一种用于通过网络来进行文件监控的方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,尤其涉及一种用于通过网络来进行文件监控的方法和装置。
【背景技术】
[0002]现有技术中,在云查杀的过程中,为了不影响客户端设备的系统性能,一般采用异步云扫描的模式,即云查杀服务器能够识别病毒等可疑程序,但无法立即令客户端设备阻拦可疑程序的启动,因此根据现有技术的方式,云查杀的客户端设备无法在病毒程序启动前及时执行清除病毒等处理病毒的操作。
【发明内容】
[0003]本发明的目的是提供一种用于通过网络来进行文件监控的方法和装置。
[0004]根据本发明的一个方面,提供了一种用于通过网络来进行文件监控的方法,其中,所述方法包括以下步骤:
[0005]-获取监控对象的安全属性信息;
[0006]-当所述监控对象的所述安全属性信息满足实时处理监控条件时,确定与该监控对象对应的监控模式为实时处理监控;
[0007]-将与该监控对象对应的对象监控信息以及监控模式上报至相应的网络设备;
[0008]-根据所接收到的、所述网络设备基于所述对象监控信息所反馈的处理方案,来对所述监控对象执行相应的处理操作。
[0009]根据本发明的一个方面,还提供了一种用于辅助完成网络查杀的方法,其中,所述方法包括以下步骤:
[0010]-接收来自用户设备的对于监控对象的对象监控信息以及该监控对象的监控模式;
[0011]-当监控模式为实时处理监控时,向所述用户设备反馈与该监控对象的对象监控信息对应的处理方案。
[0012]根据本发明的一个方面,还提供了一种用于通过网络来进行文件扫描的监控处理装置,其中,所述监控处理装置包括:
[0013]用于获取监控对象的安全属性信息的装置;
[0014]用于当根据监控对象的安全属性信息满足实时处理监控条件时,确定与该监控对象对应的监控模式为实时处理监控的装置;
[0015]用于将与该监控对象对应的对象监控信息以及监控模式上报至相应的网络设备的装置;
[0016]用于根据所接收到的、所述网络设备基于所述对象监控信息所反馈的处理方案,来对所述监控对象执行相应的处理操作的装置。
[0017]根据本发明的一个方面,还提供了一种用于辅助完成网络查杀的网络设备,其中,所述网络设备包括:
[0018]用于接收来自用户设备的对于监控对象的对象监控信息以及该监控对象的监控模式的装置;
[0019]用于当监控模式为实时处理监控时,向所述用户设备反馈与该监控对象的对象监控信息对应的处理方案的装置。
[0020]与现有技术相比,本发明具有以下优点:在云查杀的过程中,根据本发明的客户端设备能够判断待启动的程序是否足够安全来进一步确定相应的监控扫描模式,并将所确定的监控扫描模式上报至服务器。例如,对足够安全的程序采取异步云扫描的模式,而对疑似为病毒的程序采取同步云扫描的模式。并且,根据本发明的服务器能够在待启动的程序疑似为病毒的情况下即刻向客户端设备反馈相应的处理方案。因此,根据本发明的方案能够有效拦截病毒程序的启动,降低了客户端设备被病毒感染的风险性。
【附图说明】
[0021]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0022]图1示意出了根据本发明的一种用于通过网络来进行文件监控的方法流程图;
[0023]图2示意出了根据本发明的一种用于通过网络来进行文件监控的监控处理装置以及用于辅助完成网络查杀的网络设备的结构示意图。
[0024]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0025]下面结合附图对本发明作进一步详细描述。
[0026]图1示意出了根据本发明的一种用于通过网络来进行文件扫描的方法流程图。根据本发明的方法包括由用户设备执行的步骤S101、步骤S102、步骤S103和步骤S104,以及由网路设备执行的步骤S201和步骤S202。
[0027]其中,根据本发明的方法通过包含于计算机设备中的监控处理装置来实现。所述计算机设备包括一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的电子设备,其硬件包括但不限于微处理器、专用集成电路(ASIC)、可编程门阵列(FPGA)、数字处理器(DSP)、嵌入式设备等。所述计算机设备包括网络设备和/或用户设备。其中,所述网络设备包括但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(Cloud Computing)的由大量主机或网络服务器构成的云,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个超级虚拟计算机。所述用户设备包括但不限于任何一种可与用户通过键盘、鼠标、遥控器、触摸板、或声控设备等方式进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机等。其中,所述用户设备及网络设备所处的网络包括但不限于互联网、广域网、城域网、局域网、VPN网络等。
