一种文件行为的监控方法及用户设备的制作方法

一种文件行为的监控方法及用户设备的制作方法
【专利摘要】本发明提供了一种文件行为的监控方法及用户设备。方法包括：监控到第一文件的行为，计算所述第一文件的特征值；将所述第一文件的特征值与第一病毒库中特征值进行比较，得到第一比较结果，所述第一病毒库为本地杀毒软件的病毒库；如果所述第一比较结果为合法，将所述第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，所述第二病毒库为从云服务器下载到本地的病毒库；如果所述第二比较结果为合法，对所述第一文件的行为进行放行；如果所述第二比较结果为不合法，对所述第一文件的行为进行拦截。用户设备包括：处理器，用于执行上述方法。
【专利说明】一种文件行为的监控方法及用户设备

【技术领域】
[0001 ] 本发明涉及安全【技术领域】，尤其涉及一种文件行为的监控方法及用户设备。

【背景技术】
[0002]随着互联网的迅速发展，病毒、木马等恶意软件的传播速度越来越快，对于用户设备(User Equipment，简称为:UE)的破坏能力也越来越强。为了有效抑制恶意软件，常用的UE如智能手机、个人电脑等都会安装杀毒软件。通常情况下，杀毒软件在安装时会预置有病毒库，并在后续的使用过程中通过不断更新病毒库来识别不断变化的病毒、木马等。
[0003]病毒库直接影响到杀毒软件对于UE的保护是否有效。如果UE上的杀毒软件病毒库不够全、更新不够及时，一些非法的文件行为很可能会被杀毒软件识别为合法，并做放行处理。


【发明内容】

[0004]本发明的目的在于提供一种文件行为的监控方法及用户设备，为UE提供更为有效的保护。
[0005]为达到上述目的，一方面，本发明提供了一种文件行为的监控方法，包括:
[0006]监控到第一文件的行为，计算所述第一文件的特征值；
[0007]将所述第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，所述第一病毒库为本地杀毒软件的病毒库；
[0008]如果所述第一比较结果为合法，将所述第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，所述第二病毒库为从云服务器下载到本地的病毒库；
[0009]如果所述第二比较结果为合法，对所述第一文件的行为进行放行；
[0010]如果所述第二比较结果为不合法，对所述第一文件的行为进行拦截。
[0011]另一方面，本发明提供了一种用户设备，包括:处理器，用于:
[0012]监控到第一文件的行为，计算所述第一文件的特征值；
[0013]将所述第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，所述第一病毒库为本地杀毒软件的病毒库；
[0014]如果所述第一比较结果为合法，将所述第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，所述第二病毒库为从云服务器下载到本地的病毒库；
[0015]如果所述第二比较结果为合法，对所述第一文件的行为进行放行；
[0016]如果所述第二比较结果为不合法，对所述第一文件的行为进行拦截。
[0017]本发明提供的文件行为的监控方法及用户设备，采用的是两级病毒库比对的方式，在本地病毒库认为文件行为合法的情况下，将文件的特征值与从云服务器下载的黑/白名单进行比较，如果比较结果仍然为合法，才会将文件行为放行，如果比较结果为不合法，尊重从云服务器下载的黑/白名单的判断，对文件行为进行拦截。由于云服务器下载的黑/白名单的权威性，有效保证了监控文件行为的有效性。

【专利附图】

【附图说明】
[0018]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显:
[0019]图1为本发明实施例一提供的文件行为的监控方法流程图；
[0020]图2为本发明实施例二提供的用户设备的结构示意图；
[0021]图3为本发明实施例三提供的用户设备的结构示意图；
[0022]图4为本发明实施例四提供的用户设备的结构示意图。

