专利名称:针对企业的文件检测方法和系统的制作方法
技术领域:
本发明涉及计算机安全技术,具体涉及一种针对企业的文件检测方法和系统。
背景技术:
一些企业出于安全、保密等因素的考虑,企业的网络环境是封闭的,即企业存在一个所有计算机都可以访问的企业内网,但对于企业外网,企业中的大部分计算机是不可以访问的。在这种封闭的网络环境中,通常企业是在每一台计算机中都配置有病毒库,通过所述病毒库对计算机中的文件进行安全监测、病毒查杀。由于常常会出现新的病毒,因此病毒库需要及时更新才能确保计算机的安全。在企业中的大部分计算机不能访问企业外网的情况下,为了使计算机中的病毒库能够进行更新,可以在企业可连接企业外网的计算机中安装离线工具。所述离线工具定时通过企业外网检测网络端的病毒库是否有更新,若有更新,就将网络端的病毒库更新到本地病毒库中,然后通过企业内网对其他计算机中的病毒库进行更新。通过上述的方法,本地病毒库中就可以保存有最近比较流行的病毒特征。但是,本地病毒库的资源是有限的,保存的病毒特征也是有限的,因此并不能确保查杀到病毒。而且,上述的方法更新病毒库的时间比较长,若本地有一个新的病毒,本地病毒库由于没有更新或正在更新,可能无法查杀到该病毒,就会影响到计算机的安全。
发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的针对企业的文件检测系统和相应的针对企业的文件检测方法。依据本发明的一个方面,提供了一种针对企业的文件检测方法,包括企业内网控制服务器接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含所述本地终端中待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;企业内网控制服务器接收外网控制服务器针对待测文件的查杀结果;其中,通过企业外网发送所述文件信息至外网控制服务器包括企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。本发明实施例中,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。本发明实施例中,所述企业内网控制服务器接收本地终端通过企业内网发送的文件信息,包括企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。本发明实施例中,还包括反馈所述查杀结果给本地终端。本发明实施例中,反馈所述查杀结果给本地终端,包括企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。本发明实施例中,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。本发明实施例中,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。本发明实施例中,所述查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。本发明实施例中,将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中,所述病毒库属于以下任一项本地终端和企业内网控制服务器。根据本发明的另一方面,提供了一种针对企业的文件检测系统,包括本地终端、企业内网控制服务器和外网控制服务器,所述企业内网控制服务器,包括第一接收模块,适于接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;发送模块,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;第二接收模块,适于接收网络服务端的查杀结果;其中,所述发送模块具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。本发明实施例中,还包括检测模块,用于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。本发明实施例中,所述第一接收模块,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。本发明实施例中,还包括反馈模块,适于反馈所述查杀结果给本地终端。本发明实施例中,所述反馈模块,具体适于企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。本发明实施例中,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。本发明实施例中,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。本发明实施例中,所述查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。本发明实施例中,所述本地终端包括更新模块;所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中;所述企业内网控制服务器包括更新模块;所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。根据本发明的企业内网控制服务器可以将包含所述待测文件的特征值的文件信息发送至外网控制服务器,由此解决了对待测文件的检测局限于本地库终端的病毒库中,需要等待病毒库升级完成在执行检测的问题,取得了快速的确定待测文件安全与否的有益效果。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅适于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中图1示出了根据本发明一个实施例提供的针对企业的文件检测方法流程图;图2示出了根据本发明另一个实施例提供的企业内网控制服务器检测流程图;以及图3示出了根据本发明一个实施例的提供的针对企业的文件检测系统结构图。
