在完成文件的接收之前使用元数据标识文件并确定文件的安全性分类制造技术

本申请的各实施例涉及在完成文件的接收之前使用元数据标识文件并确定文件的安全性分类。安全性平台可以在文件的接收期间确定与该文件相关联的元数据。该文件可以是针对客户端设备的。安全性平台可以基于元数据并且在文件的接收期间计算与文件相关联的散列。安全性平台可以在文件的接收期间标识已存储散列，该已存储散列匹配与文件相关联的散列。安全性平台可以基于与对应于已存储散列的安全性分类相关联的信息来确定文件的安全性分类。可以在文件的接收完成之前确定文件的安全性分类。基于文件的安全性分类，安全性平台可以选择性地允许客户端设备完成文件的接收。

【技术实现步骤摘要】
在完成文件的接收之前使用元数据标识文件并确定文件的安全性分类
本申请的各实施例涉及在完成文件的接收之前使用元数据标识文件并确定文件的安全性分类。
技术介绍
安全性平台可以向客户端设备提供一个或多个威胁防护服务。例如，安全性平台可以被配置为在允许客户端设备访问文件之前确定从服务器(例如，与网站相关联的服务器)接收的文件的安全性分类。安全性平台可以使用例如统一资源定位符(URL)信誉、黑名单、白名单、反病毒扫描、反恶意软件技术和/或诸如此类来确定文件的安全性分类。
技术实现思路
根据一些可能的实现方式，一种安全性平台可以包括一个或多个处理器以：在文件的接收期间，确定与所述文件相关联的元数据，其中该文件是针对客户端设备的；基于所述元数据并且在所述文件的接收期间计算与所述文件相关联的散列；在所述文件的接收期间标识已存储散列，所述已存储散列匹配与所述文件相关联的散列；基于与对应于已存储散列的安全性分类相关联的信息来确定所述文件的安全性分类，其中所述文件的安全性分类在所述文件的接收完成之前被确定；并且基于所述文件的安全性分类来选择性地允许所述客户端设备完成所述文件的接收。根据一些可能的实现方式，一种非暂时性计算机可读介质可以存储一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：在文件的接收期间并且基于与所述文件相关联的元数据来计算与所述文件相关联的散列，其中所述文件是针对客户端设备的；在所述文件的接收期间标识已存储散列，所述已存储散列匹配与所述文件相关联的散列；基于与对应于所述已存储散列的安全性分类相关联的信息，在所述文件的接收完成之前确定所述文件的安全性分类；并且基于所述文件的安全性分类来选择性地允许所述客户端设备完成所述文件的接收。根据一些可能的实现方式，一种方法可以包括：由设备并且在文件的接收期间，确定与所述文件相关联的元数据，其中所述文件是针对客户端设备的；由所述设备并且在所述文件的接收期间计算与所述文件相关联的至少一个散列，其中所述至少一个散列基于所述元数据而被计算；由所述设备并且在所述文件的接收期间标识已存储散列，所述已存储散列匹配与所述文件相关联的所述至少一个散列中的一个散列；由所述设备基于与对应于所述已存储散列的安全性分类相关联的信息来确定所述文件的安全性分类，其中所述文件的安全性分类在所述文件的接收完成之前倍确定；以及由所述设备并且基于所述文件的所述安全性分类来选择性地使得所述文件的整体被提供给所述客户端设备。附图说明图1A和图1B是本文所描述的示例实现方式的概述的示图；图2是其中可以实现本文所描述的系统和/或方法的示例环境的示图；图3是图2的一个或多个设备的示例部件的示图；图4是用于确定文件的安全性分类、基于与文件相关联的元数据来计算散列以及存储与安全性分类相关联的信息和散列的示例过程的流程图；以及图5是用于在完成文件的接收之前、基于与文件相关联的散列来确定文件的安全性分类的示例过程的流程图。具体实施方式示例实现方式的以下详细描述参考附图。不同附图中的相同参考号可以标识相同或相似的元件。被配置为向客户端设备提供威胁防护服务的安全性平台可以(例如，从服务器设备并且经由网络设备)接收也被客户端设备接收的文件。