專利名稱:一種基于企業(yè)的文件安全檢測方法和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及計算機安全技術,具體涉及一種基于企業(yè)的文件安全檢測方法和系 統(tǒng)。
背景技術:
一些企業(yè)出于安全、保密等因素的考慮,企業(yè)的網絡環(huán)境是封閉的,即企業(yè)存在一 個所有計算機都可以訪問的企業(yè)內網,但對于企業(yè)外網,企業(yè)中的大部分計算機是不可以 訪問的。
在這種封閉的網絡環(huán)境中,通常企業(yè)是在每一臺計算機中都配置有病毒庫,通過 所述病毒庫對計算機中的文件進行安全監(jiān)測、病毒查殺。由于常常會出現(xiàn)新的病毒,因此病 毒庫需要及時更新才能確保計算機的安全。在企業(yè)中的大部分計算機不能訪問企業(yè)外網的 情況下,為了使計算機中的病毒庫能夠進行更新,可以在企業(yè)可連接企業(yè)外網的計算機中 安裝離線工具。所述離線工具定時通過企業(yè)外網檢測網絡端的病毒庫是否有更新,若有更 新,就將網絡端的病毒庫更新到本地病毒庫中,然后通過企業(yè)內網對其他計算機中的病毒 庫進行更新。
通過上述的方法,本地病毒庫中就可以保存有最近比較流行的病毒特征。但是,本 地病毒庫的資源是有限的,保存的病毒特征也是有限的,因此并不能確保查殺到病毒。而 且,上述的方法更新病毒庫的時間比較長,若本地有一個新的病毒,本地病毒庫由于沒有更 新或正在更新,可能無法查殺到該病毒,就會影響到計算機的安全。發(fā)明內容
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上 述問題的基于企業(yè)的文件安全檢測系統(tǒng)和相應的基于企業(yè)的文件安全檢測方法。
依據本發(fā)明的一個方面,提供了一種基于企業(yè)的文件安全檢測方法,包括
企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文 件信息中包含所述本地終端中待測文件的特征值,將特征值不存在于本地終端的病毒庫中 的文件作為待測文件;
當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企 業(yè)外網發(fā)送所述文件信息至外網控制服務器;
企業(yè)內網控制服務器接收外網控制服務器針對待測文件的查殺結果。
本發(fā)明實施例中,企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信 息之后,還包括檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特征值; 若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則生成查殺結果,并反饋 所述查殺結果給本地終端。
本發(fā)明實施例中,所述企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文 件信息,包括企業(yè)內網控制服務器同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢。本發(fā)明實施例中,還包括反饋所述查殺結果給本地終端。本發(fā)明實施例中,反饋所述查殺結果給本地終端,包括企業(yè)內網控制服務器在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反饋給本地終端。本發(fā)明實施例中,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器,包括企業(yè)內網控制服務器通過企業(yè)外網發(fā)送非獨占的查詢請求至外網控制服務器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內網控制服務器同步查詢各本地終端的待測文件。本發(fā)明實施例中,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。本發(fā)明實施例中,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應一個文件,所述文件包括待測文件。本發(fā)明實施例中,所述查殺結果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。本發(fā)明實施例中,將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中,所述病毒庫屬于以下任一項本地終端和企業(yè)內網控制服務器。根據本發(fā)明的另一方面,提供了一種基于企業(yè)的文件安全檢測系統(tǒng),包括本地終端、企業(yè)內網控制服務器和外網控制服務器,所述企業(yè)內網控制服務器,包括第一接收模塊,適于接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;發(fā)送模塊,適于當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器;第二接收模塊,適于接收網絡服務端的查殺結果。本發(fā)明實施例中,還包括檢測模塊,用于檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則生成查殺結果,并反饋所述查殺結果給本地終端。本發(fā)明實施例中,所述第一接收模塊,具體適于同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢。本發(fā)明實施例中,還包括反饋模塊,適于反饋所述查殺結果給本地終端。本發(fā)明實施例中,所述反饋模塊,具體適于企業(yè)內網控制服務器在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反饋給本地終端。本發(fā)明實施例中,所述發(fā)送模塊,具體適于企業(yè)內網控制服務器通過企業(yè)外網發(fā)送非獨占的查詢請求至外網控制服務器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內網控制服務器同步查詢各本地終端的待測文件。本發(fā)明實施例中,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。
