專利名稱:針對企業(yè)的文件檢測方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)安全技術(shù),具體涉及一種針對企業(yè)的文件檢測方法和系統(tǒng)。
背景技術(shù):
一些企業(yè)出于安全、保密等因素的考慮,企業(yè)的網(wǎng)絡(luò)環(huán)境是封閉的,即企業(yè)存在一個所有計算機(jī)都可以訪問的企業(yè)內(nèi)網(wǎng),但對于企業(yè)外網(wǎng),企業(yè)中的大部分計算機(jī)是不可以訪問的。在這種封閉的網(wǎng)絡(luò)環(huán)境中,通常企業(yè)是在每一臺計算機(jī)中都配置有病毒庫,通過所述病毒庫對計算機(jī)中的文件進(jìn)行安全監(jiān)測、病毒查殺。由于常常會出現(xiàn)新的病毒,因此病毒庫需要及時更新才能確保計算機(jī)的安全。在企業(yè)中的大部分計算機(jī)不能訪問企業(yè)外網(wǎng)的情況下,為了使計算機(jī)中的病毒庫能夠進(jìn)行更新,可以在企業(yè)可連接企業(yè)外網(wǎng)的計算機(jī)中安裝離線工具。所述離線工具定時通過企業(yè)外網(wǎng)檢測網(wǎng)絡(luò)端的病毒庫是否有更新,若有更新,就將網(wǎng)絡(luò)端的病毒庫更新到本地病毒庫中,然后通過企業(yè)內(nèi)網(wǎng)對其他計算機(jī)中的病毒庫進(jìn)行更新。通過上述的方法,本地病毒庫中就可以保存有最近比較流行的病毒特征。但是,本地病毒庫的資源是有限的,保存的病毒特征也是有限的,因此并不能確保查殺到病毒。而且,上述的方法更新病毒庫的時間比較長,若本地有一個新的病毒,本地病毒庫由于沒有更新或正在更新,可能無法查殺到該病毒,就會影響到計算機(jī)的安全。
發(fā)明內(nèi)容
鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的針對企業(yè)的文件檢測系統(tǒng)和相應(yīng)的針對企業(yè)的文件檢測方法。依據(jù)本發(fā)明的一個方面,提供了一種針對企業(yè)的文件檢測方法,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,其中,所述文件信息中包含所述本地終端中待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收外網(wǎng)控制服務(wù)器針對待測文件的查殺結(jié)果;其中,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件。本發(fā)明實施例中,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息之后,還包括檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則生成查殺結(jié)果,并反饋所述查殺結(jié)果給本地終端。本發(fā)明實施例中,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。本發(fā)明實施例中,還包括反饋所述查殺結(jié)果給本地終端。本發(fā)明實施例中,反饋所述查殺結(jié)果給本地終端,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給本地終端。本發(fā)明實施例中,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。本發(fā)明實施例中,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。本發(fā)明實施例中,所述查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。本發(fā)明實施例中,將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中,所述病毒庫屬于以下任一項本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器。根據(jù)本發(fā)明的另一方面,提供了一種針對企業(yè)的文件檢測系統(tǒng),包括本地終端、企業(yè)內(nèi)網(wǎng)控制服務(wù)器和外網(wǎng)控制服務(wù)器,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器,包括第一接收模塊,適于接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,其中,所述文件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;發(fā)送模塊,適于當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;第二接收模塊,適于接收網(wǎng)絡(luò)服務(wù)端的查殺結(jié)果;其中,所述發(fā)送模塊具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件。本發(fā)明實施例中,還包括檢測模塊,用于檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則生成查殺結(jié)果,并反饋所述查殺結(jié)果給本地終端。本發(fā)明實施例中,所述第一接收模塊,具體適于同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。本發(fā)明實施例中,還包括反饋模塊,適于反饋所述查殺結(jié)果給本地終端。本發(fā)明實施例中,所述反饋模塊,具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給本地終端。本發(fā)明實施例中,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。