为了向客户端设备提供威胁防护服务，安全性平台可以(例如，使用反病毒软件、使用反恶意软件的软件等等)分析文件，并且基于分析的结果(例如，指示该文件是否是恶意文件、可疑文件、干净文件和/或诸如此类)来确定文件的安全性分类。然而，为了确保安全性分类的准确确定，在确定安全性分类之前，安全性平台可能需要等待直到文件的接收完成。因此，与确定文件的安全性分类相关联的成本(例如，时间成本、网络资源中的成本、处理器资源中的成本和/或诸如此类)可能会高得不合期望，因为在确定安全性分类之前需要接收每个文件的全部。即使当与接收到的文件相关联的安全性分类被存储以用于在稍后时间使用时，这样的成本仍可能保持高得不合期望，因为在安全性平台能够确定文件是否先前已被分类之前，仍然必须完成文件的稍后接收。此外，为了实现防止在客户端设备处的攻击的线内阻塞，应在客户端设备完成文件的接收之前确定文件的安全性分类。确定安全性分类，或者甚至于标识文件，可以不依赖于统一资源定位符(URL)，其中客户端设备经由该统一资源定位符(URL)请求文件。例如，由于单个URL可以服务文件的多个版本(例如，取决于下载的时间)，和/或可以服务针对不同操作系统的二进制文件(例如，基于请求头部)，因此由与该URL相关联的客户端设备接收的文件可能不同于与该URL相关联的先前接收的文件。类似地，文件的部分独自可能不被用于可靠地标识文件和/或确定安全性分类，因为举例来说攻击者可能将恶意代码注入到未被安全性平台分析的文件的另一部分中。本文所描述的一些实现方式提供了一种安全性平台，其能够在完成文件的接收之前(即，在安全性平台完成文件的接收之前)基于与文件相关联的散列来确定文件的安全性分类。在一些实现方式中，安全性平台可以基于由安全性平台创建、管理、维护或可访问的散列存储库来确定安全性分类。这里，安全性平台可以将散列与被包括在散列存储库中的并与先前接收的文件相关联的已存储散列进行比较，以便在完成文件的接收之前确定文件的安全性分类。在一些实现方式中，安全性分类的基于散列的确定减少了与确定文件的安全性分类相关联的成本(例如，时间成本、处理器资源中的成本、网络资源中的成本和/或诸如此类)和/或允许与防护客户端设备免受恶意或可疑文件相关联的线内阻塞。图1A和图1B是本文所描述的示例实现方式100的概述的示图。为了示例实现方式100的目的，安全性平台被配置为向能够经由网络设备来与服务器设备(例如，网站服务器)通信的客户端设备提供威胁防护。图1A是安全性平台在完成文件的接收之前创建将被用于确定文件的安全性分类的散列存储库的示图。如图1A和由参考号102所示，服务器设备可以(例如，基于由客户端设备经由网络设备提供的超文本传输协议(HTTP)请求)提供与将被客户端设备接收的文件相关联的文件流(例如，一系列HTTP响应，其中每一个包括文件的部分)。如由参考号104所示，网络设备可以将由服务器设备提供的文件流发送给客户端设备，从而使得客户端设备接收完整文件(包括与该文件相关联的元数据)。如由参考号106所示，网络设备可以将文件流镜像到安全性平台(例如，从而使得安全性平台接收完整文件和与文件相关联的元数据)，以便允许安全性平台提供防护服务。如由参考号108所示，安全性平台可以(例如，基于分析完整文件)确定文件的安全性分类。安全性分类可以包括文件是否是恶意文件、可疑文件、干净文件和/或诸如此类的指示。如进一步所示，基于文件的安全性分类，安全性平台可以选择性地允许客户端设备访问文件。例如，如果安全性平台将文件分类为恶意文件或可疑文件，那么安全性平台可以不允许(即，可能阻止)客户端设备打开文件、执行文件、操纵文件和/或诸如此类。相反，如果安全性平台将文件分类为干净文件，那么安全性平台可以允许客户端设备打开文件、执行文件、操纵文件和/或诸如此类。如由参考号110所示，安全性平台还可以基于与文件相关联的元数据来计算与该文件相关联的散列。元数据可以包括例如被包本文档来自技高网...