本發(fā)明實施例中,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一 對應一個文件,所述文件包括待測文件。
本發(fā)明實施例中,所述查殺結果包括以下任一項待測文件存在安全問題、待測文 件不存在安全問題和無法確定待測文件是否存在安全問題。
本發(fā)明實施例中,所述本地終端包括更新模塊;所述更新模塊,適于將針對待測文 件的查殺結果更新到病毒庫的白名單或黑名單中;所述企業(yè)內網控制服務器包括更新模 塊;所述更新模塊,適于將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中。
根據本發(fā)明的企業(yè)內網控制服務器可以將包含所述待測文件的特征值的文件信 息發(fā)送至外網控制服務器,由此解決了對待測文件的檢測局限于本地庫終端的病毒庫中, 需要等待病毒庫升級完成在執(zhí)行檢測的問題,取得了快速的確定待測文件安全與否的有益 效果。
上述說明僅是本發(fā)明技術方案的概述,為了能夠更清楚了解本發(fā)明的技術手段, 而可依照說明書的內容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠 更明顯易懂,以下特舉本發(fā)明的具體實施方式
。
通過閱讀下文優(yōu)選實施方式的詳細描述,各種其他的優(yōu)點和益處對于本領域普通 技術人員將變得清楚明了。附圖僅適于示出優(yōu)選實施方式的目的,而并不認為是對本發(fā)明 的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中
圖1示出了根據本發(fā)明一個實施例提供的基于企業(yè)的文件安全檢測方法流程圖2示出了根據本發(fā)明另一個實施例提供的企業(yè)內網控制服務器檢測流程圖;以 及
圖3示出了根據本發(fā)明一個實施例的提供的基于企業(yè)的文件安全檢測系統(tǒng)結構 圖。
具體實施方式
下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開 的示例性實施例,然而應當理解,可以以各種形式實現(xiàn)本公開而不應被這里闡述的實施例 所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠將本公開的范圍 完整的傳達給本領域的技術人員。
一些企業(yè)出于安全、保密等因素的考慮,企業(yè)的網絡環(huán)境是封閉的,即企業(yè)存在一 個所有計算機都可以訪問的企業(yè)內網,但對于企業(yè)外網,企業(yè)中的大部分計算機是不可以 訪問的。
在這種封閉的網絡環(huán)境中,通常企業(yè)是在每一臺計算機中都配置有本地病毒庫, 通過本地病毒庫對計算機中的文件進行安全監(jiān)測、病毒查殺。但是,計算機的本地病毒庫中 就可以保存有最近比較流行的病毒特征,并且本地病毒庫的資源是有限的,保存的病毒特 征也是有限的,因此并不能確保查殺到病毒。
而且,上述的方法更新病毒庫的時間比較長,若本地有一個新的病毒,本地病毒庫 由于沒有更新或正在更新,可能無法查殺到該病毒,就會影響到計算機的安全。
本發(fā)明實施例提供一種基于企業(yè)的文件安全檢測方法,企業(yè)內網控制服務器可以通過企業(yè)外網將待測文件的文件信息發(fā)送至外網控制服務器,獲取外網控制服務器的查殺結果,從而可以快速的確定待測文件安全與否,不局限于本地病毒庫進行查殺,也不用等待病毒庫的升級結果。圖1示出了根據本發(fā)明一個實施例提供的基于企業(yè)的文件安全檢測方法流程圖。步驟101,企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息;其中,為保護企業(yè)中數(shù)據信息的安全,可以為企業(yè)的計算機系統(tǒng)中配置企業(yè)內網控制服務器,通過企業(yè)內網對終端的安全進行維護、控制。則將企業(yè)的計算機系統(tǒng)中使用內部網絡的終端作為本地終端,如桌上電腦、筆記本電腦、平板電腦等。本地終端可以依據病毒庫對文件進行掃描,其中,針對每一個文件可以計算其唯一的特征值,在掃描時依據其特征值進行掃描。若沒有掃描到該文件是否安全,即該文件的特征值不存在于本地終端的病毒庫中,則可以將該文件作為待測文件,并將所述待測文件的特征值添加到文件信息中,然后本地終端通過企業(yè)內網發(fā)送所述文件信息給企業(yè)內網控制服務器。當然,所述文件信息中不僅僅包含所述本地終端中待測文件的特征值,還可以包含所述待測文件的名稱、存儲地址等信息。則企業(yè)內網控制服務器可以接收本地終端通過企業(yè)內網發(fā)送的文件信息。步驟102,當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器;企業(yè)內網控制服務器接收到本地終端發(fā)送的文件信息后,可以采用企業(yè)內網控制服務器的病毒庫對待測文件的特征值進行檢測。