本發(fā)明實施例中,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。本發(fā)明實施例中,所述查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。本發(fā)明實施例中,所述本地終端包括更新模塊;所述更新模塊,適于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中;所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器包括更新模塊;所述更新模塊,適于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中。根據(jù)本發(fā)明的企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以將包含所述待測文件的特征值的文件信息發(fā)送至外網(wǎng)控制服務(wù)器,由此解決了對待測文件的檢測局限于本地庫終端的病毒庫中,需要等待病毒庫升級完成在執(zhí)行檢測的問題,取得了快速的確定待測文件安全與否的有益效果。上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂,以下特舉本發(fā)明的具體實施方式
。
通過閱讀下文優(yōu)選實施方式的詳細(xì)描述,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅適于示出優(yōu)選實施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中圖1示出了根據(jù)本發(fā)明一個實施例提供的針對企業(yè)的文件檢測方法流程圖;圖2示出了根據(jù)本發(fā)明另一個實施例提供的企業(yè)內(nèi)網(wǎng)控制服務(wù)器檢測流程圖;以及圖3示出了根據(jù)本發(fā)明一個實施例的提供的針對企業(yè)的文件檢測系統(tǒng)結(jié)構(gòu)圖。
具體實施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應(yīng)當(dāng)理解,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。一些企業(yè)出于安全、保密等因素的考慮,企業(yè)的網(wǎng)絡(luò)環(huán)境是封閉的,即企業(yè)存在一個所有計算機(jī)都可以訪問的企業(yè)內(nèi)網(wǎng),但對于企業(yè)外網(wǎng),企業(yè)中的大部分計算機(jī)是不可以訪問的。 在這種封閉的網(wǎng)絡(luò)環(huán)境中,通常企業(yè)是在每一臺計算機(jī)中都配置有本地病毒庫,通過本地病毒庫對計算機(jī)中的文件進(jìn)行安全監(jiān)測、病毒查殺。但是,計算機(jī)的本地病毒庫中就可以保存有最近比較流行的病毒特征,并且本地病毒庫的資源是有限的,保存的病毒特征也是有限的,因此并不能確保查殺到病毒。而且,上述的方法更新病毒庫的時間比較長,若本地有一個新的病毒,本地病毒庫由于沒有更新或正在更新,可能無法查殺到該病毒,就會影響到計算機(jī)的安全。本發(fā)明實施例提供一種針對企業(yè)的文件檢測方法,企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以通過企業(yè)外網(wǎng)將待測文件的文件信息發(fā)送至外網(wǎng)控制服務(wù)器,獲取外網(wǎng)控制服務(wù)器的查殺結(jié)果,從而可以快速的確定待測文件安全與否,不局限于本地病毒庫進(jìn)行查殺,也不用等待病毒庫的升級結(jié)果。圖1示出了根據(jù)本發(fā)明一個實施例提供的針對企業(yè)的文件檢測方法流程圖。步驟101,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息;其中,為保護(hù)企業(yè)中數(shù)據(jù)信息的安全,可以為企業(yè)的計算機(jī)系統(tǒng)中配置企業(yè)內(nèi)網(wǎng)控制服務(wù)器,通過企業(yè)內(nèi)網(wǎng)對終端的安全進(jìn)行維護(hù)、控制。則將企業(yè)的計算機(jī)系統(tǒng)中使用內(nèi)部網(wǎng)絡(luò)的終端作為本地終端,如桌上電腦、筆記本電腦、平板電腦等。本地終端可以依據(jù)病毒庫對文件進(jìn)行掃描,其中,針對每一個文件可以計算其唯一的特征值,在掃描時依據(jù)其特征值進(jìn)行掃描。若沒有掃描到該文件是否安全,即該文件的特征值不存在于本地終端的病毒庫中,則可以將該文件作為待測文件,并將所述待測文件的特征值添加到文件信息中,然后本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送所述文件信息給企業(yè)內(nèi)網(wǎng)控制服務(wù)器。當(dāng)然,所述文件信息中不僅僅包含所述本地終端中待測文件的特征值,還可以包含所述待測文件的名稱、存儲地址等信息。則企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息。步驟102,當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收到本地終端發(fā)送的文件信息后,可以采用企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫對待測文件的特征值進(jìn)行檢測。由于外網(wǎng)控制服務(wù)器的病毒庫中保存有大量的病毒特征,資源非常豐富,可以為病毒檢測提供非常穩(wěn)定、準(zhǔn)確和安全的依據(jù),因此當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,企業(yè)內(nèi)網(wǎng)控制服務(wù)器會通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器,讓外網(wǎng)控制服務(wù)器對待測文件的特征值進(jìn)行檢測,以確定所述待測文件是否安全。