一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的方法和裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域,尤其涉及一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的方法和裝置。
【背景技術(shù)】
[0002]現(xiàn)有技術(shù)中,在云查殺的過程中,為了不影響客戶端設(shè)備的系統(tǒng)性能,一般采用異步云掃描的模式,即云查殺服務(wù)器能夠識(shí)別病毒等可疑程序,但無法立即令客戶端設(shè)備阻攔可疑程序的啟動(dòng),因此根據(jù)現(xiàn)有技術(shù)的方式,云查殺的客戶端設(shè)備無法在病毒程序啟動(dòng)前及時(shí)執(zhí)行清除病毒等處理病毒的操作。
【發(fā)明內(nèi)容】
[0003]本發(fā)明的目的是提供一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的方法和裝置。
[0004]根據(jù)本發(fā)明的一個(gè)方面,提供了一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的方法,其中,所述方法包括以下步驟:
[0005]-獲取監(jiān)控對(duì)象的安全屬性信息;
[0006]-當(dāng)所述監(jiān)控對(duì)象的所述安全屬性信息滿足實(shí)時(shí)處理監(jiān)控條件時(shí),確定與該監(jiān)控對(duì)象對(duì)應(yīng)的監(jiān)控模式為實(shí)時(shí)處理監(jiān)控;
[0007]-將與該監(jiān)控對(duì)象對(duì)應(yīng)的對(duì)象監(jiān)控信息以及監(jiān)控模式上報(bào)至相應(yīng)的網(wǎng)絡(luò)設(shè)備;
[0008]-根據(jù)所接收到的、所述網(wǎng)絡(luò)設(shè)備基于所述對(duì)象監(jiān)控信息所反饋的處理方案,來對(duì)所述監(jiān)控對(duì)象執(zhí)行相應(yīng)的處理操作。
[0009]根據(jù)本發(fā)明的一個(gè)方面,還提供了一種用于輔助完成網(wǎng)絡(luò)查殺的方法,其中,所述方法包括以下步驟:
[0010]-接收來自用戶設(shè)備的對(duì)于監(jiān)控對(duì)象的對(duì)象監(jiān)控信息以及該監(jiān)控對(duì)象的監(jiān)控模式;
[0011]-當(dāng)監(jiān)控模式為實(shí)時(shí)處理監(jiān)控時(shí),向所述用戶設(shè)備反饋與該監(jiān)控對(duì)象的對(duì)象監(jiān)控信息對(duì)應(yīng)的處理方案。
[0012]根據(jù)本發(fā)明的一個(gè)方面,還提供了一種用于通過網(wǎng)絡(luò)來進(jìn)行文件掃描的監(jiān)控處理裝置,其中,所述監(jiān)控處理裝置包括:
[0013]用于獲取監(jiān)控對(duì)象的安全屬性信息的裝置;
[0014]用于當(dāng)根據(jù)監(jiān)控對(duì)象的安全屬性信息滿足實(shí)時(shí)處理監(jiān)控條件時(shí),確定與該監(jiān)控對(duì)象對(duì)應(yīng)的監(jiān)控模式為實(shí)時(shí)處理監(jiān)控的裝置;
[0015]用于將與該監(jiān)控對(duì)象對(duì)應(yīng)的對(duì)象監(jiān)控信息以及監(jiān)控模式上報(bào)至相應(yīng)的網(wǎng)絡(luò)設(shè)備的裝置;
[0016]用于根據(jù)所接收到的、所述網(wǎng)絡(luò)設(shè)備基于所述對(duì)象監(jiān)控信息所反饋的處理方案,來對(duì)所述監(jiān)控對(duì)象執(zhí)行相應(yīng)的處理操作的裝置。