由于外網控制服務器的病毒庫中保存有大量的病毒特征,資源非常豐富,可以為病毒檢測提供非常穩(wěn)定、準確和安全的依據,因此當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,企業(yè)內網控制服務器會通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器,讓外網控制服務器對待測文件的特征值進行檢測,以確定所述待測文件是否安全。外網控制服務器接收到所述文件信息后,可以采用其所擁有的病毒庫對待測文件的特征值進行檢測,確定所述待測文件安全與否并生成查殺結果,然后外網控制服務器會將所述查殺結果反饋給企業(yè)內網控制服務器。步驟103,企業(yè)內網控制服務器接收網絡服務端針對待測文件的查殺結果。企業(yè)內網控制服務器可以接收網絡服務端針對待測文件的查殺結果。后續(xù),企業(yè)內網控制服務器可以根據所述查殺結果執(zhí)行相應的操作,例如反饋給本地終端,或依據所述查殺結果對病毒庫進行更新等。綜上所述,本發(fā)明實施例中一旦本地終端和企業(yè)內網控制服務器均無法確定待測文件安全與否時,就可以將包含所述待測文件的特征值的文件信息發(fā)送至外網控制服務器。因此,對待測文件的檢測不僅局限于本地庫終端的病毒庫中,也就不必等待病毒庫升級完成在執(zhí)行檢測,將待測文件的特征值傳輸給往往服務端后,由于外網控制服務器的病毒庫中保存有大量的病毒特征,可以為待測文件的檢測提供非常穩(wěn)定、準確和安全的依據,使得能都快速的確定待測文件安全與否。
本發(fā)明實施例中,外網控制服務器的病毒庫中保存有各類存在安全問題的特征 值,因此,外網控制服務器可以依據其病毒庫對待測文件進行檢測,并獲取檢測結果生成查 殺結果。
其中,外網控制服務器作為安全相關的服務端,其病毒庫中保存的特征值是最全 面的,其可以將歷史以來所有存在安全問題的特征值又進行保存。而本地終端和企業(yè)內網 控制服務器中資源有限,因此實際處理中,往往會獲取預設時間內(如I個月)在各類存在安 全問題的特征值中排在前N位的特征值,如近期比較流行的病毒特征,將這些排在前N位的 存在安全問題的特征值保存到本地終端和企業(yè)內網控制服務器的病毒庫中,供用戶對文件 進行檢測。
但也正是由于本地終端和企業(yè)內網控制服務器的病毒庫中存在安全問題的特征 值比較少,因此如果僅依此進行檢測,往往可能無法確定文件安全與否,因此本發(fā)明實施例 支持將待測文件的特征值傳輸?shù)酵饩W控制服務器進行全面的檢測。
并且,由于企業(yè)中的一些專用的可執(zhí)行文件,往往由于其要執(zhí)行一些特殊的功能, 如監(jiān)控等,會導致其本身編寫中的特征碼與一些病毒中的特征碼一致,此時若采用特征碼 進行文件檢測就可能存在誤報等情況,因此,本發(fā)明實施例在檢測文件時采用的是文件的 特征值。
本發(fā)明實施例中所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對 應一個文件,所述文件包括待測文件。例如,采用MD5算法計算文件的MD5值。
為了進一步減少誤報的發(fā)生,本發(fā)明實施例中的病毒庫可以采用黑、白名單的形 式,即病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述 黑名單適于保存存在安全問題的特征值。因此,用戶可以將其專用的可執(zhí)行文件的特征值 加入到白名單中,以防止發(fā)生誤報的情況。
綜上所述,本發(fā)明實施例特征值是通過計算文件的哈希值獲取的,一個特征值唯 一對應一個文件,從而依據特征值進行檢測時能夠減少誤報的問題發(fā)生。
本發(fā)明實施例的病毒庫可以采用黑、白名單的形式,從而使得用戶可以將其專用 的可執(zhí)行文件的特征值加入到白名單中,以防止發(fā)生誤報的情況。
圖2示出了根據本發(fā)明另一個實施例提供的企業(yè)內網控制服務器檢測流程圖。
可選的,企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息之后, 還包括
步驟201,檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特征 值;
企業(yè)內網控制服務器在接收到本地終端通過企業(yè)內網發(fā)送的文件信息之后,可以 采用企業(yè)內網控制服務器的病毒庫對所述待測文件的特征值進行檢測,檢測所述待測文件 的特征值是否存在于企業(yè)內網控制服務器的病毒庫中。
若是,即企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則后續(xù)執(zhí) 行步驟202 ;若否,即企業(yè)內網控制服務器的病毒庫中不存在所述待測文件的特征值,則后 續(xù)執(zhí)行步驟203。
步驟202,生成查殺結果;
若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則可以基于檢測結果生成查殺結果。例如,病毒庫采用黑、白名單的形式,若所述待測文件的特征值存在于白名單中,則說明所述待測文件的特征值是不存在安全問題的特征值,則對應的查殺結果可以為安全,或待測文件不存在安全問題等。若所述待測文件的特征值存在于黑名單中,則說明所述待測文件的特征值是存在安全問題的特征值,則對應的查殺結果可以為不安全,或待測文件存在安全問題等。步驟203,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器;若企業(yè)內網控制服務器的病毒庫中不存在所述待測文件的特征值,即企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,本地終端可以通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器。