数据文件的安全检测方法及装置与流程

本发明涉及网络安全技术领域，特别是涉及一种数据文件的安全检测方法及装置。

背景技术：

随着网络通讯技术的迅猛发展，网络攻防永无止日。技术的发展使得网络攻击形态不断变化，并衍生出不少新的攻击方法，水坑攻击便是其中一种。所谓“水坑攻击”，是指黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。水坑攻击的攻击者通过篡改被攻击网站中的数据以实现其攻击目的，如将被攻击网站中的数据下载地址修改成对其有利的下载地址或是包含攻击的下载地址，当被攻击者通过该网站进行数据下载时，由于该网站的数据已被攻击者篡改，下载的数据将会危及被攻击者的终端安全。

目前，通过比对数据文件下载地址的方式检测下载的数据文件是否包含攻击数据，即查看下载该数据文件的原始访问页面中是否包含该下载地址，若不包含则说明该下载地址是被攻击者篡改的地址，进而与该下载地址对应的下载内容同样也被攻击者篡改，此时可以确定数据文件的下载内容中包含攻击数据。但是，当攻击者不对数据文件的下载地址进行篡改，而是对数据文件的内容进行篡改时，通过下载地址比对的方式无法将无法检测出下载的数据文件中是否包含攻击数据，从而现有数据文件的安全检测精度较低。

技术实现要素：

有鉴于此，本发明提供一种数据文件的安全检测方法及装置，主要目的在于提高数据文件的安全检测精度。

依据本发明一个方面，提供了一种数据文件的安全检测方法，该方法包括：

获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

若否，则输出告警信息。

据本发明另一个方面，提供了一种数据文件的安全检测装置，该装置包括：

获取单元，用于获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断单元，用于判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

输出单元，用于若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。

借由上述技术方案，本发明实施例提供的技术方案至少具有下列优点：

本发明实施例提供的一种数据文件的安全检测方法及装置，首先获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容，然后判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容，若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。与目前通过比对数据文件下载地址的方式检测下载的数据文件中是否包含攻击数据相比，由于攻击者篡改数据文件的下载地址的最终目的是为了篡改下载地址对应的内容，因此本发明实施例直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本发明实施例提供的一种数据文件的安全检测方法流程图；

图2示出了本发明实施例提供的另一种数据文件的安全检测方法流程图；

图3示出了本发明实施例提供的一种数据文件的安全检测装置的结构框图；

图4示出了本发明实施例提供的另一种数据文件的安全检测装置的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

为使本发明技术方案的优点更加清楚，下面结合附图和实施例对本发明作详细说明。

本发明实施例提供了一种数据文件的安全检测方法，如图1所示，所述方法包括：

101、获取数据文件的下载信息。

其中，所述下载信息中包括数据文件的下载内容，所述数据文件的下载内容具体可以为软件安装包、压缩包、文档、图片、视频等格式的数据，本发明实施例不做具体限定。数据文件的下载内容为用户通过网络下载的与数据文件对应的内容，例如，用户通过某软件资源下载网站下载WORD软件，该下载信息中的下载内容即为WORD软件的安装包。

102、判断所述数据文件的下载内容是否为预置白名单中的数据内容。

其中，所述预置白名单中存储有多个合法数据文件对应的数据内容。例如，数据文件的下载内容为应用软件A的安装包，该安装包的版本号为1.1.3，若想判断该数据文件的下载内容是否为预置白名单中的数据内容，则首先需要查找预置白名单中是否存在名称为应用软件A的数据文件，若存在名称为应用软件A的数据文件，则继续在预置白名单中查找版本号为1.1.3的应用软件A，若在预置白名单中查找到版本号为1.1.3的应用软件A，则判断下载的应用软件A的安装包是否与预置白名单中版本号为1.1.3的应用软件A的数据内容一致，若一致则说明所述数据文件的下载内容为预置白名单中的数据内容，该数据文件的下载内容为安全的数据。需要说明的是，若预置白名单中不存在对应的数据文件或不存在对应数据文件的版本号，则确定数据文件的下载内容不是预置白名单中的内容，对所述数据文件进行安全告警。

103、若否，则输出告警信息。

在本发明实施例中，若所述数据文件的下载内容不是预置白名单中的数据内容，说明该数据文件的下载内容已被修改，且修改的内容未经过认证，即没有设置到预置白名单中，此时需要输出告警信息，以提示数据文件存在攻击数据的风险。