【具体实施方式】
[0023]为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明的实施例作详细描述。
[0024]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。
[0025]在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。
[0026]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属【技术领域】的技术人员所理解。
[0027]首先请参考图1，图1为本发明实施例一提供的文件行为的监控方法流程图，该方法包括:
[0028]步骤1、UE监控到第一文件的行为，计算该第一文件的特征值。
[0029]对于步骤I中需要说明的是，监控文件行为的动作可以由安装在UE上的杀毒软件来执行，也可以是UE上的特定程序来执行，此处不做限定，也并不用以限制本发明的保护范围。第一文件为一种泛指，用以指代UE中的任意一个文件。第一文件的特征值可以但不限于是消息摘录算法(Message Digest Algorithm,简称为:MD)5、循环冗余校验码(CyclicRedundancy Check,简称为:CRC)校验、数字签名、哈希(HASH)值等等。第一文件的行为可以但不限于包括:执行、读、写。这里需要说明的是，第一文件的行为可以理解为涵盖了第一文件的自主行为或者第一文件的被动行为。比如，第一文件去读、写、执行其他文件，这是自主行为；第一文件被其他文件读、写，这是被动行为。
[0030]步骤2、UE将第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，其中的第一病毒库为UE在本地安装的杀毒软件的病毒库。
[0031]杀毒软件可以根据病毒的特征来判断文件是否为病毒和是否已经感染病毒，而这些病毒的特征值会被记录在一个文件中，这个文件就可以理解为病毒库。
[0032]步骤3、如果步骤2中得到的第一比较结果为合法，将第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，其中的第二病毒库为从云服务器下载到UE本地的病毒库。
[0033]如果第二比较结果为合法，执行步骤4 ；
[0034]如果第二比较结果为不合法，执行步骤5。
[0035]云服务器可以理解为位于云端，具有最高权威性的服务器。从实体角度可以为一台计算机，也可以为多台计算机组成。通常情况下，云服务器中会收录新出现的、频繁出现的、常见的、甚至不常见的病毒文件，通过云服务器的分析整理形成最具权威性的黑/白名单。UE可以从云服务器中下载这些黑/白名单，以有效保证本地对于文件行为的监控能力。
[0036]步骤4、对第一文件的行为进行放行。
[0037]步骤5、对第一文件的行为进行拦截。
[0038]本发明实施例提供的文件行为的监控方法，采用的是两级病毒库比对的方式，在本地病毒库认为文件行为合法的情况下，将文件的特征值与从云服务器下载的黑/白名单进行比较，如果比较结果仍然为合法，才会将文件行为放行，如果比较结果为不合法，尊重从云服务器下载的黑/白名单的判断，对文件行为进行拦截。由于云服务器下载的黑/白名单的权威性，有效保证了监控文件行为的有效性。
[0039]在上述实施方式的基础上，该方法还可以包括:
[0040]步骤O、UE接收云服务器发送的更新消息，该更新消息中包括第二病毒库的更新黑/白名单，根据更新黑/白名单对第二病毒库进行更新。更新黑/白名单中可以但不限于包括:云服务器首次获得的病毒文件的文件特征值，和/或，云服务器接收到的查询频率和/或查询次数排列在前N位的病毒文件的文件特征值，和/或，某一个非病毒文件转换为了病毒文件时，该文件的文件特征值；和/或，某一个病毒文件转换为非病毒文件时，该文件的文件特征值。
[0041]为了保证在本地的第二病毒库是最新的，就需要不断的更新第二病毒库。云服务器可以在满足一定的触发条件时向UE发送更新消息，这里所说的触发条件可以但不限于包括以下一种或几种:
[0042]1、到达了预设时间，即云服务器自主的在预设时间向UE发送更新消息，这个预设时间可以是一个时间，也可以是多个时间。
[0043]2、云服务器接收到了 UE的更新请求，即在UE端由用户触发或UE自动发送更新请求。
[0044]3、云服务器检测到更新黑/白名单的大小大于或等于预设大小，即云服务器在生成更新黑/白名单的过程中，发现更新黑/白名单的大小已经等于或者大于了预设大小，这时候可以将已生成的部分更新黑/白名单发送给UE。
[0045]4、紧急事件的发生，由云服务器的管理员手动触发。
[0046]本发明实施例并不限制步骤O与步骤I?5之间的发生顺序，也就是说，步骤O是可以随时发生的，并不以步骤I?5中任意步骤的发生为前提，也并不需要步骤I?5中任意步骤进行承接。
