一种对待运行文件进行安全防御的方法
【技术领域】
[0001]本发明属于安全防御技术领域,尤其涉及一种对待运行文件进行安全防御的方法。
【背景技术】
[0002]传统的病毒防御技术,会根据已有的特征库以及动态检测技术,对病毒威胁进行主动防御,但是由于病毒样本的日新月异、更新变化快,新的病毒样本层出不穷,在匹配完特征库以及主动防御后,仍然存在未能确认为安全文件的样本,当这些未能经过安全确认的文件进入到用户端以后,很可能会对系统造成威胁。
[0003]所以,现有的关于对病毒进行安全防御的技术中,由于不能完全确认进入系统的文件的安全性,使得系统存在受病毒威胁的隐患。
【发明内容】
[0004]有鉴于此,本发明的一个目的是提出一种对待运行文件进行安全防御的方法,以解决现有的安全防御技术,由于不能完全确认进入系统中文件的安全性,导致系统存在受病毒威胁的隐患的问题。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序3。
[0005]在一些可选的实施例中,该方法用于用户终端侧,包括:a、将进入用户终端的待运行文件与管理终端中安全管理系统的文件库中存储的已知文件类型的已知文件进行身份匹配;b、对于身份匹配成功的待运行文件,根据与其匹配的已知文件的文件类型对所述待运行文件进行相应的安全防御处理;c、对于身份匹配不成功的待运行文件,将其作为未知文件发送至所述安全管理系统,等待所述安全管理系统对其进行文件类型鉴定后将其作为新增加的已知文件更新至所述文件库中,之后采用更新后的文件库重新执行步骤a和步骤
bo
[0006]其中,文件类型包括:安全类型和威胁类型。进入用户终端的待运行文件包括以下至少一种文件:下载至用户终端的文件;共享至用户终端的文件;通过存储设备传输至用户终端的文件;通过邮件发送至用户终端的文件。
[0007]进一步,步骤b具体包括:bl、若与待运行文件相匹配的已知文件的文件类型为安全类型,则将该待运行文件确定为安全文件,允许该待运行文件进入后续的运行过程;或,b2、若与待运行文件相匹配的已知文件的文件类型为威胁类型,则将该待运行文件确定为威胁文件,禁止该待运行文件进入后续的运行过程,并清除该待运行文件。
[0008]进一步,在步骤a之前还包括:采用MD5码对进入用户终端的待运行文件的身份进行编辑,并将每一个待运行文件的MD5码作为其身份认证的唯一认证标准。
[0009]进一步,在步骤c中,对于身份匹配不成功的待运行文件,将其作为未知文件发送至安全管理系统的过程具体包括:采用超文本传输协议HTTP协议和加密的方式将所述身份匹配不成功的待运行文件作为未知文件发送至所述安全管理系统。
[0010]在一些可选的实施例中,该方法用于管理终端侧,包括:d、接收用户终端发送的待运行文件中的未知文件,将所述未知文件进行存储,并将所述未知文件发送至鉴定服务器进行文件类型的鉴定;e、将鉴定后确定文件类型的未知文件作为新增加的已知文件更新至用于存储已知文件的文件库中,以便用户终端根据更新后的文件库对所述未知文件进行安全防御处理。
[0011]其中,文件类型包括:安全类型和威胁类型。
[0012]进一步,在步骤d和步骤e之间还包括:实时对鉴定服务器中的鉴定结果进行查询。
[0013]在一些可选的实施例中,该方法还包括:鉴定后确定未知文件的文件类型为威胁类型时,对该未知文件进行追溯,向所有存储该未知文件的用户终端发送清除该未知文件的指令。
[0014]与现有技术相比,本发明的有益效果为:
[0015]本发明提供一种对待运行文件进行安全防御的方法,该方法中,用户终端可以根据管理终端的文件库对进入其中的待运行文件进行身份匹配,从而对进入其中的待运行文件进行安全防御处理,对无法实现匹配的文件,用户终端会将其传送到管理终端,管理终端的安全管理系统会将无法匹配的待运行文件传送到鉴定服务器进行文件类型的鉴定,并将鉴定后确定文件类型的文件更新储存至文件库中,对文件库进行实时的更新,以使得用户终端可以采用实时更新的文件库对进入其中的待运行文件进行匹配,匹配后确认该文件为安全文件,允许该文件进入后续的运行过程,或者确认该文件为威胁文件,禁止其继续运行,并将该文件删除,并通知所有储存过该文件的用户终端均对其进行清除,所以,采用该方法,可以确定每一个进入用户终端运行的文件的安全性,彻底地消除使用该安全管理系统的设备受病毒威胁的安全隐患,安全防御效果更好。
[0016]为了上述以及相关的目的,一个或多个实施例包括后面将详细说明并在权利要求中特别指出的特征。下面的说明以及附图详细说明某些示例性方面,并且其指示的仅仅是各个实施例的原则可以利用的各种方式中的一些方式。其它的益处和新颖性特征将随着下面的详细说明结合附图考虑而变得明显,所公开的实施例是要包括所有这些方面以及它们的等同。
【附图说明】