具体实施例方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。一些企业出于安全、保密等因素的考虑,企业的网络环境是封闭的,即企业存在一个所有计算机都可以访问的企业内网,但对于企业外网,企业中的大部分计算机是不可以访问的。 在这种封闭的网络环境中,通常企业是在每一台计算机中都配置有本地病毒库,通过本地病毒库对计算机中的文件进行安全监测、病毒查杀。但是,计算机的本地病毒库中就可以保存有最近比较流行的病毒特征,并且本地病毒库的资源是有限的,保存的病毒特征也是有限的,因此并不能确保查杀到病毒。而且,上述的方法更新病毒库的时间比较长,若本地有一个新的病毒,本地病毒库由于没有更新或正在更新,可能无法查杀到该病毒,就会影响到计算机的安全。本发明实施例提供一种针对企业的文件检测方法,企业内网控制服务器可以通过企业外网将待测文件的文件信息发送至外网控制服务器,获取外网控制服务器的查杀结果,从而可以快速的确定待测文件安全与否,不局限于本地病毒库进行查杀,也不用等待病毒库的升级结果。图1示出了根据本发明一个实施例提供的针对企业的文件检测方法流程图。步骤101,企业内网控制服务器接收本地终端通过企业内网发送的文件信息;其中,为保护企业中数据信息的安全,可以为企业的计算机系统中配置企业内网控制服务器,通过企业内网对终端的安全进行维护、控制。则将企业的计算机系统中使用内部网络的终端作为本地终端,如桌上电脑、笔记本电脑、平板电脑等。本地终端可以依据病毒库对文件进行扫描,其中,针对每一个文件可以计算其唯一的特征值,在扫描时依据其特征值进行扫描。若没有扫描到该文件是否安全,即该文件的特征值不存在于本地终端的病毒库中,则可以将该文件作为待测文件,并将所述待测文件的特征值添加到文件信息中,然后本地终端通过企业内网发送所述文件信息给企业内网控制服务器。当然,所述文件信息中不仅仅包含所述本地终端中待测文件的特征值,还可以包含所述待测文件的名称、存储地址等信息。则企业内网控制服务器可以接收本地终端通过企业内网发送的文件信息。步骤102,当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;企业内网控制服务器接收到本地终端发送的文件信息后,可以采用企业内网控制服务器的病毒库对待测文件的特征值进行检测。由于外网控制服务器的病毒库中保存有大量的病毒特征,资源非常丰富,可以为病毒检测提供非常稳定、准确和安全的依据,因此当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,企业内网控制服务器会通过企业外网发送所述文件信息至外网控制服务器,让外网控制服务器对待测文件的特征值进行检测,以确定所述待测文件是否安全。外网控制服务器接收到所述文件信息后,可以采用其所拥有的病毒库对待测文件的特征值进行检测,确定所述待测文件安全与否并生成查杀结果,然后外网控制服务器会将所述查杀结果反馈给企业内网控制服务器。步骤103,企业内网控制服务器接收网络服务端针对待测文件的查杀结果。企业内网控制服务器可以接收网络服务端针对待测文件的查杀结果。后续,企业内网控制服务器可以根据所述查杀结果执行相应的操作,例如反馈给本地终端,或依据所述查杀结果对病毒库进行更新等。综上所述,本发明实施例中一旦本地终端和企业内网控制服务器均无法确定待测文件安全与否时,就可以将包含所述待测文件的特征值的文件信息发送至外网控制服务器。因此,对待测文件的检测不仅局限于本地库终端的病毒库中,也就不必等待病毒库升级完成在执行检测,将待测文件的特征值传输给往往服务端后,由于外网控制服务器的病毒库中保存有大量的病毒特征,可以为待测文件的检测提供非常稳定、准确和安全的依据,使得能都快速的确定待测文件安全与否。本发明实施例中,外网控制服务器的病毒库中保存有各类存在安全问题的特征值,因此,外网控制服务器可以依据其病毒库对待测文件进行检测,并获取检测结果生成查杀结果。其中,外网控制服务器作为安全相关的服务端,其病毒库中保存的特征值是最全面的,其可以将历史以来所有存在安全问题的特征值又进行保存。而本地终端和企业内网控制服务器中资源有限,因此实际处理中,往往会获取预设时间内(如I个月)在各类存在安全问题的特征值中排在前N位的特征值,如近期比较流行的病毒特征,将这些排在前N位的存在安全问题的特征值保存到本地终端和企业内网控制服务器的病毒库中,供用户对文件进行检测。但也正是由于本地终端和企业内网控制服务器的病毒库中存在安全问题的特征值比较少,因此如果仅依此进行检测,往往可能无法确定文件安全与否,因此本发明实施例支持将待测文件的特征值传输到外网控制服务器进行全面的检测。并且,由于企业中的一些专用的可执行文件,往往由于其要执行一些特殊的功能,如监控等,会导致其本身编写中的特征码与一些病毒中的特征码一致,此时若采用特征码进行文件检测就可能存在误报等情况,因此,本发明实施例在检测文件时采用的是文件的特征值。 本发明实施例中所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。例如,采用MD5算法计算文件的MD5值。为了进一步减少误报的发生,本发明实施例中的病毒库可以采用黑、白名单的形式,即病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。因此,用户可以将其专用的可执行文件的特征值加入到白名单中,以防止发生误报的情况。综上所述,本发明实施例特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,从而依据特征值进行检测时能够减少误报的问题发生。本发明实施例的病毒库可以采用黑、白名单的形式,从而使得用户可以将其专用的可执行文件的特征值加入到白名单中,以防止发生误报的情况。图2示出了根据本发明另一个实施例提供的企业内网控制服务器检测流程图。可选的,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括步骤201,检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;企业内网控制服务器在接收到本地终端通过企业内网发送的文件信息之后,可以采用企业内网控制服务器的病毒库对所述待测文件的特征值进行检测,检测所述待测文件的特征值是否存在于企业内网控制服务器的病毒库中。若是,即企业内网控制服务器的病毒库中存在所述待测文件的特征值,则后续执行步骤202 ;若否,即企业内网控制服务器的病毒库中不存在所述待测文件的特征值,则后续执行步骤203。