[0047]在上述实施方式的基础上，步骤O中提出的更新消息中还可以包括时间信息，该时间信息可以但不限于包括系统时间戳和/或病毒库版本号，那么在步骤O之后，该方法还可以包括:
[0048]步骤0-A、UE对时间信息进行记录。
[0049]时间信息的主要作用在于为UE提供参考，以根据时间信息判断本地的第二病毒库是否为最新。
[0050]在此基础上，在步骤O-A之后，该方法还可以包括:
[0051]步骤0_B、UE检测步骤0_A中记录的时间/[目息，当时间/[目息为系统时间戮，且系统时间戳所代表的时间距离当前的检测时间超过预设的时间长度，向云服务器发送更新请求；当时间信息为病毒库版本号，且病毒库版本号不是最新的病毒库版本号，向云服务器发送更新请求。
[0052]也就是说，UE可以根据检测时间与系统时间戳所代表的第二病毒库的更新时间之间的时间差，来判断第二病毒库是否为最新的病毒库，或者UE可以根据病毒库版本号是否为最新的病毒库版本号，来判断第二病毒库是否为最新的病毒库。如果不是最新的病毒库，需要主动向云服务器发送更新请求，有效保证了第二病毒库在更新时间上的权威性。是否为最新的病毒库版本号可以是根据预先设定的规则进行判断，如间隔多长时间升级一次版本号等等。
[0053]在上述实施方式的基础上，步骤4之后，该方法还可以包括:
[0054]步骤6、将第一文件的特征值加入到第一病毒库的不可信名单中。
[0055]也就是说，第一病毒库中对于该第一文件的判断与第二病毒库的判断是不同的，而第二病毒库作为权威数据库，UE需要尊重第二病毒库的判断。也就是说，第一病毒库中关于第一文件的记录是不可信的，为了在后续的文件行为的监控过程中更加便捷，可以建立第一病毒库的不可信名单，出现在第一病毒库的不可信名单中的文件的特征值，可以不用再与第一病毒库相匹配。
[0056]基于上述考虑，在步骤2之前，该方法还可以包括:
[0057]步骤1-A、查询第一病毒库的不可信名单；
[0058]如果第一病毒库的不可信名单中不包括第一文件的特征值，则执行步骤2 ；
[0059]如果第一病毒库的不可信名单中包括第一文件的特征值，则执行步骤3。
[0060]需要说明的是，第一文件本身是一种代指，可以指任意文件，因此在本步骤中提到的第一文件与步骤6中提到的第一文件可以不是同一个文件，以避免可能引起的逻辑上的问题。
[0061]在上述实施例的基础上，在步骤5之后，如果第一文件的行为对用户设备造成了破坏，则该方法还可以包括:
[0062]步骤7、将第一文件上报给云服务器。
[0063]也就是说，第一文件很可能是一种新的病毒文件或者感染了新的病毒，需要上报给云服务器进行分析等动作。
[0064]本发明提供的文件行为的监控方法可以使用可编程逻辑器件结合来实现，也可以实施为计算机程序软件，例如根据本发明的实施例可以是一种计算机程序产品，运行该程序产品使计算机执行用于所示范的方法。所述计算机程序产品包括计算机可读存储介质，该介质上包含计算机程序逻辑或代码部分，用于实现所述移动终端的消息的内容的处理方法。所述计算机可读存储介质可以是被安装在计算机中的内置介质或者可从计算机主体拆卸的可移动介质(例如热拔插技术存储设备)。所述内置介质包括但不限于可重写的非易失性存储器，例如RAM、ROM、快闪存储器和硬盘。所述可移动介质包括但不限于:光存储媒体(例如CD-ROM和DVD)、磁光存储媒体(例如MO)、磁存储媒体(例如盒带或移动硬盘)、具有内置的可重写的非易失性存储器的媒体(例如存储卡)和具有内置ROM的媒体(例如ROM盒)。
[0065]图2为本发明实施例八提供的用户设备的结构示意图，该用户设备可以为电脑、手机等常用的用户终端，执行上述方法实施例的方法步骤，因此，具体的方法实现可以参考方法实施例，此处不做赘述。如图2所示，该用户设备包括:处理器6，该处理器6用于:
[0066]监控到第一文件的行为，计算第一文件的特征值；
[0067]将第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，第一病毒库为本地杀毒软件的病毒库；
[0068]如果第一比较结果为合法，将第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，第二病毒库为从云服务器下载到本地的病毒库；
[0069]如果第二比较结果为合法，对第一文件的行为进行放行；
[0070]如果第二比较结果为不合法，对第一文件的行为进行拦截。
[0071]其中，第一文件的行为包括但不限于:读、写、执行等。
[0072]在上述实施方式的基础上，如图3所示，该用户设备还可以包括接收器7，用于:接收云服务器发送的更新消息，更新消息中包括第二病毒库的更新黑/白名单；
[0073]则处理器6还可以用于根据更新黑/白名单对第二病毒库进行更新。
[0074]进一步的，该接收器7具体可以用于接收云服务器在满足触发条件时发送的更新消息，该触发条件包括但不限于:到达预设时间；和/或，云服务器接收到用户设备的更新请求；和/或，云服务器检测到更新黑/白名单的大小大于或等于预设大小。
