�,禁止未知文件運(yùn)行。優(yōu)選地��,收集模塊408收集的未知文件的文件信息包括未知文件的MD5值,以及以下信息至少之一未知文件的數(shù)字簽名�、文件版本號(hào)、文件名���、未知文件所屬的產(chǎn)品名����、產(chǎn)品版本號(hào)��、未知文件所屬的公司版權(quán)信息����。優(yōu)選地,終端中新增加的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的��、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件��;進(jìn)行了修改的文件為終端通過(guò)企業(yè)內(nèi)網(wǎng)確認(rèn)的�����、企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件��。本實(shí)施例的文件信息收集裝置用于實(shí)現(xiàn)前述多個(gè)方法實(shí)施例中相應(yīng)的控制服務(wù)器端的文件信息收集方法��,并具有相應(yīng)的方法實(shí)施例的有益效果,在此不再贅述���。
本發(fā)明提供的未知文件的文件信息收集方案有效解決了現(xiàn)有殺毒軟件無(wú)法對(duì)未知文件進(jìn)行有效檢測(cè)和防御的問(wèn)題�,實(shí)現(xiàn)了未知文件的檢測(cè)和防御�。此外,控制服務(wù)器在分布式的殺毒軟件終端上傳企業(yè)內(nèi)所有的未知文件的機(jī)制���,能實(shí)現(xiàn)更多基于此功能的其他應(yīng)用�����,譬如文件的傳輸取證���,對(duì)未知文件的自動(dòng)鑒定系統(tǒng),基于網(wǎng)內(nèi)的未知文件數(shù)量比例以及計(jì)算機(jī)內(nèi)的未知文件數(shù)量的安全評(píng)估系統(tǒng)等等�����。在此提供的算法不與任何特定計(jì)算機(jī)���、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用����。根據(jù)上面的描述�����,構(gòu)造具有本發(fā)明方案的系統(tǒng)所要求的結(jié)構(gòu)是顯而易見(jiàn)的��。此外��,本發(fā)明也不針對(duì)任何特定編程語(yǔ)言����。應(yīng)當(dāng)明白�����,可以利用各種編程語(yǔ)言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容����,并且上面對(duì)特定語(yǔ)言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式。在此處所提供的說(shuō)明書(shū)中�,說(shuō)明了大量具體細(xì)節(jié)。然而���,能夠理解�����,本發(fā)明的實(shí)施例可以在沒(méi)有這些具體細(xì)節(jié)的情況下實(shí)踐���。在一些實(shí)例中����,并未詳細(xì)示出公知的方法�����、結(jié)構(gòu)和技術(shù)�,以便不模糊對(duì)本說(shuō)明書(shū)的理解。類似地��,應(yīng)當(dāng)理解���,為了精簡(jiǎn)本公開(kāi)并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)�����,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例�、圖�����、或者對(duì)其的描述中�。然而���,并不應(yīng)將該公開(kāi)的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征���。更確切地說(shuō),如權(quán)利要求書(shū)所反映的那樣�����,發(fā)明方面在于少于前面公開(kāi)的單個(gè)實(shí)施例的所有特征�����。因此��,遵循具體實(shí)施方式
的權(quán)利要求書(shū)由此明確地并入該具體實(shí)施方式
���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例���。本領(lǐng)域那些技術(shù)人員可以理解���,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地·改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?��?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件���,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件。除了這樣的特征和/或過(guò)程或者單元中的至少一些是相互排斥之外�,可以采用任何組合對(duì)本說(shuō)明書(shū)(包括伴隨的權(quán)利要求、摘要和附圖)中公開(kāi)的所有特征以及如此公開(kāi)的任何方法或者設(shè)備的所有過(guò)程或單元進(jìn)行組合����。除非另外明確陳述,本說(shuō)明書(shū)(包括伴隨的權(quán)利要求�����、摘要和附圖)中公開(kāi)的每個(gè)特征可以由提供相同��、等同或相似目的的替代特征來(lái)代替�。此外,本領(lǐng)域的技術(shù)人員能夠理解�,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如���,在權(quán)利要求書(shū)中,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用���。