【技术实现步骤摘要】
一种文件信誉鉴定方法、装置及系统
本申请涉及网络安全
,具体而言,涉及一种文件信誉鉴定方法、装置及系统。
技术介绍
安全检测设备旁路部署于用户网络处,通过监听网络报文数据,发现安全事件并及时报警。但是由于鉴定样本文件的过程中需要消耗大量处理器资源,且耗时较长,此外,受限于设备本身处理资源的限制,不可能采用较复杂技术,因此,存在样本鉴定能力不足且鉴定效率低的问题。
技术实现思路
本申请实施例的目的在于提供一种文件信誉鉴定方法、装置及系统,利用云端样本鉴定服务器实现云地联动,达到查漏补缺的全面且快速鉴定的目的,解决了现有方法存在样本鉴定能力不足且鉴定效率低的问题。本申请实施例提供了一种文件信誉鉴定方法,应用于样本鉴定服务器,所述方法包括:接收安全检测设备发送的至少一个无法确定是否为恶意文件的样本文件HASH值的鉴定请求;对所述鉴定请求进行处理,以获得鉴定结果,并将所述鉴定结果发送至所述安全检测设备;接收所述安全检测设备返回的所述鉴定结果中的待详细鉴定样本并生成样本鉴定任务...
【技术保护点】
1.一种文件信誉鉴定方法,其特征在于,应用于样本鉴定服务器,所述方法包括:/n接收安全检测设备发送的至少一个无法确定是否为恶意文件的样本文件HASH值的鉴定请求;/n对所述鉴定请求进行处理,以获得鉴定结果,并将所述鉴定结果发送至所述安全检测设备;/n接收所述安全检测设备返回的所述鉴定结果中的待详细鉴定样本并生成样本鉴定任务和对应的鉴定任务序号;/n发送所述鉴定任务序号至所述安全检测设备,以使所述安全检测设备根据所述鉴定任务序号查询鉴定结果和鉴定详情信息。/n
【技术特征摘要】 【专利技术属性】
1.一种文件信誉鉴定方法,其特征在于,应用于样本鉴定服务器,所述方法包括:
接收安全检测设备发送的至少一个无法确定是否为恶意文件的样本文件HASH值的鉴定请求;
对所述鉴定请求进行处理,以获得鉴定结果,并将所述鉴定结果发送至所述安全检测设备;
接收所述安全检测设备返回的所述鉴定结果中的待详细鉴定样本并生成样本鉴定任务和对应的鉴定任务序号;
发送所述鉴定任务序号至所述安全检测设备,以使所述安全检测设备根据所述鉴定任务序号查询鉴定结果和鉴定详情信息。
2.根据权利要求1所述的文件信誉鉴定方法,其特征在于,在所述接收安全检测设备发送的鉴定请求的步骤之前,所述方法还包括:
接收安全检测设备发送的认证请求,以对所述安全检测设备进行认证;
根据存储的认证数据对所述安全检测设备进行认证;
发送认证成功标识、认证凭证、文件信誉列表和采样配置文件至所述安全检测设备,以使所述安全检测设备根据文件信誉列表HASH值和还原文件HASH值确定是否为恶意文件。
3.根据权利要求1所述的文件信誉鉴定方法,其特征在于,所述对所述鉴定请求进行处理,以获得鉴定结果,包括:
根据所述样本文件HASH值进行静态检索,并以黑、白、灰进行标记。
4.根据权利要求1所述的文件信誉鉴定方法,其特征在于,所述发送所述鉴定任务序号至所述安全检测设备,以使所述安全检测设备根据所述鉴定任务序号查询鉴定结果和鉴定详情信息,包括:
接收所述安全检测设备发送的查询鉴定结果请求,所述查询鉴定结果请求包括所述鉴定任务序号;
若鉴定未结束,则返回正在处理的提示消息至所述安全检测设备,以使所述安全检测设备在预设延迟时间间隔后再次发送所述查询鉴定结果请求;
若鉴定结束,则返回所述鉴定任务序号对应的鉴定结果,以使所述安全检测设备根据所述鉴定结果发起查询鉴定详情请求;
根据所述查询鉴定详情请求发送对应的所述鉴定详情信息至所述安全检测设备。
5.根据权利要求1所述的文件信誉鉴定方法,其特征在于,所述方法还包括:
更新传播地图、感染地图和信誉库并计算关键文件信誉列表;
更新文件采样比例并定期将所述文件采样比例发送至所述安全检测设备进行信息同步。
技术研发人员:刘彤,
申请(专利权)人:北京天融信网络安全技术有限公司,北京天融信科技有限公司,北京天融信软件有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。