外網(wǎng)控制服務(wù)器接收到所述文件信息后,可以采用其所擁有的病毒庫對待測文件的特征值進(jìn)行檢測,確定所述待測文件安全與否并生成查殺結(jié)果,然后外網(wǎng)控制服務(wù)器會將所述查殺結(jié)果反饋給企業(yè)內(nèi)網(wǎng)控制服務(wù)器。步驟103,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收網(wǎng)絡(luò)服務(wù)端針對待測文件的查殺結(jié)果。企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以接收網(wǎng)絡(luò)服務(wù)端針對待測文件的查殺結(jié)果。后續(xù),企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以根據(jù)所述查殺結(jié)果執(zhí)行相應(yīng)的操作,例如反饋給本地終端,或依據(jù)所述查殺結(jié)果對病毒庫進(jìn)行更新等。綜上所述,本發(fā)明實施例中一旦本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器均無法確定待測文件安全與否時,就可以將包含所述待測文件的特征值的文件信息發(fā)送至外網(wǎng)控制服務(wù)器。因此,對待測文件的檢測不僅局限于本地庫終端的病毒庫中,也就不必等待病毒庫升級完成在執(zhí)行檢測,將待測文件的特征值傳輸給往往服務(wù)端后,由于外網(wǎng)控制服務(wù)器的病毒庫中保存有大量的病毒特征,可以為待測文件的檢測提供非常穩(wěn)定、準(zhǔn)確和安全的依據(jù),使得能都快速的確定待測文件安全與否。本發(fā)明實施例中,外網(wǎng)控制服務(wù)器的病毒庫中保存有各類存在安全問題的特征值,因此,外網(wǎng)控制服務(wù)器可以依據(jù)其病毒庫對待測文件進(jìn)行檢測,并獲取檢測結(jié)果生成查殺結(jié)果。其中,外網(wǎng)控制服務(wù)器作為安全相關(guān)的服務(wù)端,其病毒庫中保存的特征值是最全面的,其可以將歷史以來所有存在安全問題的特征值又進(jìn)行保存。而本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器中資源有限,因此實際處理中,往往會獲取預(yù)設(shè)時間內(nèi)(如I個月)在各類存在安全問題的特征值中排在前N位的特征值,如近期比較流行的病毒特征,將這些排在前N位的存在安全問題的特征值保存到本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中,供用戶對文件進(jìn)行檢測。但也正是由于本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在安全問題的特征值比較少,因此如果僅依此進(jìn)行檢測,往往可能無法確定文件安全與否,因此本發(fā)明實施例支持將待測文件的特征值傳輸?shù)酵饩W(wǎng)控制服務(wù)器進(jìn)行全面的檢測。并且,由于企業(yè)中的一些專用的可執(zhí)行文件,往往由于其要執(zhí)行一些特殊的功能,如監(jiān)控等,會導(dǎo)致其本身編寫中的特征碼與一些病毒中的特征碼一致,此時若采用特征碼進(jìn)行文件檢測就可能存在誤報等情況,因此,本發(fā)明實施例在檢測文件時采用的是文件的特征值。 本發(fā)明實施例中所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。例如,采用MD5算法計算文件的MD5值。為了進(jìn)一步減少誤報的發(fā)生,本發(fā)明實施例中的病毒庫可以采用黑、白名單的形式,即病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。因此,用戶可以將其專用的可執(zhí)行文件的特征值加入到白名單中,以防止發(fā)生誤報的情況。綜上所述,本發(fā)明實施例特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,從而依據(jù)特征值進(jìn)行檢測時能夠減少誤報的問題發(fā)生。本發(fā)明實施例的病毒庫可以采用黑、白名單的形式,從而使得用戶可以將其專用的可執(zhí)行文件的特征值加入到白名單中,以防止發(fā)生誤報的情況。圖2示出了根據(jù)本發(fā)明另一個實施例提供的企業(yè)內(nèi)網(wǎng)控制服務(wù)器檢測流程圖??蛇x的,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息之后,還包括步驟201,檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值;企業(yè)內(nèi)網(wǎng)控制服務(wù)器在接收到本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息之后,可以采用企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫對所述待測文件的特征值進(jìn)行檢測,檢測所述待測文件的特征值是否存在于企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中。若是,即企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則后續(xù)執(zhí)行步驟202 ;若否,即企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中不存在所述待測文件的特征值,則后續(xù)執(zhí)行步驟203。步驟202,生成查殺結(jié)果;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則可以基于檢測結(jié)果生成查殺結(jié)果。