[0017]根據(jù)本發(fā)明的一個(gè)方面,還提供了一種用于輔助完成網(wǎng)絡(luò)查殺的網(wǎng)絡(luò)設(shè)備,其中,所述網(wǎng)絡(luò)設(shè)備包括:
[0018]用于接收來自用戶設(shè)備的對(duì)于監(jiān)控對(duì)象的對(duì)象監(jiān)控信息以及該監(jiān)控對(duì)象的監(jiān)控模式的裝置;
[0019]用于當(dāng)監(jiān)控模式為實(shí)時(shí)處理監(jiān)控時(shí),向所述用戶設(shè)備反饋與該監(jiān)控對(duì)象的對(duì)象監(jiān)控信息對(duì)應(yīng)的處理方案的裝置。
[0020]與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn):在云查殺的過程中,根據(jù)本發(fā)明的客戶端設(shè)備能夠判斷待啟動(dòng)的程序是否足夠安全來進(jìn)一步確定相應(yīng)的監(jiān)控掃描模式,并將所確定的監(jiān)控掃描模式上報(bào)至服務(wù)器。例如,對(duì)足夠安全的程序采取異步云掃描的模式,而對(duì)疑似為病毒的程序采取同步云掃描的模式。并且,根據(jù)本發(fā)明的服務(wù)器能夠在待啟動(dòng)的程序疑似為病毒的情況下即刻向客戶端設(shè)備反饋相應(yīng)的處理方案。因此,根據(jù)本發(fā)明的方案能夠有效攔截病毒程序的啟動(dòng),降低了客戶端設(shè)備被病毒感染的風(fēng)險(xiǎn)性。
【附圖說明】
[0021]通過閱讀參照以下附圖所作的對(duì)非限制性實(shí)施例所作的詳細(xì)描述,本發(fā)明的其它特征、目的和優(yōu)點(diǎn)將會(huì)變得更明顯:
[0022]圖1示意出了根據(jù)本發(fā)明的一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的方法流程圖;
[0023]圖2示意出了根據(jù)本發(fā)明的一種用于通過網(wǎng)絡(luò)來進(jìn)行文件監(jiān)控的監(jiān)控處理裝置以及用于輔助完成網(wǎng)絡(luò)查殺的網(wǎng)絡(luò)設(shè)備的結(jié)構(gòu)示意圖。
[0024]附圖中相同或相似的附圖標(biāo)記代表相同或相似的部件。
【具體實(shí)施方式】
[0025]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)描述。
[0026]圖1示意出了根據(jù)本發(fā)明的一種用于通過網(wǎng)絡(luò)來進(jìn)行文件掃描的方法流程圖。根據(jù)本發(fā)明的方法包括由用戶設(shè)備執(zhí)行的步驟S101、步驟S102、步驟S103和步驟S104,以及由網(wǎng)路設(shè)備執(zhí)行的步驟S201和步驟S202。
[0027]其中,根據(jù)本發(fā)明的方法通過包含于計(jì)算機(jī)設(shè)備中的監(jiān)控處理裝置來實(shí)現(xiàn)。所述計(jì)算機(jī)設(shè)備包括一種能夠按照事先設(shè)定或存儲(chǔ)的指令,自動(dòng)進(jìn)行數(shù)值計(jì)算和/或信息處理的電子設(shè)備,其硬件包括但不限于微處理器、專用集成電路(ASIC)、可編程門陣列(FPGA)、數(shù)字處理器(DSP)、嵌入式設(shè)備等。所述計(jì)算機(jī)設(shè)備包括網(wǎng)絡(luò)設(shè)備和/或用戶設(shè)備。