外網控制服務器接收到文件信息后,也會對待測文件的特征值進行檢測。若外網控制服務器的病毒庫采用黑、白名單的形式,則檢測方法與企業(yè)內網控制服務器基本一致,若所述待測文件的特征值存在于白名單中,則對應的查殺結果可以為安全,或待測文件不存在安全問題等。若所述待測文件的特征值存在于黑名單中,則對應的查殺結果可以為不安全,或待測文件存在安全問題等。當然,若所述待測文件的特征值即不存在與黑名單,也不存在與白名單中,則對應的查殺結果可以為無法確定,或無法確定待測文件是否存在安全問題等。外網控制服務器生成查殺結果后,可以將待測文件的查殺結果發(fā)送給企業(yè)內網控制服務器。步驟204,接收外網控制服務器針對待測文件的查殺結果;企業(yè)內網控制服務器可以接收外網控制服務器發(fā)送的查殺結果。其中,企業(yè)內網控制服務器接收到查殺結果后,還可以依據查殺結果同步更新企業(yè)內網控制服務器的病毒庫中,將所述待測文件的特征值更新到白名單或黑名單中,當然,若外網控制服務器也無法確定待測文件安全與否,就可以不用更新。步驟205,反饋所述查殺結果給本地終端;企業(yè)內網控制服務器在確定待測文件的查殺結果后,可以通過企業(yè)內網反饋所述查殺結果給本地終端。此時,本地終端也可以依據查殺結果同步更新本地終端的病毒庫,方法與企業(yè)內網控制服務器的方法基于一致,此處不再贅述。另外,當企業(yè)內網控制服務器確定某一待測文件的查殺結果后,可以不僅僅針對上傳該待測文件的本地終端進行更新,可以同步傳送給其他的本地終端,使得該企業(yè)中的所有本地終端都能夠確定所述待測文件的安全與否,避免出現(xiàn)重復上傳企業(yè)內網控制服務器而浪費資源的問題。綜上所述,本發(fā)明實施例確定待測文件安全與否后,可以同步將查殺結果更新到企業(yè)內網的各個本地終端中,并且更新到企業(yè)內網控制服務器中,避免出現(xiàn)重復上傳企業(yè)內網控制服務器而浪費資源的問題??蛇x的,所述企業(yè)內網控制服務器接收本地終端發(fā)送的文件信息,包括企業(yè)內網控制服務器同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢。
本發(fā)明實施例中,本地終端會通過企業(yè)內網發(fā)送的非獨占的查詢請求給企業(yè)內網 控制服務器,所述非獨占是指本地終端在向企業(yè)內網控制服務器發(fā)送查詢請求時,可以多 個終端同時發(fā)送所述查詢請求,即本地終端對企業(yè)內網控制服務器進行共享查詢。所述查 詢請求中包括文件信息。
企業(yè)內網控制服務器通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器時,也可 以采用非獨占的查詢請求,在查詢請求中包含文件信息。
即企業(yè)內網控制服務器同時接收到各個本地終端的查詢請求后,若其中若干本地 終端傳送的待測文件都無法確定安全與否,為了盡快確定待測文件安全與否,同時減少資 源的浪費,企業(yè)內網控制服務器可以同步發(fā)送查詢請求到外網控制服務器進行查詢。
可選的,反饋所述查殺結果給終端,包括
企業(yè)內網控制服務器在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反 饋給終端。
本發(fā)明實施例為了加強本地終端的安全性,在企業(yè)內網控制服務器沒有確定待測 文件安全與否時,不會反饋數(shù)據給本地終端,待測文件在本地終端中就會保持檢測時的狀 態(tài)。
企業(yè)內網控制服務器在確定查殺結果后,會對本地終端的非獨占的查詢請求反饋 查詢響應,在查詢響應中包含所述查殺結果。
因此,本地終端最終接收到的查殺結果包括以下任一項待測文件存在安全問題、 待測文件不存在安全問題和無法確定待測文件是否存在安全問題。
本地終端中會預先配置對各項查殺結果的處理措施,可以依據處理措施對待測文 件進行處理。例如,待測文件存在安全問題時,可以刪除待測文件;待測文件不存在安全問 題,可以不對待測文件進行任何操作;無法確定待測文件是否存在安全問題,可以對待測文 件進行限制操作,例如隔離、不運行等。當然也可以采取其他處理措施,本發(fā)明對此不做限 定。
圖3示出了根據本發(fā)明一個實施例提供的基于企業(yè)的文件安全檢測系統(tǒng)結構圖。
相應的,本發(fā)明還提供了一種基于企業(yè)的文件安全檢測系統(tǒng),包括本地終端1、 企業(yè)內網控制服務器2和外網控制服務器3。
所述企業(yè)內網控制服務器2,包括
第一接收模塊21,適于接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文 件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測 文件;
發(fā)送模塊22,適于當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的 特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器;
第二接收模塊23,適于接收網絡服務端的查殺結果;
反饋模塊24,適于反饋所述查殺結果給終端。
可選的,還包括