例如,病毒庫采用黑、白名單的形式,若所述待測文件的特征值存在于白名單中,則說明所述待測文件的特征值是不存在安全問題的特征值,則對應(yīng)的查殺結(jié)果可以為安全,或待測文件不存在安全問題等。若所述待測文件的特征值存在于黑名單中,則說明所述待測文件的特征值是存在安全問題的特征值,則對應(yīng)的查殺結(jié)果可以為不安全,或待測文件存在安全問題等。步驟203,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中不存在所述待測文件的特征值,即企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,本地終端可以通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器。外網(wǎng)控制服務(wù)器接收到文件信息后,也會對待測文件的特征值進(jìn)行檢測。若外網(wǎng)控制服務(wù)器的病毒庫采用黑、白名單的形式,則檢測方法與企業(yè)內(nèi)網(wǎng)控制服務(wù)器基本一致,若所述待測文件的特征值存在于白名單中,則對應(yīng)的查殺結(jié)果可以為安全,或待測文件不存在安全問題等。若所述待測文件的特征值存在于黑名單中,則對應(yīng)的查殺結(jié)果可以為不安全,或待測文件存在安全問題等。當(dāng)然,若所述待測文件的特征值即不存在與黑名單,也不存在與白名單中,則對應(yīng)的查殺結(jié)果可以為無法確定,或無法確定待測文件是否存在安全問題等。外網(wǎng)控制服務(wù)器生成查殺結(jié)果后,可以將待測文件的查殺結(jié)果發(fā)送給企業(yè)內(nèi)網(wǎng)控制服務(wù)器。步驟204,接收外網(wǎng)控制服務(wù)器針對待測文件的查殺結(jié)果;企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以接收外網(wǎng)控制服務(wù)器發(fā)送的查殺結(jié)果。其中,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收到查殺結(jié)果后,還可以依據(jù)查殺結(jié)果同步更新企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中,將所述待測文件的特征值更新到白名單或黑名單中,當(dāng)然,若外網(wǎng)控制服務(wù)器也無法確定待測文件安全與否,就可以不用更新。步驟205,反饋所述查殺結(jié)果給本地終端;企業(yè)內(nèi)網(wǎng)控制服務(wù)器在確定待測文件的查殺結(jié)果后,可以通過企業(yè)內(nèi)網(wǎng)反饋所述查殺結(jié)果給本地終端。此時,本地終端也可以依據(jù)查殺結(jié)果同步更新本地終端的病毒庫,方法與企業(yè)內(nèi)網(wǎng)控制服務(wù)器的方法基于一致,此處不再贅述。另外,當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器確定某一待測文件的查殺結(jié)果后,可以不僅僅針對上傳該待測文件的本地終端進(jìn)行更新,可以同步傳送給其他的本地終端,使得該企業(yè)中的所有本地終端都能夠確定所述待測文件的安全與否,避免出現(xiàn)重復(fù)上傳企業(yè)內(nèi)網(wǎng)控制服務(wù)器而浪費資源的問題。綜上所述,本發(fā)明實施例確定待測文件安全與否后,可以同步將查殺結(jié)果更新到企業(yè)內(nèi)網(wǎng)的各個本地終端中,并且更新到企業(yè)內(nèi)網(wǎng)控制服務(wù)器中,避免出現(xiàn)重復(fù)上傳企業(yè)內(nèi)網(wǎng)控制服務(wù)器而浪費資源的問題。可選的,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端發(fā)送的文件信息,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。本發(fā)明實施例中,本地終端會通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求給企業(yè)內(nèi)網(wǎng)控制服務(wù)器,所述非獨占是指本地終端在向企業(yè)內(nèi)網(wǎng)控制服務(wù)器發(fā)送查詢請求時,可以多個終端同時發(fā)送所述查詢請求,即本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。所述查詢請求中包括文件信息。企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器時,也可以采用非獨占的查詢請求,在查詢請求中包含文件信息。即企業(yè)內(nèi)網(wǎng)控制服務(wù)器同時接收到各個本地終端的查詢請求后,若其中若干本地終端傳送的待測文件都無法確定安全與否,為了盡快確定待測文件安全與否,同時減少資源的浪費,企業(yè)內(nèi)網(wǎng)控制服務(wù)器可以同步發(fā)送查詢請求到外網(wǎng)控制服務(wù)器進(jìn)行查詢??蛇x的,反饋所述查殺結(jié)果給終端,包括企業(yè)內(nèi)網(wǎng)控制服務(wù)器在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給終端。本發(fā)明實施例為了加強本地終端的安全性,在企業(yè)內(nèi)網(wǎng)控制服務(wù)器沒有確定待測文件安全與否時,不會反饋數(shù)據(jù)給本地終端,待測文件在本地終端中就會保持檢測時的狀態(tài)。企業(yè)內(nèi)網(wǎng)控制服務(wù)器在確定查殺結(jié)果后,會對本地終端的非獨占的查詢請求反饋查詢響應(yīng),在查詢響應(yīng)中包含所述查殺結(jié)果。因此,本地終端最終接收到的查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。