步骤202,生成查杀结果;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则可以基于检测结果生成查杀结果。例如,病毒库采用黑、白名单的形式,若所述待测文件的特征值存在于白名单中,则说明所述待测文件的特征值是不存在安全问题的特征值,则对应的查杀结果可以为安全,或待测文件不存在安全问题等。若所述待测文件的特征值存在于黑名单中,则说明所述待测文件的特征值是存在安全问题的特征值,则对应的查杀结果可以为不安全,或待测文件存在安全问题等。步骤203,通过企业外网发送所述文件信息至外网控制服务器;若企业内网控制服务器的病毒库中不存在所述待测文件的特征值,即企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,本地终端可以通过企业外网发送所述文件信息至外网控制服务器。外网控制服务器接收到文件信息后,也会对待测文件的特征值进行检测。若外网控制服务器的病毒库采用黑、白名单的形式,则检测方法与企业内网控制服务器基本一致,若所述待测文件的特征值存在于白名单中,则对应的查杀结果可以为安全,或待测文件不存在安全问题等。若所述待测文件的特征值存在于黑名单中,则对应的查杀结果可以为不安全,或待测文件存在安全问题等。当然,若所述待测文件的特征值即不存在与黑名单,也不存在与白名单中,则对应的查杀结果可以为无法确定,或无法确定待测文件是否存在安全问题等。外网控制服务器生成查杀结果后,可以将待测文件的查杀结果发送给企业内网控制服务器。步骤204,接收外网控制服务器针对待测文件的查杀结果;企业内网控制服务器可以接收外网控制服务器发送的查杀结果。其中,企业内网控制服务器接收到查杀结果后,还可以依据查杀结果同步更新企业内网控制服务器的病毒库中,将所述待测文件的特征值更新到白名单或黑名单中,当然,若外网控制服务器也无法确定待测文件安全与否,就可以不用更新。步骤205,反馈所述查杀结果给本地终端;企业内网控制服务器在确定待测文件的查杀结果后,可以通过企业内网反馈所述查杀结果给本地终端。此时,本地终端也可以依据查杀结果同步更新本地终端的病毒库,方法与企业内网控制服务器的方法基于一致,此处不再赘述。另外,当企业内网控制服务器确定某一待测文件的查杀结果后,可以不仅仅针对上传该待测文件的本地终端进行更新,可以同步传送给其他的本地终端,使得该企业中的所有本地终端都能够确定所述待测文件的安全与否,避免出现重复上传企业内网控制服务器而浪费资源的问题。综上所述,本发明实施例确定待测文件安全与否后,可以同步将查杀结果更新到企业内网的各个本地终端中,并且更新到企业内网控制服务器中,避免出现重复上传企业内网控制服务器而浪费资源的问题。可选的,所述企业内网控制服务器接收本地终端发送的文件信息,包括企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。本发明实施例中,本地终端会通过企业内网发送的非独占的查询请求给企业内网控制服务器,所述非独占是指本地终端在向企业内网控制服务器发送查询请求时,可以多个终端同时发送所述查询请求,即本地终端对企业内网控制服务器进行共享查询。所述查询请求中包括文件信息。企业内网控制服务器通过企业外网发送所述文件信息至外网控制服务器时,也可以采用非独占的查询请求,在查询请求中包含文件信息。即企业内网控制服务器同时接收到各个本地终端的查询请求后,若其中若干本地终端传送的待测文件都无法确定安全与否,为了尽快确定待测文件安全与否,同时减少资源的浪费,企业内网控制服务器可以同步发送查询请求到外网控制服务器进行查询。可选的,反馈所述查杀结果给终端,包括企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给终端。本发明实施例为了加强本地终端的安全性,在企业内网控制服务器没有确定待测文件安全与否时,不会反馈数据给本地终端,待测文件在本地终端中就会保持检测时的状态。企业内网控制服务器在确定查杀结果后,会对本地终端的非独占的查询请求反馈查询响应,在查询响应中包含所述查杀结果。因此,本地终端最终接收到的查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。本地终端中会预先配置对各项查杀结果的处理措施,可以依据处理措施对待测文件进行处理。例如,待测文件存在安全问题时,可以删除待测文件;待测文件不存在安全问题,可以不对待测文件进行任何操作;无法确定待测文件是否存在安全问题,可以对待测文件进行限制操作,例如隔离、不运行等。当然也可以采取其他处理措施,本发明对此不做限定。图3示出了根据本发明一个实施例提供的针对企业的文件检测系统结构图。相应的,本发明还提供了一种针对企业的文件检测系统,包括本地终端1、企业内网控制服务器2和外网控制服务器3。所述企业内网控制服务器2,包括第一接收模块21,适于接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件;发送模块22,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;第二接收模块23,适于接收网络服务端的查杀结果;反馈模块24,适于反馈所述查杀结果给终端。可选的,还包括检测模块,适于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。可选的,第一接收模块21,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。可选的,反馈模块24,具体适于在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。可选的,发送模块22,具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。可选的,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。可选的,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。可选的,所述查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。