【技术保护点】
1.一种安全性平台，包括：用于在文件的接收期间确定与所述文件相关联的元数据的装置，所述文件是针对客户端设备的；用于基于所述元数据并且在所述文件的所述接收期间计算与所述文件相关联的散列的装置；用于在所述文件的所述接收期间标识已存储散列的装置，所述已存储散列匹配与所述文件相关联的所述散列；用于基于与对应于所述已存储散列的安全性分类相关联的信息来确定所述文件的安全性分类的装置，所述文件的所述安全性分类在所述文件的所述接收完成之前被确定；以及用于基于所述文件的所述安全性分类来选择性地允许所述客户端设备完成所述文件的接收的装置。

【技术特征摘要】
2017.05.23 US 15/602,6821.一种安全性平台，包括：用于在文件的接收期间确定与所述文件相关联的元数据的装置，所述文件是针对客户端设备的；用于基于所述元数据并且在所述文件的所述接收期间计算与所述文件相关联的散列的装置；用于在所述文件的所述接收期间标识已存储散列的装置，所述已存储散列匹配与所述文件相关联的所述散列；用于基于与对应于所述已存储散列的安全性分类相关联的信息来确定所述文件的安全性分类的装置，所述文件的所述安全性分类在所述文件的所述接收完成之前被确定；以及用于基于所述文件的所述安全性分类来选择性地允许所述客户端设备完成所述文件的接收的装置。2.根据权利要求1所述的安全性平台，还包括：用于联接被包括在与所述文件相关联的所述元数据中的两个或更多个元数据项的装置；并且其中用于计算与所述文件相关联的所述散列的所述装置包括：用于使用联接的所述两个或更多个元数据项来计算所述散列的装置。3.根据权利要求1所述的安全性平台，还包括：用于标识所述文件的部分的装置；并且其中用于计算与所述文件相关联的所述散列的所述装置包括：用于进一步基于所述文件的所述部分来计算所述散列的装置。4.根据权利要求1所述的安全性平台，其中所述元数据包括以下各项中的至少一项：来自与所述文件相关联的响应的头部字段的信息；来自与所述文件相关联的统一资源定位符(URL)的信息；或有关与所述文件相关联的因特网协议(IP)地址的信息。5.根据权利要求4所述的安全性平台，其中来自所述头部字段的所述信息包括来自以下各项中的至少一项的信息：头部的实体标签字段；所述头部的最后修改的字段；或所述头部的内容长度字段。6.根据权利要求1所述的安全性平台，还包括：用于确定接收到的文件的安全性分类的装置；用于基于与所述接收到的文件相关联的元数据来计算与所述接收到的文件相关联的散列的装置；以及用于存储与所述接收到的文件相关联的所述散列以及与所述接收到的文件的安全性分类相关联的信息的装置，与所述接收到的文件相关联的所述散列是所述已存储散列，并且所述接收到的文件的所述安全性分类是对应于所述已存储散列的所述安全性分类。7.根据权利要求6所述的安全性平台，其中用于存储与所述接收到的文件相关联的所述散列以及与所述安全性分类相关联的所述信息的所述装置包括：用于确定与提供所述接收到的文件的服务器设备相关联的信誉信息的装置；以及用于基于所述信誉信息来选择性地存储与所述接收到的文件相关联的所述散列以及与所述安全性分类相关联的所述信息的装置。8.一种存储指令的非暂时性计算机可读介质，所述指令包括：一个或多个指令，所述一个或多个指令在由一个或多个处理器执行时，使得所述一个或多个处理器：在文件的接收期间并且基于与所述文件相关联的元数据来计算与所述文件相关联的散列，所述文件是针对客户端设备的；在所述文件的所述接收期间标识已存储散列，所述已存储散列匹配与所述文件相关联的散列；在所述文件的所述接收完成之前，基于与对应于所述已存储散列的安全性分类相关联的信息来确定所述文件的安全性分类；以及基于所述文件的所述安全性分类来选择性地允许所述客户端设备完成所述文件的接收。9.根据权利要求8所述的非暂时性计算机可读介质，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：联接被包括在与所述文件相关联的所述元数据中的两个或更多个元数据项；并且其中使得所述一个或多个处理器计算与所述文件相关联的所述散列的所述一个或多个指令使得所述一个或多个处理器：基于联接的所述两个或更多个元数据项来计算所述散列。10.根据权利要求8所述的非暂时性计算机可读介质，其中所述一个或多个指令在由所述一个或多个处理器执行时，还使得所述一个或多个处理器：标识所述文件的部分；并且其中使得所述一个或多个处理器计算与所述文件相关联的所述散列的所述一个或多个指令使得所述一个或多个处理器：进一步基于所述文件的所述部分来计算所述散列。11.根据权利要求8所述的非暂时性计算机可读介质，其中所述元数据包括以下各项中的至少一项：来自与所述文件相关联的响应的头部字...

【专利技术属性】
技术研发人员：Y·N·B·特诺里奥，考伟函，D·J·奎恩兰，V·库兹内特索夫，Y·沃伊纳洛维斯，
申请(专利权)人：瞻博网络公司，
类型：发明
国别省市：美国,US