檢測模塊,適于檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特 征值;若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則生成查殺結果,并反饋所述查殺結果給本地終端??蛇x的,第一接收模塊21,具體適于同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢??蛇x的,反饋模塊24,具體適于在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反饋給本地終端??蛇x的,發(fā)送模塊22,具體適于企業(yè)內網控制服務器通過企業(yè)外網發(fā)送非獨占的查詢請求至外網控制服務器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內網控制服務器同步查詢各本地終端的待測文件。可選的,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值??蛇x的,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應一個文件,所述文件包括待測文件??蛇x的,所述查殺結果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題??蛇x的,本地終端I包括更新模塊,用于將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中。企業(yè)內網控制服務器2,還包括更新模塊,用于將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中。在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設備固有相關。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據上面的描述,構造這類系統(tǒng)所要求的結構是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應當明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。在此處所提供的說明書中,說明了大量具體細節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中,并未詳細示出公知的方法、結構和技術,以便不模糊對本說明書的理解。類似地,應當理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應將該公開的方法解釋成反映如下意圖即所要求保護的本發(fā)明要求比在每個權利要求中所明確記載的特征更多的特征。更確切地說,如下面的權利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循具體實施方式
的權利要求書由此明確地并入該具體實施方式
,其中每個權利要求本身都作為本發(fā)明的單獨實施例。本領域那些技術人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變并且把它們設置在與該實施例不同的一個或多個設備中??梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。此外,本領域的技術人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內并且形成不同的實施例。例如,在下面的權利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領域的技術人員應當理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP )來實現(xiàn)根據本發(fā)明實施例的基于企業(yè)的文件安全檢測系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為適于執(zhí)行這里所描述的方法的一部分或者全部的設備或者裝置程序(例如,計算機程序和計算機程序產品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網網站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。應該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制,并且本領域技術人員在不脫離所附權利要求的范圍的情況下可設計出替換實施例。在權利要求中,不應將位于括號之間的任何參考符號構造成對權利要求的限制。單詞“包含”不排除存在未列在權利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
權利要求
1.一種基于企業(yè)的文件安全檢測方法,包括 企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文件信息中包含所述本地終端中待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件; 當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器; 企業(yè)內網控制服務器接收外網控制服務器針對待測文件的查殺結果。
2.如權利要求1所述的方法,企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息之后,還包括 檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特征值; 若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則生成查殺結果,并反饋所述查殺結果給本地終端。