本地終端中會預(yù)先配置對各項查殺結(jié)果的處理措施,可以依據(jù)處理措施對待測文件進(jìn)行處理。例如,待測文件存在安全問題時,可以刪除待測文件;待測文件不存在安全問題,可以不對待測文件進(jìn)行任何操作;無法確定待測文件是否存在安全問題,可以對待測文件進(jìn)行限制操作,例如隔離、不運行等。當(dāng)然也可以采取其他處理措施,本發(fā)明對此不做限定。圖3示出了根據(jù)本發(fā)明一個實施例提供的針對企業(yè)的文件檢測系統(tǒng)結(jié)構(gòu)圖。相應(yīng)的,本發(fā)明還提供了一種針對企業(yè)的文件檢測系統(tǒng),包括本地終端1、企業(yè)內(nèi)網(wǎng)控制服務(wù)器2和外網(wǎng)控制服務(wù)器3。所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器2,包括第一接收模塊21,適于接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,其中,所述文件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件;發(fā)送模塊22,適于當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;第二接收模塊23,適于接收網(wǎng)絡(luò)服務(wù)端的查殺結(jié)果;反饋模塊24,適于反饋所述查殺結(jié)果給終端??蛇x的,還包括檢測模塊,適于檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則生成查殺結(jié)果,并反饋所述查殺結(jié)果給本地終端??蛇x的,第一接收模塊21,具體適于同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢??蛇x的,反饋模塊24,具體適于在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給本地終端??蛇x的,發(fā)送模塊22,具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件??蛇x的,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值??蛇x的,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。可選的,所述查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題??蛇x的,本地終端I包括更新模塊,用于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中。企業(yè)內(nèi)網(wǎng)控制服務(wù)器2,還包括更新模塊,用于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中。在此提供的算法和顯示不與任何特定計算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外,本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白,可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循具體實施方式
的權(quán)利要求書由此明確地并入該具體實施方式
,其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在下面的權(quán)利要求書中,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的針對企業(yè)的文件檢測系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為適于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
權(quán)利要求
1.一種針對企業(yè)的文件檢測方法,包括 企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,其中,所述文件信息中包含所述本地終端中待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件; 當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器; 企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收外網(wǎng)控制服務(wù)器針對待測文件的查殺結(jié)果; 其中,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器包括 企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件。
2.如權(quán)利要求1所述的方法,企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息之后,還包括 檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值; 若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則生成查殺結(jié)果,并反饋所述查殺結(jié)果給本地終端。
3.如權(quán)利要求1所述的方法,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,包括 企業(yè)內(nèi)網(wǎng)控制服務(wù)器同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。
4.如權(quán)利要求1或3任一所述的方法,還包括 反饋所述查殺結(jié)果給本地終端。