[0017]图1是本发明实施例的对待运行文件进行安全防御的方法的流程示意图;
[0018]图2是本发明实施例的对待运行文件进行安全防御的方法的流程示意图;
[0019]图3是本发明实施例的对待运行文件进行安全防御的方法的流程示意图。
【具体实施方式】
[0020]以下描述和附图充分地示出本发明的具体实施方案,以使本领域的技术人员能够实践它们。实施例仅代表可能的变化。除非明确要求,否则单独的部件和功能是可选的,并且操作的顺序可以变化。一些实施方案的部分和特征可以被包括在或替换其他实施方案的部分和特征。本发明的实施方案的范围包括权利要求书的整个范围,以及权利要求书的所有可获得的等同物。在本文中,本发明的这些实施方案可以被单独地或总地用术语“发明”来表示,这仅仅是为了方便,并且如果事实上公开了超过一个的发明,不是要自动地限制该应用的范围为任何单个发明或发明构思。
[0021]在具体介绍本发明的具体实施例之前,先对文中的一些专业术语作一解释。在本文中,待运行文件是指进入用户终端等待运行,但还未开始运行的文件;已知文件是指在安全管理系统的文件库中存储的文件,这部分文件的文件类型都已经确定,此处的文件类型包括安全类型和威胁类型,相应的,已知文件包括安全文件和威胁文件。未知文件,是指文件库中不存在的文件。
[0022]现在结合附图进行说明,图1示出的是一些可选的实施例中对待运行文件进行安全防御的方法的流程图;图2示出的是一些可选的实施例中对待运行文件进行安全防御的方法的流程图;图3示出的是一些可选的实施例中对待运行文件进行安全防御的方法的流程图。
[0023]如图1所示,在一些可选的实施例中,公开了一种对待运行文件进行安全防御的方法,用于用户终端侧,包括:
[0024]a、将进入用户终端的待运行文件与管理终端中安全管理系统的文件库中存储的已知文件类型的已知文件进行身份匹配;
[0025]在具体实施过程中,可以采用安装于用户终端的安全防御系统(例如金山安全防御系统)将进入用户终端的待运行文件与管理终端中安全管理系统(例如金山安全管理系统)的文件库中存储的已知文件类型的已知文件进行身份匹配。其中,文件类型包括安全类型和威胁类型,已知文件是指存储于文件库中的文件,这部分文件的文件类型均已确定,已知文件包括安全文件和威胁文件。
[0026]进入用户终端的待运行文件包括以下至少一种文件:下载至用户终端的文件;共享至用户终端的文件;通过存储设备传输至用户终端的文件;通过邮件发送至用户终端的文件。同样,也可以是采用其它方式进入到用户终端的文件。
[0027]在一些可选的实施例中,在步骤a之前,该方法还包括:采用MD5码对进入用户终端的待运行文件的身份进行编辑,并将每一个待运行文件的MD5码作为其身份认证的唯一认证标准,将待运行文件采用MD5码进行身份编辑之后,用户终端以及与该用户终端相关联的其它用户终端和管理终端都可以轻易对该待运行文件进行识别和认证,便于后续对该待运行文件的调控。
[0028]b、对于身份匹配成功的待运行文件,根据与其匹配的已知文件的文件类型对所述待运行文件进行相应的安全防御处理;
[0029]在一些可选的实施例中,该步骤b具体包括:
[0030]bl、若与待运行文件相匹配的已知文件的文件类型为安全类型,则将该待运行文件确定为安全文件,允许该待运行文件进入后续的运行过程;或,
[0031]b2、若与待运行文件相匹配的已知文件的文件类型为威胁类型,则将该待运行文件确定为威胁文件,禁止该待运行文件进入后续的运行过程,并清除该待运行文件。
[0032]c、对于身份匹配不成功的待运行文件,将其作为未知文件发送至所述安全管理系统,等待所述安全管理系统对其进行文件类型鉴定后将其作为新增加的已知文件更新至所述文件库中,之后采用更新后的文件库重新执行步骤a和步骤b。
[0033]其中,对于身份匹配不成功的待运行文件,将其作为未知文件发送至安全管理系统的过程具体包括:采用超文本传输协议HTTP协议和加密的方式将所述身份匹配不成功的待运行文件作为未知文件发送至所述安全管理系统。
[0034]该方法中,用户终端可以根据管理终端的文件库对进入其中的待运行文件进行身份匹配,从而对进入其中的待运行文件进行安全防御处理,对无法实现匹配的文件,用户终端会将其传送到管理终端,管理终端的安全管理系统会将无法匹配的待运行文件传送到鉴定服务器进行文件类型的鉴定,并将鉴定后确定文件类型的文件更新储存至文件库中,对文件库进行实时的更新,用户终端可以采用实时更新的文件库对进入其中的待运行文件进行匹配,匹配后确认该文件为安全文件,允许该文件进入后续的运行过程,或者确认该文件为威胁文件,禁止其继续运行,并将该文件删除,所以,采用该方法,可以确定每一个进入用户终端运行的文件的安全性,彻底地消除使用该安全管理系统的设备受病毒威胁的安全隐患,安全防御效果更好。
[0035]如