本发明专利技术公开了一种文件安全查杀方法、装置及系统,涉及一种信息安全技术,主要目的在于对快速扩散的恶意文件进行有效的查杀。本发明专利技术的主要技术方案为:云端服务器获取客户端上传的待检测的文件;对所述文件进行安全检测;当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内;根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。本发明专利技术主要用于文件实时查杀的过程中。
【技术实现步骤摘要】
文件查杀方法、装置及系统
本专利技术涉及一种信息安全技术,特别是涉及一种文件查杀方法、装置及系统。
技术介绍
针对文件安全的实时查杀与针对文件威胁的扫描不同,文件威胁的扫描,可以将文件扫描之后,由客户端再根据文件扫描结果对文件进行安全处理。对于文件的实时查杀这种方式并不可行,例如用户需要打开一个文件的时候,若将文件进行阻塞,等待检测是否存在威胁之后,再进行放行打开或者拦截禁止打开,这都需要耗费较长的时间,导致非常差的用户体验。因此,为了保证文件打开的及时性,目前一般采用延时上报的方式对文件进行实时威胁的查杀,即先放行打开,之后将文件上传云端,由云端进行威胁检测,云端将检测结果返回客户端,客户端根据检测结果对文件进行处理。在实施目前上述文件安全实时查杀的方法时,发现这种上报的方式会对带来较大的安全问题。例如,在企业网络内,一台终端感染病毒之后与其相近的其他终端很可能也会被感染。如果采用延时上报的方案,先对恶意文件进行放行,再对恶意文件进行安全检测的话,可能中间至少需要1、2秒钟,但这1、2秒钟时间已经足够恶意文件将附近的终端都感染了,以此类推,只要有延时的存在就会存在无法控制的情况发生。
技术实现思路
有鉴于此,本专利技术提供一种文件实时威胁查杀方法、装置及系统,主要目的在于对快速扩散的恶意文件进行有效的查杀。依据本专利技术一个方面,提供了一种文件安全查杀方法,包括:云端服务器获取客户端上传的待检测的文件;对所述文件进行安全检测;当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。依据本专利技术另一个方面,提供了一种文件安全查杀方法,包括:客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内;根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。依据本专利技术另一个方面,提供了一种云端服务器,包括:文件获取单元,用于获取客户端上传的待检测的文件;检测单元,用于对所述文件进行安全检测;文件特征获取单元,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征;第一发送单元,用于将检测结果返回给所述客户端;第二发送单元,用于将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在其本地完成对所述恶意文件的查杀。依据本专利技术另一个方面,提供了一种客户端,所述客户端位于预定范围内,包括:接收单元,用于接收云端服务器发送的恶意文件的文件特征;查杀单元,用于根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。据本专利技术另一个方面,提供了一种文件安全查杀系统,包括:第一客户端、如上所述的云端服务器以及如上所述的第二客户端;所述第一客户端,用于当用户打开待检测的文件,并将所述待检测的文件上传到云端服务器;接收所述云端服务器返回的检测结果,当所述检测结果为恶意文件时,对所述恶意文件进行查杀。借由上述技术方案,本专利技术实施例提供的技术方案至少具有下列优点:本专利技术提供的文件安全查杀方法、装置及系统,当云端服务器检测到一个客户端上传的文件为恶意文件时,及时的向预定区域内的所有终端发送该恶意文件的文件特征,以便其他客户端在第一时间内针对该恶意文件进行本地查杀时,不需要将恶意文件上传到云端服务器,由服务器进行查找,在客户端本地即可实现恶意文件的查杀,与现有技术相比,预定范围内的每个客户端均节省了由客户端发送给云端服务器以及云端服务器进行检测,并将检测结果返回所用时间,极大的加快了恶意文件的查杀速度,有效的遏制了快速扩散恶意文件的扩散。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本专利技术的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1示出了本专利技术实施例提供的一种云端服务器侧文件安全查杀方法的流程图;图2示出了本专利技术实施例提供的一种客户端侧文件安全查杀方法的流程图;图3示出了本专利技术实施例提供的一种云端服务器的组成框图;图4示出了本专利技术实施例提供的一种客户端的组成框图;图5示出了本专利技术实施例提供的另一种客户端的组成框图;图6示出了本专利技术实施例提供的另一种客户端的组成框图;图7示出了本专利技术实施例提供的一种文件安全查杀系统的组成框图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本专利技术实施例提供一种文件安全查杀方法,该方法为云端服务器侧的方法,如图1所示,该方法包括:101、云端服务器获取客户端上传的待检测的文件。