可选的,本地终端I包括更新模块,用于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。企业内网控制服务器2,还包括更新模块,用于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的针对企业的文件检测系统中的一些或者全部部件的一些或者全部功能。本发明还可以实现为适于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种针对企业的文件检测方法,包括 企业内网控制服务器接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含所述本地终端中待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件; 当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器; 企业内网控制服务器接收外网控制服务器针对待测文件的查杀结果; 其中,通过企业外网发送所述文件信息至外网控制服务器包括 企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
2.如权利要求1所述的方法,企业内网控制服务器接收本地终端通过企业内网发送的文件信息之后,还包括 检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值; 若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
3.如权利要求1所述的方法,所述企业内网控制服务器接收本地终端通过企业内网发送的文件信息,包括 企业内网控制服务器同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
4.如权利要求1或3任一所述的方法,还包括 反馈所述查杀结果给本地终端。
5.如权利要求4所述的方法,反馈所述查杀结果给本地终端,包括 企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
6.如权利要求1或2任一所述的方法,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
7.如权利要求1、2或6任一所述的方法,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
8.如权利要求1、2、4或5任一所述的方法,所述查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
9.根据权利要求6所述的方法,将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中,所述病毒库属于以下任一项本地终端和企业内网控制服务器。
10.一种针对企业的文件检测系统,包括本地终端、企业内网控制服务器和外网控制服务器,所述企业内网控制服务器,包括 第一接收模块,适于接收本地终端通过企业内网发送的文件信息,其中,所述文件信息中包含待测文件的特征值,将特征值不存在于本地终端的病毒库中的文件作为待测文件; 发送模块,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器; 第二接收模块,适于接收网络服务端的查杀结果; 其中,所述发送模块具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
11.如权利要求10所述的系统,还包括 检测模块,用于检测企业内网控制服务器的病毒库中是否存在所述待测文件的特征值;若企业内网控制服务器的病毒库中存在所述待测文件的特征值,则生成查杀结果,并反馈所述查杀结果给本地终端。
12.如权利要求10所述的系统,所述第一接收模块,具体适于同时接收各本地终端通过企业内网发送的非独占的查询请求,其中,所述查询请求中包含文件信息,所述非独占表示本地终端对企业内网控制服务器进行共享查询。
13.如权利要求10或12任一所述的系统,还包括 反馈模块,适于反馈所述查杀结果给本地终端。
14.如权利要求13所述的系统,所述反馈模块,具体适于企业内网控制服务器在所述非独占的查询请求的查询响应中,将所述查杀结果反馈给本地终端。
15.如权利要求10或11任一所述的系统,病毒库中包含白名单和黑名单,所述白名单适于保存不存在安全问题的特征值,所述黑名单适于保存存在安全问题的特征值。
16.如权利要求10、11或15任一所述的系统,所述特征值是通过计算文件的哈希值获取的,一个特征值唯一对应一个文件,所述文件包括待测文件。
17.如权利要求10、11、13或14任一所述的系统,所述查杀结果包括以下任一项待测文件存在安全问题、待测文件不存在安全问题和无法确定待测文件是否存在安全问题。
18.根据权利要求15所述的系统,所述本地终端包括更新模块; 所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中; 所述企业内网控制服务器包括更新模块; 所述更新模块,适于将针对待测文件的查杀结果更新到病毒库的白名单或黑名单中。
全文摘要
本发明公开了一种针对企业的文件检测方法和系统,以解决现有企业的安全检测方法影响计算机的安全的问题。所述的系统包括本地终端、企业内网控制服务器和外网控制服务器,所述企业内网控制服务器包括第一接收模块,适于接收本地终端通过企业内网发送的文件信息;发送模块,适于当企业内网控制服务器的病毒库中无法检测到所述待测文件的特征值时,通过企业外网发送所述文件信息至外网控制服务器;第二接收模块,适于接收网络服务端的查杀结果;其中,所述发送模块具体适于企业内网控制服务器通过企业外网发送非独占的查询请求至外网控制服务器,其中,所述查询请求中包含文件信息,所述非独占表示企业内网控制服务器同步查询各本地终端的待测文件。
文档编号H04L29/06GK103049697SQ20121048794
公开日2013年4月17日 申请日期2012年11月26日 优先权日2012年11月26日
发明者温铭 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司