文件查殺方法、裝置及系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及一種信息安全技術,特別是涉及一種文件查殺方法、裝置及系統(tǒng)。
【背景技術】
[0002]針對文件安全的實時查殺與針對文件威脅的掃描不同,文件威脅的掃描,可以將文件掃描之后,由客戶端再根據(jù)文件掃描結(jié)果對文件進行安全處理。對于文件的實時查殺這種方式并不可行,例如用戶需要打開一個文件的時候,若將文件進行阻塞,等待檢測是否存在威脅之后,再進行放行打開或者攔截禁止打開,這都需要耗費較長的時間,導致非常差的用戶體驗。因此,為了保證文件打開的及時性,目前一般采用延時上報的方式對文件進行實時威脅的查殺,即先放行打開,之后將文件上傳云端,由云端進行威脅檢測,云端將檢測結(jié)果返回客戶端,客戶端根據(jù)檢測結(jié)果對文件進行處理。
[0003]在實施目前上述文件安全實時查殺的方法時,發(fā)現(xiàn)這種上報的方式會對帶來較大的安全問題。例如,在企業(yè)網(wǎng)絡內(nèi),一臺終端感染病毒之后與其相近的其他終端很可能也會被感染。如果采用延時上報的方案,先對惡意文件進行放行,再對惡意文件進行安全檢測的話,可能中間至少需要1、2秒鐘,但這1、2秒鐘時間已經(jīng)足夠惡意文件將附近的終端都感染了,以此類推,只要有延時的存在就會存在無法控制的情況發(fā)生。
【發(fā)明內(nèi)容】
[0004]有鑒于此,本發(fā)明提供一種文件實時威脅查殺方法、裝置及系統(tǒng),主要目的在于對快速擴散的惡意文件進行有效的查殺。
[0005]依據(jù)本發(fā)明一個方面,提供了一種文件安全查殺方法,包括:
[0006]云端服務器獲取客戶端上傳的待檢測的文件;
[0007]對所述文件進行安全檢測;
[0008]當檢測到所述文件為惡意文件時,獲取所述惡意文件的文件特征,將檢測結(jié)果返回給所述客戶端,并將所述文件特征發(fā)送給預定范圍內(nèi)的所有客戶端,以便接收到所述文件特征的客戶端在第一時間內(nèi)在其本地完成對所述惡意文件的查殺。
[0009]依據(jù)本發(fā)明另一個方面,提供了一種文件安全查殺方法,包括:
[0010]客戶端接收云端服務器發(fā)送的惡意文件的文件特征,所述客戶端位于預定范圍內(nèi);
[0011]根據(jù)所述文件特征在第一時間內(nèi)針對所述惡意文件進行本地查殺。
[0012]依據(jù)本發(fā)明另一個方面,提供了一種云端服務器,包括:
[0013]文件獲取單元,用于獲取客戶端上傳的待檢測的文件;
[0014]檢測單元,用于對所述文件進行安全檢測;
[0015]文件特征獲取單元,用于當檢測到所述文件為惡意文件時,獲取所述惡意文件的文件特征;
[0016]第一發(fā)送單元,用于將檢測結(jié)果返回給所述客戶端;
[0017]第二發(fā)送單元,用于將所述文件特征發(fā)送給預定范圍內(nèi)的所有客戶端,以便接收到所述文件特征的客戶端在其本地完成對所述惡意文件的查殺。
[0018]依據(jù)本發(fā)明另一個方面,提供了一種客戶端,所述客戶端位于預定范圍內(nèi),包括:
[0019]接收單元,用于接收云端服務器發(fā)送的惡意文件的文件特征;
[0020]查殺單元,用于根據(jù)所述文件特征在第一時間內(nèi)針對所述惡意文件進行本地查殺。
[0021]據(jù)本發(fā)明另一個方面,提供了一種文件安全查殺系統(tǒng),包括:第一客戶端、如上所述的云端服務器以及如上所述的第二客戶端;
[0022]所述第一客戶端,用于當用戶打開待檢測的文件,并將所述待檢測的文件上傳到云端服務器;接收所述云端服務器返回的檢測結(jié)果,當所述檢測結(jié)果為惡意文件時,對所述惡意文件進行查殺。
[0023]借由上述技術方案,本發(fā)明實施例提供的技術方案至少具有下列優(yōu)點:
[0024]本發(fā)明提供的文件安全查殺方法、裝置及系統(tǒng),當云端服務器檢測到一個客戶端上傳的文件為惡意文件時,及時的向預定區(qū)域內(nèi)的所有終端發(fā)送該惡意文件的文件特征,以便其他客戶端在第一時間內(nèi)針對該惡意文件進行本地查殺時,不需要將惡意文件上傳到云端服務器,由服務器進行查找,在客戶端本地即可實現(xiàn)惡意文件的查殺,與現(xiàn)有技術相比,預定范圍內(nèi)的每個客戶端均節(jié)省了由客戶端發(fā)送給云端服務器以及云端服務器進行檢測,并將檢測結(jié)果返回所用時間,極大的加快了惡意文件的查殺速度,有效的遏制了快速擴散惡意文件的擴散。
[0025]上述說明僅是本發(fā)明技術方案的概述,為了能夠更清楚了解本發(fā)明的技術手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】。
【附圖說明】
[0026]通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
[0027]圖1示出了本發(fā)明實施例提供的一種云端服務器側(cè)文件安全查殺方法的流程圖;
[0028]圖2示出了本發(fā)明實施例提供的一種客戶端側(cè)文件安全查殺方法的流程圖;
[0029]圖3示出了本發(fā)明實施例提供的一種云端服務器的組成框圖;
[0030]圖4示出了本發(fā)明實施例提供的一種客戶端的組成框圖;
[0031]圖5示出了本發(fā)明實施例提供的另一種客戶端的組成框圖;
[0032]圖6示出了本發(fā)明實施例提供的另一種客戶端的組成框圖;
[0033]圖7示出了本發(fā)明實施例提供的一種文件安全查殺系統(tǒng)的組成框圖。
【具體實施方式】
[0034]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達給本領域的技術人員。
[0035]本發(fā)明實施例提供一種文件安全查殺方法,該方法為云端服務器側(cè)的方法,如圖1所示,該方法包括:
[0036]101、云端服務器獲取客戶端上傳的待檢測的文件。
[0037]其中,所述待檢測的文件為在客戶端處未確定文件安全性并且對其操作已放行的文件。在實際實施的過程中,當用戶在終端設備上打開一個文件時,為了不影響用戶的打開文件的速度,一般先將文件打開,再將打開的文件上傳到云端服務器進行文件的安全性檢測。
[0038]102、對所述文件進行安全檢測。
[0039]在對文件進行安全檢測時,可以采用現(xiàn)有技術中的任一種方法,本發(fā)明實施例對此不進行限制。
[0040]例如,針對包含Oday漏洞惡意文件的檢測查殺,對所述文件進行安全檢測具體包括:將待檢測文件過漏洞基礎數(shù)據(jù)庫,查看是否能夠得到漏洞編號;若沒有得到漏洞編號,則根據(jù)所述待檢測文件的類型確定所述待檢測文件是否為惡意文件,若確定所述待檢測文件為惡意文件,則確定所述待檢測文件中的漏洞為Oday漏洞。其中,所述漏洞基礎數(shù)據(jù)庫為已知漏洞數(shù)據(jù)庫,數(shù)據(jù)庫中每條漏洞信息包括漏洞所在文件的文件類型、漏洞編號以及漏洞檢測邏輯,所述漏洞編號和漏洞檢測邏輯均唯一并且一一對應。其中,所述漏洞基礎數(shù)據(jù)庫根據(jù)經(jīng)驗設定,該漏洞基礎數(shù)據(jù)庫中記錄了所有已知漏洞的信息,漏洞編號為在建立漏洞基礎數(shù)據(jù)庫時設置的編號,其唯一的標識了一個漏洞;漏洞檢測邏輯為檢測并觸發(fā)漏洞威脅的方法。
[0041]其中,根據(jù)所述待檢測文件的類型確定所述待檢測文件是否為惡意文件時,首先獲取待檢測文件的類型,通過獲取其對應的漏洞檢測邏輯對待檢測的文件進行檢測,當待檢測文件觸發(fā)漏洞基礎數(shù)據(jù)庫中的漏洞時,根據(jù)漏洞檢測邏輯獲取漏洞編號,從而說明待檢測文件的漏洞類型為已知漏洞類型;當待檢測文件不能觸發(fā)漏洞基礎數(shù)據(jù)庫中的漏洞時,該待檢測文件可能是正常文件,也有可能是帶有漏洞的文件,具體的還需對待檢測文件作進一步的檢測。
[0042]在識別Oday漏洞時是基于漏洞基礎數(shù)據(jù)庫進行,由于該漏洞基礎數(shù)據(jù)庫為已知漏洞數(shù)據(jù)庫,該已