5.如權(quán)利要求4所述的方法,反饋所述查殺結(jié)果給本地終端,包括 企業(yè)內(nèi)網(wǎng)控制服務(wù)器在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給本地終端。
6.如權(quán)利要求1或2任一所述的方法,病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。
7.如權(quán)利要求1、2或6任一所述的方法,所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。
8.如權(quán)利要求1、2、4或5任一所述的方法,所述查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。
9.根據(jù)權(quán)利要求6所述的方法,將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中,所述病毒庫屬于以下任一項本地終端和企業(yè)內(nèi)網(wǎng)控制服務(wù)器。
10.一種針對企業(yè)的文件檢測系統(tǒng),包括本地終端、企業(yè)內(nèi)網(wǎng)控制服務(wù)器和外網(wǎng)控制服務(wù)器,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器,包括 第一接收模塊,適于接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息,其中,所述文件信息中包含待測文件的特征值,將特征值不存在于本地終端的病毒庫中的文件作為待測文件; 發(fā)送模塊,適于當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器; 第二接收模塊,適于接收網(wǎng)絡(luò)服務(wù)端的查殺結(jié)果; 其中,所述發(fā)送模塊具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件。
11.如權(quán)利要求10所述的系統(tǒng),還包括 檢測模塊,用于檢測企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中是否存在所述待測文件的特征值;若企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中存在所述待測文件的特征值,則生成查殺結(jié)果,并反饋所述查殺結(jié)果給本地終端。
12.如權(quán)利要求10所述的系統(tǒng),所述第一接收模塊,具體適于同時接收各本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的非獨占的查詢請求,其中,所述查詢請求中包含文件信息,所述非獨占表示本地終端對企業(yè)內(nèi)網(wǎng)控制服務(wù)器進(jìn)行共享查詢。
13.如權(quán)利要求10或12任一所述的系統(tǒng),還包括 反饋模塊,適于反饋所述查殺結(jié)果給本地終端。
14.如權(quán)利要求13所述的系統(tǒng),所述反饋模塊,具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器在所述非獨占的查詢請求的查詢響應(yīng)中,將所述查殺結(jié)果反饋給本地終端。
15.如權(quán)利要求10或11任一所述的系統(tǒng),病毒庫中包含白名單和黑名單,所述白名單適于保存不存在安全問題的特征值,所述黑名單適于保存存在安全問題的特征值。
16.如權(quán)利要求10、11或15任一所述的系統(tǒng),所述特征值是通過計算文件的哈希值獲取的,一個特征值唯一對應(yīng)一個文件,所述文件包括待測文件。
17.如權(quán)利要求10、11、13或14任一所述的系統(tǒng),所述查殺結(jié)果包括以下任一項待測文件存在安全問題、待測文件不存在安全問題和無法確定待測文件是否存在安全問題。
18.根據(jù)權(quán)利要求15所述的系統(tǒng),所述本地終端包括更新模塊; 所述更新模塊,適于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中; 所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器包括更新模塊; 所述更新模塊,適于將針對待測文件的查殺結(jié)果更新到病毒庫的白名單或黑名單中。
全文摘要
本發(fā)明公開了一種針對企業(yè)的文件檢測方法和系統(tǒng),以解決現(xiàn)有企業(yè)的安全檢測方法影響計算機(jī)的安全的問題。所述的系統(tǒng)包括本地終端、企業(yè)內(nèi)網(wǎng)控制服務(wù)器和外網(wǎng)控制服務(wù)器,所述企業(yè)內(nèi)網(wǎng)控制服務(wù)器包括第一接收模塊,適于接收本地終端通過企業(yè)內(nèi)網(wǎng)發(fā)送的文件信息;發(fā)送模塊,適于當(dāng)企業(yè)內(nèi)網(wǎng)控制服務(wù)器的病毒庫中無法檢測到所述待測文件的特征值時,通過企業(yè)外網(wǎng)發(fā)送所述文件信息至外網(wǎng)控制服務(wù)器;第二接收模塊,適于接收網(wǎng)絡(luò)服務(wù)端的查殺結(jié)果;其中,所述發(fā)送模塊具體適于企業(yè)內(nèi)網(wǎng)控制服務(wù)器通過企業(yè)外網(wǎng)發(fā)送非獨占的查詢請求至外網(wǎng)控制服務(wù)器,其中,所述查詢請求中包含文件信息,所述非獨占表示企業(yè)內(nèi)網(wǎng)控制服務(wù)器同步查詢各本地終端的待測文件。
文檔編號H04L29/06GK103049697SQ20121048794
公開日2013年4月17日 申請日期2012年11月26日 優(yōu)先權(quán)日2012年11月26日
發(fā)明者溫銘 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司