需要说明的是，由于攻击者篡改数据文件的下载地址是为了修改下载地址对应的下载内容，然后以修改的下载内容对用户的终端进行攻击，因此直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

本发明实施例提供的一种数据文件的安全检测方法，首先获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容，然后判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容，若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。与目前通过比对数据文件下载地址的方式检测下载的数据文件中是否包含攻击数据相比，由于攻击者篡改数据文件的下载地址的最终目的是为了篡改下载地址对应的内容，因此本发明实施例直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

本发明实施例提供了另一种数据文件的安全检测方法，如图2所示，所述方法包括：

201、获取数据文件的下载信息。

其中，所述下载信息中包括数据文件的下载内容，所述数据文件的下载内容具体可以为软件安装包、压缩包、文档、图片、视频等格式的数据，本发明实施例不做具体限定。所述下载信息中还包括数据文件的下载地址，对于本发明实施例，数据文件的下载地址可以有多个，即用户可以通过多个不同的下载地址下载数据文件，如通过网址A、网址B、网址C等下载地址下载数据文件，本发明实施例不做具体限定。

需要说明的是，本发明实施例除了可以通过网站的下载地址下载数据文件，还可以通过软件管理等应用软件下载数据文件，本发明实施例不做具体限定。

202、判断所述数据文件的下载地址是否为所述数据文件的原始访问页面中的链接地址。

其中，所述数据文件的原始访问页面为没有被攻击者篡改的页面，因此当数据文件的下载地址不是原始访问页面中的链接地址时，则说明该下载地址存在被篡改的风险，因此需要对该数据文件进行安全报警，以防止用户下载包含攻击数据的数据内容。

203a、若所述数据文件的下载地址是所述数据文件的原始访问页面中的链接地址，则判断所述数据文件的下载地址是否为预置白名单中的下载地址。

其中，所述预置白名单中还包括与所述数据内容对应的下载地址，预置白名单中的下载地址是预先设置的可正常下载数据内容的地址。需要说明的是，由于攻击者可对数据文件的下载地址和原始访问页面中的链接地址进行同时修改，因此为了判断该数据文件的下载内容是否为安全的内容，则还需要判断数据文件的下载地址是否为预置白名单中的下载地址，若数据文件的下载不是预置白名单中的下载地址，则说明该数据文件的下载地址已经被篡改，通过数据文件的下载地址下载的数据内容中包含攻击数据。

204a1、若所述数据文件的下载地址是预置白名单中的下载地址，则判断所述数据文件的下载内容是否为预置白名单中的数据内容。

需要说明的是，由于攻击者可能未对数据文件的下载地址进行篡改，而是对下载地址对应的下载内容进行篡改，因此当所述数据文件的下载地址是预置白名单中的下载地址时，则还需要进一步判断数据文件的下载内容是否为预置白名单中的数据内容，以此判断数据文件的下载内容中是否包含攻击数据。

对于本发明实施例，所述判断所述数据文件的下载内容是否为预置白名单中的数据内容包括：判断所述下载内容的查询量和数字签名是否与预置白名单中对应数据内容的查询量、数字签名相同；若不相同，则确定所述数据文件的下载内容不是预置白名单中的数据内容。在本发明实施例中，由于攻击者对下载地址对应的下载内容篡改后，篡改后的下载内容的查询量和数字签名将会重新开始计算，因此当下载内容的查询量和数字签名与预置白名单中对应的数据内容的查询量、数字签名不相同时，就可以判断出数据文件的下载内容不是预置白名单中的数据内容。

205a1、若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。

204a2、若所述数据文件的下载地址不是预置白名单中的下载地址，则输出告警信息。

在本发明实施例中，步骤204a2是步骤204a1的并列步骤，若数据文件的下载地址不是预置白名单中的下载地址，说明该数据文件的下载地址已经被攻击者修改，此时需要输出告警信息，以提示数据文件存在攻击数据的风险。

203b、若所述数据文件的下载地址不是所述数据文件的原始访问页面中的链接地址，则输出告警信息。

其中，步骤203b是步骤203a的并列步骤，若所述数据文件的下载地址不是所述数据文件的原始访问页面中的链接地址，则输出告警信息。在本发明实施例中，所述对所述数据文件进行安全告警之后，所述方法还包括：将所述数据文件的下载内容放入沙箱中执行；判断所述下载内容在沙箱中的执行过程是否符合预置规则；若不符合，则确定所述数据文件的下载内容中包含攻击数据。其中，所述预置规则是沙箱中的执行规则，所述执行规则具体可以为沙箱中的网络操作规则、服务操作规则、进程操作规则等，本发明实施例不做具体限定。在本发明实施例中，将数据文件的下载内容放入沙箱环境中执行，通过沙箱中的执行规则判断数据文件的下载内容中是否包含攻击数据，如果数据文件的下载内容的执行不符合预置规则，则确定数据文件的下载内容中包含攻击数据。

