本发明专利技术实施例涉及一种文件防护处理方法、装置及系统,其中,上述文件防护处理方法包括:获取用户请求访问的文件;提取所述文件的特征值;根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。上述文件防护处理方法、装置及系统,通过获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理,从而有效地防护了网络中恶意文件的大规模扩散。
【技术实现步骤摘要】
本专利技术涉及计算机技术,特别涉及一种文件防护处理方法、装置及系统。
技术介绍
随着计算机技术的快速发展,网络安全越来越受到人们的重视,对于恶 意代码尤其是非滤过性恶意代码的防范更为重要。目前,对恶意代码的防范没有标准的方法,目前防范恶意代码通常采用 特征代码检测法、校验和法及行为检测法,以校验和法为例,该方法通过对 正常文件的内容,计算其校验和,将该校验和写入该文件中或写入其它的文 件中保存。在该文件使用过程中,定期地或每次使用该文件前,检查该文件 现在的内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件 是否感染。但是上述三种方法都存在一些缺陷,例如校验和法不能识别恶意 代码的种类和名称,因而无法防护网络中恶意文件的大规模扩散。
技术实现思路
本专利技术实施例提供一种文件防护处理方法、装置及系统,以有效地防护 网络中恶意文件的大规才莫扩散。本专利技术实施例提供一种文件防护处理方法,该方法包括 获取用户请求访问的文件; 提取所述文件的特征值;根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的4信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防 护处理。本专利技术实施例提供一种文件防护处理装置,该装置包括 获取模块,用于获取用户请求访问的文件;提取模块,用于提取所述文件的特征值;处理模块,用于根据所提取的特征值在预置的文件信誉数据库中查询所 述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求 访问的文件作防护处理。本专利技术实施例提供一种文件防护处理系统,该系统包括文件信誉服务设备,用于保存文件的信誉值;文件防护处理装置,用于获取用户请求访问的文件,提取所述文件的特 征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉 值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处 理。上述文件防护处理方法、装置及系统,通过获取用户请求访问的文件, 提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查 询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访 问的文件作防护处理,>^人而有效地防护了网络中恶意文件的大规^莫扩散。附图说明图1本专利技术文件防护处理系统实施例的结构示意图; 图2本专利技术文件信誉服务设备实施例的结构示意图; 图3本专利技术文件防护处理装置实施例的结构示意图; 图4为本专利技术文件防护处理方法实施例一的流程图; 图5为本专利技术文件防护处理方法实施例二的流程图; 图6为本专利技术文件防护处理方法应用场景一的结构示意图;图7为本专利技术文件防护处理方法应用场景二的结构示意图; 图8为本专利技术文件防护处理方法应用场景三的结构示意图; 图9为本专利技术文件防护处理方法应用场景四的结构示意图。具体实施例方式下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。如图1所示,本专利技术文件防护处理系统实施例的结构示意图,该系统包 括文件信誉服务设备1和文件防护处理装置2,其中,文件信誉服务设备1用 于提取网络中用户访问的文件的特征值;获取所述文件的信誉值,并存储所 述特征值及其对应的信誉值;文件防护处理装置2用于获取用户请求访问的 文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设 备1中查询所述文件的信^i,当查询到的信誉值低于预置门卩艮值时,对用 户请求访问的文件作防护处理。其中,所述预先设定值可以是具体情况或经验值预先设定;所述防护 处理包括返回告警信息和在所述用户根据所述告警信息指示停止文件访问 情况下,拦截所述文件,从而起到主动防护的作用。本专利技术实施例的文件防护处理系统中,文件防护处理装置可进一步在 本地没有緩存信誉数据库的情况下,上传文件的样本信息给文件信誉服务 设备,以便文件信誉服务设备对该文件进行信誉评价,获得该文件的信誉 值。本专利技术实施例的文件防护处理系统中,文件信誉服务设备l可以包括提 fa莫块ll、检测模块12和存储模块13;其中,提取模块ll,用于提取网络 中用户访问的文件的特征值;如对文件内容利用哈希算法进行计算,得到 文件的特征值,即获取该文件唯一性的属性,如哈希结果。提取模块11 提取特征值的文件中可能没有当前用户访问的文件,如果提取模块11提取 特征值的文件中没有当前用户访问的文件,则文件防护处理装置查询不到当前用户访问的文件所对应的信誉值,此时文件防护处理装置可将当前用户访问的文件的样本信息上报给文件信誉服务设备;文件信誉服务设备可 对该上报的文件的样本信息进行信誉评估。文件信誉服务设备的检测模块 12,用于获取上述文件的样本信息,对上述获取的文件的样本信息进行检 测,并根据检测结果评定所述文件的信誉值;如当检测模块12检测到文件 中包含有恶意代码时,给该文件评定一个较低的信誉值;当检测模块12 检测到文件中没有恶意代码时,给该文件评定一个较高的信誉数值。存储 模块13,用于存储所述文件的信誉值,以备文件防护处理装置2查询文件 的信誉值。其中,该文件信誉服务设备评定文件的信誉值主要是采用对网络中用 户所访问过的文件进行样本搜集,并对文件所包含内容进行检测分析,识 别是否具备恶意性,根据识别结果为文件赋予信誉值。如图2所示,文件 信誉服务设备通过文件样本搜集模块在网络上搜集用户访问过的文件,然 后把文件的内容存在文件样本库中,各个分析引擎如分析引擎1、分析引 擎2、分析引擎3等则不停的读取从文件下载下来的数据,包括一些小的 附件,对这些数据采用下载可执行模块特征检测、文件挂马检测、脚本病 毒检测等。然后根据检测结果进行评价,获得信誉值,并记录到文件信誉 数据库中。上述系统实施例中,文件信誉服务设备存储的文件的特征值及对应的 信誉值可统称为信誉数据。信誉数据可包含如表1所示的信息。表1信誉数据结构<table>table see original document page 7</column></row><table>其中,文件名称表示传播文件的名称,文件大小表示该文件的大小,初 发现时表示该文件最初发现时间,近发现时表示该文件最近发现的时间,哈 希结果表示对该文件内容利用哈希算法进行了特定的计算并记录,次数统计表示该文件在网络传播被发现的次数,信誉值表示该文件经过安全评估后的信誉数值;如图3所示,本专利技术文件防护处理装置实施例的结构示意图,该文件防 护处理装置包括获取模块21、提取模块22和处理模块23;其中,获取模块 21,用于获取用户请求访问的文件;提取模块22,用于提取所述文件的特征 值,如对获取模块21获取的文件内容进行哈希计算,获得该文件的特征值。 处理模块23,用于根据所提取的特征值在预置的文件信誉数据库中查询所述 文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访 问的文件作防护处理。其中,上述文件信誉数据库可以存放于本地緩存中; 信誉数值详见上述系统实施例;预置门限值可根据需要进行设置,处理模块 在查询到信誉值低于上述预置门限值时,作防护处理。另外,处理模块可以包括返回单元,用于返回告警信息;拦截单元, 用于在所述用户根据所述告警信息指示停止文件访问情况下,拦截所述文 件; >(人而可以实现对本文档来自技高网...
【技术保护点】
一种文件防护处理方法,其特征在于,包括: 获取用户请求访问的文件; 提取所述文件的特征值; 根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护 处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:蒋武,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。