本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)��,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn)�����,或者以它們的組合實(shí)現(xiàn)����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解���,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的未知文件的文件信息收集方案中的一些或者全部部件的一些或者全部功能�。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如��,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)���。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上�,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到�,或者在載體信號(hào)上提供,或者以任何其他形式提供�����。應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制�����,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例��。在權(quán)利要求中��,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制�����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟��。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件���。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)�����。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個(gè)可以是通過(guò)同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)���。單詞第一�����、第二、以及第三等的使用不表示任何順序����。可將這些單詞解釋為名稱�。
權(quán)利要求
1.一種文件信息收集方法,其特征在于�����,包括 企業(yè)內(nèi)網(wǎng)控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征�����,其中���,所述待檢測(cè)文件包括所述終端中新增加的文件和/或進(jìn)行了修改的文件��; 所述控制服務(wù)器判斷所述待檢測(cè)文件的文件特征與所述控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?��?蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配�; 若所述待檢測(cè)文件的文件特征與所述正?��?蓤?zhí)行文件的文件特征和所述病毒文件的文件特征均不匹配���,則所述控制服務(wù)器確定所述待檢測(cè)文件為未知文件; 所述控制服務(wù)器向所述終端返回所述待檢測(cè)文件為未知文件的消息����,并通知所述終端上傳所述未知文件的文件信息; 所述控制服務(wù)器接收并收集所述終端上傳的所述未知文件的文件信息��。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于�,所述待檢測(cè)文件的文件特征為對(duì)所述待檢測(cè)文件的文件內(nèi)容使用MD5算法后的MD5值����; 在所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征的步驟之前�,還包括所述控制服務(wù)器獲取所述正?��?蓤?zhí)行文件的文件內(nèi)容和所述病毒文件的文件內(nèi)容��;分別對(duì)所述正?����?蓤?zhí)行文件的文件內(nèi)容和所述病毒文件的文件內(nèi)容使用MD5算法�����,獲取所述正常可執(zhí)行文件的MD5值和所述病毒文件的MD5值���;將所述正?��?蓤?zhí)行文件的MD5值保存為所述正常可執(zhí)行文件的文件特征����,將所述病毒文件的MD5值保存為所述病毒文件的文件特征。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于�,所述控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征的步驟包括 所述控制服務(wù)器接收所述終端使用HTTP協(xié)議封裝的所述待檢測(cè)文件的MD5值���。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在于,所述控制服務(wù)器接收并收集所述終端上傳的所述未知文件的文件信息的步驟包括 所述控制服務(wù)器接收并收集所述終端通過(guò)終端后臺(tái)直接上傳的所述未知文件的文件信息�����,其中�,所述未知文件的文件信息使用HTTP協(xié)議封裝。
5.根據(jù)權(quán)利要求2所述的方法�,其特征在于,在所述控制服務(wù)器接收并收集所述終端上傳的所述未知文件的文件信息的步驟之后�,還包括 所述控制服務(wù)器對(duì)所述未知文件的文件信息進(jìn)行分析,確定所述未知文件是否為安全文件�����; 若確定所述未知文件不為安全文件���,則記錄所述未知文件的MD5值�����,禁止所述未知文件運(yùn)行����。
6.根據(jù)權(quán)利要求2所述的方法,其特征在于�����,所述控制服務(wù)器接收并收集所述終端上傳的所述未知文件的文件信息的步驟包括 控制服務(wù)器接收并收集所述終端上傳的所述未知文件的MD5值��,以及以下信息至少之一所述未知文件的數(shù)字簽名��、文件版本號(hào)����、文件名��、所述未知文件所屬的產(chǎn)品名�����、產(chǎn)品版本號(hào)�、所述未知文件所屬的公司版權(quán)信息。