其中,所述網(wǎng)絡(luò)設(shè)備包括但不限于單個(gè)網(wǎng)絡(luò)服務(wù)器、多個(gè)網(wǎng)絡(luò)服務(wù)器組成的服務(wù)器組或基于云計(jì)算(Cloud Computing)的由大量主機(jī)或網(wǎng)絡(luò)服務(wù)器構(gòu)成的云,其中,云計(jì)算是分布式計(jì)算的一種,由一群松散耦合的計(jì)算機(jī)集組成的一個(gè)超級(jí)虛擬計(jì)算機(jī)。所述用戶設(shè)備包括但不限于任何一種可與用戶通過鍵盤、鼠標(biāo)、遙控器、觸摸板、或聲控設(shè)備等方式進(jìn)行人機(jī)交互的電子產(chǎn)品,例如,個(gè)人計(jì)算機(jī)、平板電腦、智能手機(jī)等。其中,所述用戶設(shè)備及網(wǎng)絡(luò)設(shè)備所處的網(wǎng)絡(luò)包括但不限于互聯(lián)網(wǎng)、廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、VPN網(wǎng)絡(luò)等。
[0028]需要說明的是,所述用戶設(shè)備、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)僅為舉例,其他現(xiàn)有的或今后可能出現(xiàn)的用戶設(shè)備、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)如可適用于本發(fā)明,也應(yīng)包含在本發(fā)明保護(hù)范圍以內(nèi),并以引用方式包含于此。
[0029]參照?qǐng)D1,在步驟SlOl中,監(jiān)控處理裝置獲取監(jiān)控對(duì)象的安全屬性信息。
[0030]其中,所述監(jiān)控對(duì)象包括但不限于用戶設(shè)備中需要被監(jiān)控的應(yīng)用程序。優(yōu)選地,所述監(jiān)控對(duì)象包括所述用戶設(shè)備中待啟動(dòng)的程序的進(jìn)程映像文件,例如,待啟動(dòng)的即時(shí)通信軟件,又例如,待啟動(dòng)的office軟件等。
[0031]其中,所述安全屬性信息包括以下至少任一種基礎(chǔ)信息,:
[0032]I)啟發(fā)掃描結(jié)果信息;其中,該啟發(fā)掃描結(jié)果信息包括通過對(duì)監(jiān)控對(duì)象執(zhí)行啟發(fā)式掃描后得到的、用于指示該監(jiān)控對(duì)象為病毒的可能性的信息。
[0033]優(yōu)選地,該啟發(fā)掃描結(jié)果信息包括用于指示監(jiān)控對(duì)象為病毒可能性的啟發(fā)權(quán)值。
[0034]更優(yōu)選地,所述啟發(fā)權(quán)值基于多項(xiàng)分別與各個(gè)諸如監(jiān)控對(duì)象執(zhí)行的操作或使用的指令等掃描特征對(duì)應(yīng)的加權(quán)值來確定,其中,各項(xiàng)加權(quán)值分別用于指示基于相應(yīng)的掃描特征執(zhí)行啟發(fā)式掃描后的結(jié)果。更加優(yōu)選地,所述啟發(fā)權(quán)值包括該多項(xiàng)啟發(fā)權(quán)值之和。
[0035]優(yōu)選地,所述啟發(fā)掃描結(jié)果信息還包括所述啟發(fā)權(quán)值是否大于預(yù)定的報(bào)警權(quán)值的指示信息。
[0036]其中,“啟發(fā)式掃描技術(shù)”指“自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能技術(shù)”,其常被用于軟件測(cè)試和病毒檢測(cè)中。
[0037]優(yōu)選地,在病毒檢測(cè)中,啟發(fā)掃描技術(shù)通過分析程序的指令序列,達(dá)到間接得知程序各個(gè)子模塊行為邏輯目的,計(jì)算并匹配各個(gè)目的的出現(xiàn)順序與權(quán)值,從而得知被分析程序中是否存在惡意的行為。