[0075]在上述实施方式的基础上，接收器7接收到的更新消息中还可以包括:系统时间戳，则处理器6还可以用于:根据系统时间戳记录第二病毒库的更新时间。
[0076]进一步的，处理器6还可以用于检测第二病毒库的更新时间，则如图4琐事，该用户设备还可以包括:发送器8，用于如果第二病毒库的更新时间距离当前的检测时间超过预设的时间长度，向云服务器发送更新请求。
[0077]上述提到的更新黑/白名单中包括:云服务器首次获得的病毒文件特征值；和/或，云服务器接收到的查询频率和/或查询次数排列在前N位的病毒文件特征值；和/或，由非病毒文件转换为病毒文件的文件特征值；和/或，由病毒文件转换为非病毒文件的文件特征值。
[0078]发送器8还可以用于:如果处理器对第一文件的行为进行放行后，第一文件的行为对用户设备造成了破坏，将第一文件上报给云服务器。
[0079]本领域技术人员应当理解，任何具有适当编程装置的计算机系统都将能够执行包含在程序产品中的本发明的方法的诸步骤。尽管本说明书中描述的多数【具体实施方式】都侧重于软件程序，但是作为固件和硬件实现本发明提供的方法的替代实施例同样在本发明要求保护的范围之内。
[0080]以上所揭露的仅为本发明的一些较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。
【权利要求】
1.一种文件行为的监控方法，其特征在于，包括: 监控到第一文件的行为，计算所述第一文件的特征值； 将所述第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，所述第一病毒库为本地杀毒软件的病毒库； 如果所述第一比较结果为合法，将所述第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，所述第二病毒库为从云服务器下载到本地的病毒库； 如果所述第二比较结果为合法，对所述第一文件的行为进行放行； 如果所述第二比较结果为不合法，对所述第一文件的行为进行拦截。
2.根据权利要求1所述的方法，其特征在于，还包括: 接收云服务器发送的更新消息，所述更新消息中包括所述第二病毒库的更新黑/白名单； 根据所述更新黑/白名单对所述第二病毒库进行更新。
3.根据权利要求2所述的方法，其特征在于，所述接收云服务器发送的更新消息包括: 接收所述云服务器在满足触发条件时发送的更新消息； 所述触发条件包括:到达预设时间；和/或，所述云服务器接收到用户设备的更新请求；和/或，所述云服务器检测到所述更新黑/白名单的大小大于或等于预设大小。
4.根据权利要求2或3所述的方法，其特征在于，所述更新消息中还包括:时间信息，所述时间信息为系统时间戳和/或病毒库版本号；则所述接收云服务器发送的更新消息之后，所述方法还包括:对所述时间信息进行记录。
5.根据权利要求4所述的方法，其特征在于，所述方法还包括: 检测所述时间信息； 当所述时间信息为系统时间戳，且所述系统时间戳所代表的时间距离当前的检测时间超过预设的时间长度，向所述云服务器发送更新请求； 当所述时间信息为病毒库版本号，且所述病毒库版本号不是最新的病毒库版本号，向所述云服务器发送更新请求。
6.根据权利要求2所述的方法，其特征在于，所述更新黑/白名单中包括:所述云服务器首次获得的病毒文件特征值；和/或，所述云服务器接收到的查询频率和/或查询次数排列在前N位的病毒文件特征值；和/或，由非病毒文件转换为病毒文件的文件特征值；和/或，由病毒文件转换为非病毒文件的文件特征值。
7.根据权利要求1所述的方法，其特征在于，所述对所述第一文件的行为进行放行后，如果所述第一文件的行为对用户设备造成了破坏，所述方法还包括: 将所述第一文件上报给所述云服务器。
8.根据权利要求1所述的方法，其特征在于，所述第一文件的行为包括:读、写、执行。
9.一种用户设备，其特征在于，包括:处理器，用于: 监控到第一文件的行为，计算所述第一文件的特征值； 将所述第一文件的特征值与第一病毒库中的特征值进行比较，得到第一比较结果，所述第一病毒库为本地杀毒软件的病毒库； 如果所述第一比较结果为合法，将所述第一文件的特征值与第二病毒库中的黑/白名单进行比较，得到第二比较结果，所述第二病毒库为从云服务器下载到本地的病毒库； 如果所述第二比较结果为合法，对所述第一文件的行为进行放行； 如果所述第二比较结果为不合法，对所述第一文件的行为进行拦截。
10.根据权利要求9所述的用户设备，其特征在于，还包括:接收器，用于:接收云服务器发送的更新消息，所述更新消息中包括所述第二病毒库的更新黑/白名单； 所述处理器还用于:根据所述更新黑/白名单对所述第二病毒库进行更新。
【文档编号】G06F21/51GK104424429SQ201310370364
【公开日】2015年3月18日 申请日期:2013年8月22日 优先权日:2013年8月22日
【发明者】武广柱, 冯晓龙, 赵禅 申请人:安一恒通（北京）科技有限公司