其中,所述待检测的文件为在客户端处未确定文件安全性并且对其操作已放行的文件。在实际实施的过程中,当用户在终端设备上打开一个文件时,为了不影响用户的打开文件的速度,一般先将文件打开,再将打开的文件上传到云端服务器进行文件的安全性检测。102、对所述文件进行安全检测。在对文件进行安全检测时,可以采用现有技术中的任一种方法,本专利技术实施例对此不进行限制。例如,针对包含0day漏洞恶意文件的检测查杀,对所述文件进行安全检测具体包括:将待检测文件过漏洞基础数据库,查看是否能够得到漏洞编号;若没有得到漏洞编号,则根据所述待检测文件的类型确定所述待检测文件是否为恶意文件,若确定所述待检测文件为恶意文件,则确定所述待检测文件中的漏洞为0day漏洞。其中,所述漏洞基础数据库为已知漏洞数据库,数据库中每条漏洞信息包括漏洞所在文件的文件类型、漏洞编号以及漏洞检测逻辑,所述漏洞编号和漏洞检测逻辑均唯一并且一一对应。其中,所述漏洞基础数据库根据经验设定,该漏洞基础数据库中记录了所有已知漏洞的信息,漏洞编号为在建立漏洞基础数据库时设置的编号,其唯一的标识了一个漏洞;漏洞检测逻辑为检测并触发漏洞威胁的方法。其中,根据所述待检测文件的类型确定所述待检测文件是否为恶意文件时,首先获取待检测文件的类型,通过获取其对应的漏洞检测逻辑对待检测的文件进行检测,当待检测文件触发漏洞基础数据库中的漏洞时,根据漏洞检测逻辑获取漏洞编号,从而说明待检测文件的漏洞类型为已知漏洞类型;当待检测文件不能触发漏洞基础数据库中的漏洞时,该待检测文件可能是正常文件,也有可能是带有漏洞的文件,具体的还需对待检测文件作进一步的检测。在识别0day漏洞时是基于漏洞基础数据库进行,由于该漏洞基础数据库为已知漏洞数据库,该已知漏洞数据库中存储有现有的所有已知漏洞,并且漏洞数据库中的每一条漏洞信息都对应漏洞唯一的检测逻辑,将待检测文件通过漏洞数据库中的漏洞检测逻辑进行检测,若能够得到检测出漏洞,那么该检测出的漏洞一定是已知漏洞,若没有检测到漏洞,但是后来又分析出漏洞,则该后分析出的漏洞本文档来自技高网...
【技术保护点】
一种文件查杀方法,其特征在于,包括:云端服务器获取客户端上传的待检测的文件;对所述文件进行安全检测;当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。
【技术特征摘要】
1.一种文件查杀方法,其特征在于,包括:云端服务器获取客户端上传的待检测的文件;对所述文件进行安全检测;当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征,将检测结果返回给所述客户端,并将所述文件特征发送给预定范围内的所有客户端,以便接收到所述文件特征的客户端在第一时间内在其本地完成对所述恶意文件的查杀。2.根据权利要求1所述的方法,其特征在于,所述待检测的文件包括在客户端处未确定文件安全性并且对其操作已放行的文件。3.根据权利要求1或2所述的方法,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、特征值、存储路径、恶意行为特征。4.一种文件查杀方法,其特征在于,包括:客户端接收云端服务器发送的恶意文件的文件特征,所述客户端位于预定范围内,所述恶意文件的文件特征是所述云端服务器在检测到上传的待检测文件为恶意文件时发送的;根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀。5.根据权利要求4所述的方法,其特征在于,所述文件特征为以下内容中的一项或者任意多项的组合,包括:文件名、存储路径、特征值、恶意行为特征。6.根据权利要求5所述的方法,其特征在于,根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀包括:所述客户端接收所述文件特征之后,在第一时间内主动根据所述文件特征在终端设备中查找所述恶意文件并进行查杀。7.根据权利要求6所述的方法,其特征在于,还包括:将所述文件特征存储在本地文件特征库中,以便后续对所述恶意文件进行查杀。8.根据权利要求5所述的方法,其特征在于,还包括:所述客户端在接收到所述文件特征之后,将所述文件特征存储在本地文件特征库中;所述根据所述文件特征在第一时间内针对所述恶意文件进行本地查杀具体为:当所述恶意文件被打开后,在第一时间内查询所述本地文件特征库对所述恶意文件进行查杀;或者在第一时间内根据终端用户的触发查询所述本地文件特征库对所述恶意文件进行查杀。9.一种云端服务器,其特征在于,包括:文件获取单元,用于获取客户端上传的待检测的文件;检测单元,用于对所述文件进行安全检测;文件特征获取单元,用于当检测到所述文件为恶意文件时,获取所述恶意文件的文件特征;第一发送单元,用于将检测结果返回给所...
【专利技术属性】
技术研发人员:汪圣平,杨晓东,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。