[0038]例如,在病毒檢測(cè)中,采用啟發(fā)式掃描技術(shù)的掃描引擎可通過識(shí)別并探測(cè)許多可疑的程序代碼指令序列,通過對(duì)監(jiān)控對(duì)象的指令序列的反編譯逐步理解并確定其蘊(yùn)藏的真正動(dòng)機(jī),進(jìn)而判斷該監(jiān)控對(duì)象的可疑程度。
[0039]優(yōu)選地,所述啟發(fā)掃描結(jié)果信息還包括啟發(fā)權(quán)值是否大于預(yù)定的報(bào)警權(quán)值的指示信息。
[0040]2)感染掃描結(jié)果信息;其中,所述感染掃描結(jié)果信息包括基于對(duì)監(jiān)控對(duì)象執(zhí)行感染掃描后所獲得的,用于指示監(jiān)控對(duì)象被感染的可能性的信息。
[0041 ] 其中,感染掃描技術(shù)包括通過將監(jiān)控對(duì)象與諸如病毒庫(kù)等樣本數(shù)據(jù)庫(kù)中的樣本進(jìn)行比較,基于該監(jiān)控對(duì)象是否具有一個(gè)或多個(gè)樣本的特征,來判斷監(jiān)控對(duì)象是否被樣本感染的方式。
[0042]3)對(duì)象加殼信息。該對(duì)象加殼信息用于指示監(jiān)控對(duì)象是否為加殼的程序。
[0043]其中,所述加殼包括通過特定的算法對(duì)可執(zhí)行文件或動(dòng)態(tài)鏈接庫(kù)文件進(jìn)行的壓縮或加密等操作。當(dāng)運(yùn)行被加殼的程序時(shí),其外殼程序先被執(zhí)行,接著該外殼程序?qū)⒃械某绦蛟趦?nèi)存中解壓縮從而運(yùn)行該原有的程序。
[0044]具體地,監(jiān)控處理裝置通過相應(yīng)的掃描引擎來獲取監(jiān)控對(duì)象的安全屬性信息。例如,通過調(diào)用啟發(fā)掃描引擎來得到監(jiān)控對(duì)象的啟發(fā)權(quán)值。又例如,通過調(diào)用脫殼引擎來得到監(jiān)控對(duì)象是否加殼的信息。
[0045]優(yōu)選地,所述安全屬性信息還包括分類相關(guān)信息,所述分類相關(guān)信息用于輔助判斷監(jiān)控對(duì)象是否安全。
[0046]其中,所述分類相關(guān)信息基于以下至少任一項(xiàng)來確定:
[0047]I)文件類型信息;基于文件的屬性所確定的文件的分類信息,例如,自解壓的可執(zhí)行文件等,又例如,基于文件后綴諸如擴(kuò)展名exe”所確定的文件類型信息等。
[0048]2)文件大小信息。
[0049]優(yōu)選地,所述監(jiān)控處理裝置可先獲取各個(gè)文件的分類相關(guān)信息,并基于所獲得的分類相關(guān)信息對(duì)文件進(jìn)行篩選,并對(duì)篩選出的文件進(jìn)一步獲取其各自的基礎(chǔ)屬性。
[0050]更優(yōu)選地,所述監(jiān)控處理裝置可基于預(yù)定判斷條件,逐步獲取與各個(gè)判斷過程中的判斷條件相對(duì)應(yīng)的一項(xiàng)或多項(xiàng)安全屬性信息,而無需一次獲得所有安全屬性信息。
[0051]例如,監(jiān)控處理裝置先基于文件類型,判斷其是否為自解壓的可執(zhí)行文件,如果是,則進(jìn)一步獲取其文件大小,并判斷其文件大小是否大于預(yù)定閾值,當(dāng)不大于預(yù)定閾值時(shí),進(jìn)一步獲取該文件的一項(xiàng)或多項(xiàng)基礎(chǔ)屬性信息。
[0052]優(yōu)選地,根據(jù)本發(fā)明的方案還包括步驟S105 (圖未示),所述步驟SlOl進(jìn)一步包括步驟SlOll (圖未示)。
[0053]在步驟S105中,監(jiān)控處理裝置基于監(jiān)控對(duì)象的路徑相關(guān)信息以及安全緩存中包含的路徑信息來判斷一監(jiān)控對(duì)象是否安全。
[0054]其中,所述路徑相關(guān)信息包括但不限于以下至少任一項(xiàng):
[0055]I)所述監(jiān)控對(duì)象的路徑信息