本发明实施例提供的另一种数据文件的安全检测方法，首先获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容，然后判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容，若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。与目前通过比对数据文件下载地址的方式检测下载的数据文件中是否包含攻击数据相比，由于攻击者篡改数据文件的下载地址的最终目的是为了篡改下载地址对应的内容，因此本发明实施例直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

进一步地，本发明实施例提供一种数据文件的安全检测装置，如图3所示，所述装置包括：获取单元31、判断单元32、输出单元33。

获取单元31，用于获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断单元32，用于判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

输出单元33，用于若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。

需要说明的是，本发明实施例提供的一种数据文件的安全检测装置所涉及各功能单元的其他相应描述，可以参考图1所示方法的对应描述，在此不再赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。

本发明实施例提供的一种数据文件的安全检测装置，首先获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容，然后判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容，若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。与目前通过比对数据文件下载地址的方式检测下载的数据文件中是否包含攻击数据相比，由于攻击者篡改数据文件的下载地址的最终目的是为了篡改下载地址对应的内容，因此本发明实施例直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

进一步地，本发明实施例提供另一种数据文件的安全检测装置，如图4所示，所述装置包括：获取单元41、判断单元42、输出单元43。

获取单元41，用于获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断单元42，用于判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

输出单元43，用于若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。

对于本发明实施例，所述下载信息中还包括数据文件的下载地址，

所述判断单元42，还用于判断所述数据文件的下载地址是否为预置白名单中的下载地址，所述预置白名单中还包括与所述数据内容对应的下载地址。

所述判断单元42，具体用于若所述数据文件的下载地址是预置白名单中的下载地址，则判断所述数据文件的下载内容是否为预置白名单中的数据内容。

所述输出单元43，具体用于若所述数据文件的下载地址不是预置白名单中的下载地址，则输出告警信息。

对于本发明实施例，所述判断单元42包括：

判断模块421，用于判断所述下载内容的查询量和数字签名是否与预置白名单中对应的数据内容的查询量、数字签名相同；

确定模块422，拥有过若所述下载内容的查询量和数字签名与预置白名单中对应的数据内容的查询量、数字签名不相同，则确定所述数据文件的下载内容不是预置白名单中的数据内容。

所述判断单元42，还用于判断所述数据文件的下载地址是否为所述数据文件的原始访问页面中的链接地址；

所述判断单元42，具体用于若所述数据文件的下载地址是所述数据文件的原始访问页面中的链接地址，则判断所述数据文件的下载地址是否为预置白名单中的下载地址。

所述输出单元43，具体用于若所述数据文件的下载地址不是所述数据文件的原始访问页面中的链接地址，则输出告警信息。

对于本发明实施例，所述装置还包括：执行单元44，确定单元45；

所述执行单元44，用于将所述数据文件的下载内容放入沙箱中执行；

所述判断单元42，还用于判断所述下载内容在沙箱的执行过程是否符合预置规则；

所述确定单元45，若所述下载内容在沙箱的执行过程不符合预置规则，则确定所述数据文件的下载内容中包含攻击数据。

需要说明的是，本发明实施例提供的一种数据文件的安全检测装置所涉及各功能单元的其他相应描述，可以参考图2所示方法的对应描述，在此不再赘述，但应当明确，本实施例中的装置能够对应实现前述方法实施例中的全部内容。

本发明实施例提供的另一种数据文件的安全检测装置，首先获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容，然后判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容，若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。与目前通过比对数据文件下载地址的方式检测下载的数据文件中是否包含攻击数据相比，由于攻击者篡改数据文件的下载地址的最终目的是为了篡改下载地址对应的内容，因此本发明实施例直接通过比对数据文件的下载内容和预置白名单中的数据内容的方式，就可以确定数据文件的下载内容中是否包含攻击数据，即当数据文件的下载内容不是预置白名单中的内容时，就说明数据文件的下载内容是未知的，存在被攻击者篡改的风险，需要对数据文件的下载内容不是预置白名单中的数据内容进行安全告警，从而通过本发明实施例可以提高数据文件的安全检测精度。