3.如權利要求1所述的方法,所述企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息,包括 企業(yè)內網控制服務器同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢。
4.如權利要求1或3任一所述的方法,還包括 反饋所述查殺結果給本地終端。
5.如權利要求4所述的方法,反饋所述查殺結果給本地終端,包括 企業(yè)內網控制服務器在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反饋給本地終端。
6.如權利要求1所述的方法,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器,包括 企業(yè)內網控制服務器通過企業(yè)外網發(fā)送非獨占的查詢請求至外網控制服務器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內網控制服務器同步查詢各本地終端的待測文件。
7.如權利要求1或2任一所述的方法,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。
8.如權利要求1、2或7任一所述的方法,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應一個文件,所述文件包括待測文件。
9.如權利要求1、2、4或5任一所述的方法,所述查殺結果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。
10.根據權利要求7所述的方法,將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中,所述病毒庫屬于以下任一項本地終端和企業(yè)內網控制服務器。
11.一種基于企業(yè)的文件安全檢測系統(tǒng),包括本地終端、企業(yè)內網控制服務器和外網控制服務器,所述企業(yè)內網控制服務器,包括 第一接收模塊,適于接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;發(fā)送模塊,適于當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器; 第二接收模塊,適于接收網絡服務端的查殺結果。
12.如權利要求11所述的系統(tǒng),還包括 檢測模塊,用于檢測企業(yè)內網控制服務器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內網控制服務器的病毒庫中存在所述待測文件的特征值,則生成查殺結果,并反饋所述查殺結果給本地終端。
13.如權利要求11所述的系統(tǒng),所述第一接收模塊,具體適于同時接收各本地終端通過企業(yè)內網發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內網控制服務器進行共享查詢。
14.如權利要求11或13任一所述的系統(tǒng),還包括 反饋模塊,適于反饋所述查殺結果給本地終端。
15.如權利要求14所述的系統(tǒng),所述反饋模塊,具體適于企業(yè)內網控制服務器在所述非獨占的查詢請求的查詢響應中,將所述查殺結果反饋給本地終端。
16.如權利要求11所述的系統(tǒng),所述發(fā)送模塊,具體適于企業(yè)內網控制服務器通過企業(yè)外網發(fā)送非獨占的查詢請求至外網控制服務器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內網控制服務器同步查詢各本地終端的待測文件。
17.如權利要求11或12任一所述的系統(tǒng),病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。
18.如權利要求11、12或17任一所述的系統(tǒng),所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應一個文件,所述文件包括待測文件。
19.如權利要求11、12、14或15任一所述的系統(tǒng),所述查殺結果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。
20.根據權利要求17所述的系統(tǒng),所述本地終端包括更新模塊; 所述更新模塊,適于將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中; 所述企業(yè)內網控制服務器包括更新模塊; 所述更新模塊,適于將針對待測文件的查殺結果更新到病毒庫的白名單或黑名單中。
全文摘要
本發(fā)明公開了一種基于企業(yè)的文件安全檢測方法和系統(tǒng),以解決現(xiàn)有企業(yè)的安全檢測方法影響計算機的安全的問題。所述的方法包括企業(yè)內網控制服務器接收本地終端通過企業(yè)內網發(fā)送的文件信息,其中,所述文件信息中包含所述本地終端中待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;當企業(yè)內網控制服務器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網發(fā)送所述文件信息至外網控制服務器;企業(yè)內網控制服務器接收外網控制服務器針對待測文件的查殺結果。
文檔編號G06F21/55GK103020520SQ201210488480
公開日2013年4月3日 申請日期2012年11月26日 優(yōu)先權日2012年11月26日
發(fā)明者溫銘 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司