一種文件鑒定裝置及方法
【專利摘要】本發(fā)明提供了一種文件鑒定裝置及方法,所述裝置包括:靜態(tài)檢測模塊,對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊;動態(tài)檢測模塊,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;統(tǒng)計模塊,用于匯總檢測結(jié)果,并反饋給用戶。本發(fā)明還相應(yīng)提供了文件鑒定方法,通過本發(fā)明的裝置及方法,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下,進(jìn)行文件鑒定,同時不占用網(wǎng)絡(luò)設(shè)備自身資源,具有較高的工作及檢測效率。
【專利說明】一種文件鑒定裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】,尤其涉及一種文件鑒定裝置及方法。
【背景技術(shù)】
[0002]現(xiàn)有網(wǎng)絡(luò)設(shè)備一般都需要鑒定通過的文件是否有威脅,通常的做法是將待檢測文件上報給反病毒廠商,反病毒廠商通過動靜態(tài)檢測技術(shù)鑒定文件是否有威脅,并將鑒定結(jié)果反饋給用戶。將威脅文件上傳給反病毒廠商雖然可以解決文件鑒定問題,但是對于有一些威脅對象的網(wǎng)絡(luò)設(shè)備,其本身不具備將文件上傳給反病毒廠商的條件。例如,涉密的網(wǎng)絡(luò)設(shè)備或物理隔絕的網(wǎng)絡(luò)設(shè)備,由于數(shù)據(jù)的敏感性,是不能將數(shù)據(jù)上傳給反病毒廠商進(jìn)行文件鑒定的,因此在這種情況下將無法進(jìn)行文件鑒定。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種文件鑒定裝置及方法,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無法將文件上傳給反病毒廠商,但又需要進(jìn)行對文件鑒定的需求,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力。
[0004]一種文件鑒定裝置,包括:
靜態(tài)檢測模塊,用于對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊;
動態(tài)檢測模塊,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;
統(tǒng)計模塊,用于匯總檢測結(jié)果,并反饋給用戶。
[0005]所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中。
[0006]所述裝置中,對所述對文件進(jìn)行動態(tài)檢測為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0007]本發(fā)明還提供一種文件鑒定方法,適用于上述的文件鑒定裝置,包括:
a.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中;
b.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流;
c.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測;
d.根據(jù)反病毒引擎檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定,如果是,則執(zhí)行步驟e,否則執(zhí)行步驟g;
e.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置,對所述文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是,則執(zhí)行步驟f.,否則執(zhí)行步驟g ;
f.對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;
g.匯總檢測結(jié)果,并反饋給用戶。
[0008]所述的方法中,對所述文件進(jìn)行動態(tài)監(jiān)測為,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0009]本發(fā)明的優(yōu)勢在于,能夠通過本發(fā)明的裝置及方法,可以將文件鑒定通過增加模塊或虛擬機(jī)的形式,增加到與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中,使無法上傳文件到反病毒廠商的網(wǎng)絡(luò)設(shè)備,能夠通過局域網(wǎng)內(nèi)的其他設(shè)備,進(jìn)行文件鑒定,同時不占用網(wǎng)絡(luò)設(shè)備本身資源。
[0010]本發(fā)明提供了一種文件鑒定裝置及方法,所述裝置包括:靜態(tài)檢測模塊,對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊;動態(tài)檢測模塊,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;統(tǒng)計模塊,用于匯總檢測結(jié)果,并反饋給用戶。本發(fā)明還相應(yīng)提供了文件鑒定方法,通過本發(fā)明的裝置及方法,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下,進(jìn)行文件鑒定,同時不占用網(wǎng)絡(luò)設(shè)備自身資源,具有較高的工作及檢測效率。
【專利附圖】
【附圖說明】
[0011]為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0012]圖1為本發(fā)明一種文件鑒定裝置結(jié)構(gòu)示意圖;
圖2為本發(fā)明一種文件鑒定方法流程圖。
【具體實施方式】
[0013]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。
[0014]本發(fā)明提供了一種文件鑒定裝置及方法,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無法將文件上傳給反病毒廠商,但又需要進(jìn)行對文件鑒定的需求,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力。
[0015]一種文件鑒定裝置,如圖1所示,包括:
靜態(tài)檢測模塊101,用于對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊;
動態(tài)檢測模塊102,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;
統(tǒng)計模塊103,用于匯總檢測結(jié)果,并反饋給用戶。
[0016]所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中。通過網(wǎng)絡(luò)設(shè)備如防火墻等,與部署本發(fā)明文件檢定裝置的設(shè)備通信,實現(xiàn)對文件的鑒定,同時不占用網(wǎng)絡(luò)設(shè)備資源。
[0017]所述裝置中,對所述對文件進(jìn)行動態(tài)檢測為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0018]本發(fā)明還提供一種文件鑒定方法,適用于上述的文件鑒定裝置,如圖2所示,包括:
S201.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中; 5202.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流;
5203.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測;
5204.根據(jù)反病毒引擎檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定,如果是,則執(zhí)行步驟S205,否則執(zhí)行步驟S208 ;
5205.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置,對所述文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置;
S206:判斷是否需要進(jìn)行動態(tài)檢測,如果是,則執(zhí)行步驟S207,否則執(zhí)行步驟S208 ;
5207.對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;
5208.匯總檢測結(jié)果,并反饋給用戶。
[0019]所述的方法中,對所述文件進(jìn)行動態(tài)監(jiān)測為,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0020]本發(fā)明的優(yōu)勢在于,能夠通過本發(fā)明的裝置及方法,可以將文件鑒定通過增加模塊或虛擬機(jī)的形式,增加到與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中,使無法上傳文件到反病毒廠商的網(wǎng)絡(luò)設(shè)備,能夠通過局域網(wǎng)內(nèi)的其他設(shè)備,進(jìn)行文件鑒定,同時不占用網(wǎng)絡(luò)設(shè)備本身資源。
[0021]本發(fā)明提供了一種文件鑒定裝置及方法,所述裝置包括:靜態(tài)檢測模塊,對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊;動態(tài)檢測模塊,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為;統(tǒng)計模塊,用于匯總檢測結(jié)果,并反饋給用戶。本發(fā)明還相應(yīng)提供了文件鑒定方法,通過本發(fā)明的裝置及方法,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下,進(jìn)行文件鑒定,同時不占用網(wǎng)絡(luò)設(shè)備自身資源,具有較高的工作及檢測效率。
[0022]雖然通過實施例描繪了本發(fā)明,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。
【權(quán)利要求】
1.一種文件鑒定裝置,其特征在于,包括: 靜態(tài)檢測模塊,用于對網(wǎng)絡(luò)設(shè)備發(fā)送來的文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是則將所述文件發(fā)送到動態(tài)檢測模塊,否則執(zhí)行統(tǒng)計模塊; 動態(tài)檢測模塊,用于對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為; 統(tǒng)計模塊,用于匯總檢測結(jié)果,并反饋給用戶; 所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中。
2.如權(quán)利要求1所述裝置,其特征在于,對所述對文件進(jìn)行動態(tài)檢測為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
3.一種文件鑒定方法,適用于權(quán)利要求1所述的文件鑒定裝置,其特征在于,包括: a.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中; b.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流; c.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測; d.根據(jù)反病毒引擎檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定,如果是,則執(zhí)行步驟e,否則執(zhí)行步驟g; e.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置,對所述文件進(jìn)行靜態(tài)檢測,并根據(jù)檢測結(jié)果及用戶配置,判斷是否需要進(jìn)行動態(tài)檢測,如果是,則執(zhí)行步驟f.,否則執(zhí)行步驟g ; f.對所述文件進(jìn)行動態(tài)檢測,記錄并監(jiān)控文件行為; g.匯總檢測結(jié)果,并反饋給用戶。
4.如權(quán)利要求3所述的方法,其特征在于,對所述文件進(jìn)行動態(tài)監(jiān)測為,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
【文檔編號】H04L29/06GK103905419SQ201310641203
【公開日】2014年7月2日 申請日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】童志明, 沈長偉, 肖新光 申請人:哈爾濱安天科技股份有限公司