本发明公开了A1、一种数据文件的安全检测方法，包括：

获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

若否，则输出告警信息。

A2、如A1所述的方法，所述下载信息中还包括数据文件的下载地址，所述判断所述数据文件的下载内容是否为预置白名单中的数据内容之前，所述方法还包括：

判断所述数据文件的下载地址是否为预置白名单中的下载地址，所述预置白名单中还包括与所述数据内容对应的下载地址。

A3、如A2所述的方法，所述判断所述数据文件的下载内容是否为预置白名单中的数据内容包括：

若所述数据文件的下载地址是预置白名单中的下载地址，则判断所述数据文件的下载内容是否为预置白名单中的数据内容。

A4、如A2所述的方法，所述输出告警信息包括：

若所述数据文件的下载地址不是预置白名单中的下载地址，则输出告警信息。

A5、如A3所述的方法，所述判断所述数据文件的下载内容是否为预置白名单中的数据内容包括：

判断所述下载内容的查询量和数字签名是否与预置白名单中对应数据内容的查询量、数字签名相同；

若不相同，则确定所述数据文件的下载内容不是预置白名单中的数据内容。

A6、如A2所述的方法，所述判断所述数据文件的下载地址是否为预置白名单中的下载地址之前，所述方法还包括：

判断所述数据文件的下载地址是否为所述数据文件的原始访问页面中的链接地址；

所述判断所述数据文件的下载地址是否为预置白名单中的下载地址包括：

若所述数据文件的下载地址是所述数据文件的原始访问页面中的链接地址，则判断所述数据文件的下载地址是否为预置白名单中的下载地址。

A7、如A6所述的方法，所述输出告警信息包括：

若所述数据文件的下载地址不是所述数据文件的原始访问页面中的链接地址，则输出告警信息。

A8、如A1-A7任一所述的方法，所述对所述数据文件进行安全告警之后，所述方法还包括：

将所述数据文件的下载内容放入沙箱中执行；

判断所述下载内容在沙箱中的执行过程是否符合预置规则；

若不符合，则确定所述数据文件的下载内容中包含攻击数据。

B9、一种数据文件的安全检测装置，包括：

获取单元，用于获取数据文件的下载信息，所述下载信息中包括数据文件的下载内容；

判断单元，用于判断所述数据文件的下载内容是否为预置白名单中的数据内容，所述预置白名单中存储有多个合法数据文件对应的数据内容；

输出单元，用于若所述数据文件的下载内容不是预置白名单中的数据内容，则输出告警信息。

B10、如B9所述的装置，所述下载信息中还包括数据文件的下载地址，

所述判断单元，还用于判断所述数据文件的下载地址是否为预置白名单中的下载地址，所述预置白名单中还包括与所述数据内容对应的下载地址。

B11、如B10所述的装置，

所述判断单元，具体用于若所述数据文件的下载地址是预置白名单中的下载地址，则判断所述数据文件的下载内容是否为预置白名单中的数据内容。

B12、如B10所述的装置，

所述输出单元，具体用于若所述数据文件的下载地址不是预置白名单中的下载地址，则输出告警信息。

B13、如B11所述的装置，所述判断单元包括：

判断模块，用于判断所述下载内容的查询量和数字签名是否与预置白名单中对应数据内容的查询量、数字签名相同；

确定模块，用于若所述下载内容的查询量和数字签名与预置白名单中对应数据内容的查询量、数字签名不相同，则确定所述数据文件的下载内容不是预置白名单中的数据内容。

B14、如B10所述的装置，

所述判断单元，还用于判断所述数据文件的下载地址是否为所述数据文件的原始访问页面中的链接地址；

所述判断单元，具体用于若所述数据文件的下载地址是所述数据文件的原始访问页面中的链接地址，则判断所述数据文件的下载地址是否为预置白名单中的下载地址。

B15、如B14所述的装置，

所述输出单元，具体用于若所述数据文件的下载地址不是所述数据文件的原始访问页面中的链接地址，则输出告警信息。

B16、如B9-B15任一所述的装置，所述装置还包括：执行单元，确定单元；

所述执行单元，用于将所述数据文件的下载内容放入沙箱中执行；

所述判断单元，还用于判断所述下载内容在沙箱的执行过程是否符合预置规则；

所述确定单元，若所述下载内容在沙箱的执行过程不符合预置规则，则确定所述数据文件的下载内容中包含攻击数据。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例的优劣。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的数据文件的安全检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。