7.根據(jù)權(quán)利要求I所述的方法�����,其特征在于,所述終端中新增加的文件為所述終端通過(guò)所述企業(yè)內(nèi)網(wǎng)確認(rèn)的��、所述企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件����;所述進(jìn)行了修改的文件為所述終端通過(guò)所述企業(yè)內(nèi)網(wǎng)確認(rèn)的、所述企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件����。
8.一種文件信息收集裝置,其特征在于�,設(shè)置于企業(yè)內(nèi)網(wǎng)的控制服務(wù)器端,所述裝置包括獲取模塊�����,用于從所述企業(yè)內(nèi)網(wǎng)的終端獲取待檢測(cè)文件的文件特征���,其中�����,所述待檢測(cè)文件包括所述終端中新增加的文件和/或進(jìn)行了修改的文件���;判斷模塊����,用于判斷所述待檢測(cè)文件的文件特征與所述控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?���?蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配;確定模塊�,用于若所述判斷模塊判斷所述待檢測(cè)文件的文件特征與所述正常可執(zhí)行文件的文件特征和所述病毒文件的文件特征均不匹配���,則確定所述待檢測(cè)文件為未知文件��;收集模塊�����,用于向所述終端返回所述待檢測(cè)文件為未知文件的消息,并通知所述終端上傳所述未知文件的文件信息�;接收并收集所述終端上傳的所述未知文件的文件信息。
9.根據(jù)權(quán)利要求8所述的裝置����,其特征在于���,所述待檢測(cè)文件的文件特征為對(duì)所述待檢測(cè)文件的文件內(nèi)容使用MD5算法后的MD5值;所述裝置還包括保存模塊����,用于在所述獲取模塊從所述企業(yè)內(nèi)網(wǎng)的終端獲取所述待檢測(cè)文件的文件特征之前,獲取所述正?��?蓤?zhí)行文件的文件內(nèi)容和所述病毒文件的文件內(nèi)容���;分別對(duì)所述正常可執(zhí)行文件的文件內(nèi)容和所述病毒文件的文件內(nèi)容使用MD5算法�,獲取所述正常可執(zhí)行文件的MD5值和所述病毒文件的MD5值���;將所述正?��?蓤?zhí)行文件的MD5值保存為所述正常可執(zhí)行文件的文件特征����,將所述病毒文件的MD5值保存為所述病毒文件的文件特征。
10.根據(jù)權(quán)利要求9所述的裝置,其特征在于���,所述獲取模塊�,用于從所述企業(yè)內(nèi)網(wǎng)的終端獲取所述終端使用HTTP協(xié)議封裝的所述待檢測(cè)文件的MD5值����。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于��,所述收集模塊����,用于向所述終端返回所述待檢測(cè)文件為未知文件的消息,并通知所述終端上傳所述未知文件的文件信息��;以及���,接收并收集所述終端通過(guò)終端后臺(tái)直接上傳的所述未知文件的文件信息����,其中�����,所述未知文件的文件信息使用HTTP協(xié)議封裝��。
12.根據(jù)權(quán)利要求9所述的裝置�,其特征在于,還包括分析模塊�����,用于在所述收集模塊接收并收集所述終端上傳的所述未知文件的文件信息之后��,對(duì)所述未知文件的文件信息進(jìn)行分析�����,確定所述未知文件是否為安全文件�;若確定所述未知文件不為安全文件,則記錄所述未知文件的MD5值�,禁止所述未知文件運(yùn)行。
13.根據(jù)權(quán)利要求9所述的裝置�����,其特征在于�����,所述收集模塊收集的所述未知文件的文件信息包括所述未知文件的MD5值,以及以下信息至少之一所述未知文件的數(shù)字簽名��、文件版本號(hào)����、文件名、所述未知文件所屬的產(chǎn)品名��、產(chǎn)品版本號(hào)���、所述未知文件所屬的公司版權(quán)信息����。
14.根據(jù)權(quán)利要求8所述的裝置�����,其特征在于����,所述終端中新增加的文件為所述終端通過(guò)所述企業(yè)內(nèi)網(wǎng)確認(rèn)的、所述企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的新文件�;所述進(jìn)行了修改的文件為所述終端通過(guò)所述企業(yè)內(nèi)網(wǎng)確認(rèn)的、所述企業(yè)內(nèi)網(wǎng)的所有終端中當(dāng)前均不存在的修改后的文件�。
全文摘要
本申請(qǐng)?zhí)峁┝艘环N未知文件的文件信息收集方法與裝置��,其中���,未知文件的文件信息收集方法包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器從終端獲取待檢測(cè)文件的文件特征�,其中,待檢測(cè)文件為終端中新增加的文件和/或進(jìn)行了修改的文件�����;控制服務(wù)器判斷待檢測(cè)文件的文件特征與控制服務(wù)器中的文件特征數(shù)據(jù)庫(kù)中存儲(chǔ)的正?��?蓤?zhí)行文件的文件特征和病毒文件的文件特征是否匹配����;若不匹配�����,則控制服務(wù)器確定待檢測(cè)文件為未知文件�����;控制服務(wù)器向終端返回待檢測(cè)文件為未知文件的消息��,并通知終端上傳未知文件的文件信息;控制服務(wù)器接收并收集終端上傳的所述未知文件的文件信息��。通過(guò)本申請(qǐng)?zhí)岣吡讼到y(tǒng)的安全性��,以及未知文件檢測(cè)和處理效率����。
文檔編號(hào)G06F21/56GK102945348SQ20121040157
公開(kāi)日2013年2月27日 申請(qǐng)日期2012年10月19日 優(yōu)先權(quán)日2012年10月19日
發(fā)明者鄧振波, 李宇, 溫銘, 張家柱 申請(qǐng)人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司