本申请提供了一种未知文件处理方法与装置,其中,所述装置设置于企业内网的控制服务器端并且包括:获取模块,用于从企业内网的终端获取待检测文件的文件特征;判断模块用于判断待检测文件的文件特征与服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块用于若均不匹配,则确定待检测文件为未知文件;收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;接收并收集终端上传的未知文件的文件信息。通过本申请提高了系统的安全性,以及未知文件检测和处理效率。
【技术实现步骤摘要】
本申请涉及计算机
,特别是涉及一种未知文件处理方法与装置。
技术介绍
杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除、和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统(包含杀毒软件,防火墙,特洛伊木马和其他恶意软件的查杀程序,入侵预防系统等)的重要组成部分。目前,在使用杀毒软件进行系统防御和病毒查杀时,一方面,杀毒软件根据自身存储的病毒特征数据库中的病毒特征匹配待查杀文件,若匹配一致,则认为待查杀文件为病毒文件,进行病毒查杀处理;若匹配不一致,则认为待查杀文件为正常文件,进行放行 ’另一方面,上述查杀过程仅在本地进行。然而,对于某些可疑的未知文件,因其不属于现有杀毒软件病毒库中的病毒文件,病毒库中不具有相应的病毒特征,现有的杀毒软件将其放行,因而现有的杀毒软件无法对可疑的未知文件进行有效检测,无法进行有效的可疑未知文件防御;而本地查杀比较局限,无法使用查杀结果影响其它机器的病毒查杀。
技术实现思路
鉴于上述现有杀毒软件无法对未知文件进行有效检测和防御,且查杀结果影响受限的问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的未知文件处理方法与装置。依据本专利技术的一个方面,提供了一种未知文件处理方法,包括企业内网控制服务器从终端获取待检测文件的文件特征,其中,待检测文件为终端中新增加的文件和/或进行了修改的文件,所述终端中新增加的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的新文件;所述进行了修改的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的修改后的文件;控制服务器判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;若待检测文件的文件特征与正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配,则控制服务器确定待检测文件为未知文件;控制服务器向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;控制服务器接收并收集终端上传的未知文件的文件信息。可选地,待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值;在企业内网控制服务器从终端获取待检测文件的文件特征的步骤之前,还包括控制服务器获取正常可执行文件的文件内容和病毒文件的文件内容;分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值;将正常可执行文件的MD5值保存为正常可执行文件的文件特征,将病毒文件的MD5值保存为病毒文件的文件特征。可选地,控制服务器从终端获取待检测文件的文件特征的步骤包括控制服务器接收终端使用HTTP协议封装的待检测文件的MD5值。可选地,控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括控制服务器接收并收集终端通过终端后台直接上传的未知文件的文件信息,其中,未知文件的文件信息使用HTTP协议封装。可选地,在控制服务器接收并收集终端上传的未知文件的文件信息的步骤之后,还包括控制服务器对未知文件的文件信息进行分析,确定未知文件是否为安全文件;若确定未知文件不为安全文件,则记录未知文件的MD5值,禁止未知文件运行。可选地,控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括控制服务器接收并收集终端上传的未知文件的MD5值,以及以下信息至少之一未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。根据本专利技术的另一方面,提供了一种未知文件处理装置,设置于企业内网的控制服务器端,该文件信息收集装置包括获取模块,用于从企业内网的终端获取待检测文件的文件特征,其中,待检测文件为终端中新增加的文件和/或进行了修改的文件,终端中新增加的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的新文件;进行了修改的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的修改后的文件;判断模块,用于判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;确定模块,用于若判断模块判断待检测文件的文件特征与正常可执行文件的文件特征和病毒文件的文件特征均不匹配,则确定待检测文件为未知文件;收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;接收并收集终端上传的未知文件的文件信息。可选地,待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值;该文件信息收集装置还包括保存模块,用于在获取模块从企业内网的终端获取待检测文件的文件特征之前,获取正常可执行文件的文件内容和病毒文件的文件内容;分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法,获取正常可执行文件的MD5值和病毒文件的MD5值;将正常可执行文件的MD5值保存为正常可执行文件的文件特征,将病毒文件的MD5值保存为病毒文件的文件特征。可选地,获取模块,用于从企业内网的终端获取终端使用HTTP协议封装的待检测文件的MD5值。可选地,收集模块,用于向终端返回待检测文件为未知文件的消息,并通知终端上传未知文件的文件信息;以及,接收并收集终端通过终端后台直接上传的未知文件的文件信息,其中,未知文件的文件信息使用HTTP协议封装。可选地,还包括分析模块,用于在收集模块接收并收集终端上传的未知文件的文件信息之后,对未知文件的文件信息进行分析,确定未知文件是否为安全文件;若确定未知文件不为安全文件,则记录未知文件的MD5值,禁止未知文件运行。可选地,收集模块收集的未知文件的文件信息包括未知文件的MD5值,以及以下信息至少之一未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。根据本专利技术的未知文件处理方案,在企业内网的控制服务器端除了保存有病毒文件的文件特征(即病毒特征)外,还同时保存有正常可执行文件的文件特征,通过这些文件特征,当企业内网的终端新增加了文件或对文件进行了修改时,可以对终端的这些待检测文件进行检测,当终端上报的待检测文件的文件特征与控制服务器中保存的这些文件特征均不匹配时,则说明终端的待检测文件为未知文件,此时,通知终端并要求终端上报待检测文件的文件信息,控制服务器通过终端上报的内容收集该未知文件的文件信息,以便进行后续其它终端未知文件的识别和判定。未知文件有可能是正常文件,但更可能是对系统具有危害的文件(如变形的病毒文件等),若按照现有方案不对未知文件信息加以收集进而进行未知文件控制,则可能导致危害系统及用户的后果;而通过本专利技术的方案,通过对未知文件的文件信息的收集,可以了解未知文件情况,进而判定未知文件的性质,及时管理和防御,可以大大提高整个系统中所有终端的安全性,降低系统安全风险;并且,控制服务器端可以使用本次收集的未知文件的文件信息,对后续其它终端的待检测文件进行检测和判断,将一个终端的未知文件影响扩大到整个系统,进一步提高了系统的安全性,以及未知文件检测和处理效率。上述说明仅是本专利技术技术方案的概述,本文档来自技高网...
【技术保护点】
一种未知文件处理方法,包括:企业内网控制服务器从终端获取待检测文件的文件特征,其中,所述待检测文件包括所述终端中新增加的文件和/或进行了修改的文件;所述控制服务器判断所述待检测文件的文件特征与所述控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配;若所述待检测文件的文件特征与所述正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配,则所述控制服务器确定所述待检测文件为未知文件;所述控制服务器向所述终端返回所述待检测文件为未知文件的消息,并通知所述终端上传所述未知文件的文件信息;所述控制服务器接收并收集所述终端上传的所述未知文件的文件信息;其中,所述终端中新增加的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的新文件;所述进行了修改的文件为所述终端通过所述企业内网确认的、所述企业内网的所有终端中当前均不存在的修改后的文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:邓振波,李宇,温铭,张家柱,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。