[0028]需要说明的是,所述用户设备、网络设备以及网络仅为举例,其他现有的或今后可能出现的用户设备、网络设备以及网络如可适用于本发明,也应包含在本发明保护范围以内,并以引用方式包含于此。
[0029]参照图1,在步骤SlOl中,监控处理装置获取监控对象的安全属性信息。
[0030]其中,所述监控对象包括但不限于用户设备中需要被监控的应用程序。优选地,所述监控对象包括所述用户设备中待启动的程序的进程映像文件,例如,待启动的即时通信软件,又例如,待启动的office软件等。
[0031]其中,所述安全属性信息包括以下至少任一种基础信息,:
[0032]I)启发扫描结果信息;其中,该启发扫描结果信息包括通过对监控对象执行启发式扫描后得到的、用于指示该监控对象为病毒的可能性的信息。
[0033]优选地,该启发扫描结果信息包括用于指示监控对象为病毒可能性的启发权值。
[0034]更优选地,所述启发权值基于多项分别与各个诸如监控对象执行的操作或使用的指令等扫描特征对应的加权值来确定,其中,各项加权值分别用于指示基于相应的扫描特征执行启发式扫描后的结果。更加优选地,所述启发权值包括该多项启发权值之和。
[0035]优选地,所述启发扫描结果信息还包括所述启发权值是否大于预定的报警权值的指示信息。
[0036]其中,“启发式扫描技术”指“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能技术”,其常被用于软件测试和病毒检测中。
[0037]优选地,在病毒检测中,启发扫描技术通过分析程序的指令序列,达到间接得知程序各个子模块行为逻辑目的,计算并匹配各个目的的出现顺序与权值,从而得知被分析程序中是否存在恶意的行为。
[0038]例如,在病毒检测中,采用启发式扫描技术的扫描引擎可通过识别并探测许多可疑的程序代码指令序列,通过对监控对象的指令序列的反编译逐步理解并确定其蕴藏的真正动机,进而判断该监控对象的可疑程度。
[0039]优选地,所述启发扫描结果信息还包括启发权值是否大于预定的报警权值的指示信息。
[0040]2)感染扫描结果信息;其中,所述感染扫描结果信息包括基于对监控对象执行感染扫描后所获得的,用于指示监控对象被感染的可能性的信息。
[0041 ] 其中,感染扫描技术包括通过将监控对象与诸如病毒库等样本数据库中的样本进行比较,基于该监控对象是否具有一个或多个样本的特征,来判断监控对象是否被样本感染的方式。
[0042]3)对象加壳信息。该对象加壳信息用于指示监控对象是否为加壳的程序。
[0043]其中,所述加壳包括通过特定的算法对可执行文件或动态链接库文件进行的压缩或加密等操作。当运行被加壳的程序时,其外壳程序先被执行,接着该外壳程序将原有的程序在内存中解压缩从而运行该原有的程序。
[0044]具体地,监控处理装置通过相应的扫描引擎来获取监控对象的安全属性信息。例如,通过调用启发扫描引擎来得到监控对象的启发权值。又例如,通过调用脱壳引擎来得到监控对象是否加壳的信息。
[0045]优选地,所述安全属性信息还包括分类相关信息,所述分类相关信息用于辅助判断监控对象是否安全。
[0046]其中,所述分类相关信息基于以下至少任一项来确定:
[0047]I)文件类型信息;基于文件的属性所确定的文件的分类信息,例如,自解压的可执行文件等,又例如,基于文件后缀诸如扩展名exe”所确定的文件类型信息等。
[0048]2)文件大小信息。
[0049]优选地,所述监控处理装置可先获取各个文件的分类相关信息,并基于所获得的分类相关信息对文件进行筛选,并对筛选出的文件进一步获取其各自的基础属性。
[0050]更优选地,所述监控处理装置可基于预定判断条件,逐步获取与各个判断过程中的判断条件相对应的一项或多项安全属性信息,而无需一次获得所有安全属性信息。
[0051]例如,监控处理装置先基于文件类型,判断其是否为自解压的可执行文件,如果是,则进一步获取其文件大小,并判断其文件大小是否大于预定阈值,当不大于预定阈值时,进一步获取该文件的一项或多项基础属性信息。
[0052]优选地,根据本发明的方案还包括步骤S105 (图未示),所述步骤SlOl进一步包括步骤SlOll (图未示)。
[0053]在步骤S105中,监控处理装置基于监控对象的路径相关信息以及安全缓存中包含的路径信息来判断一监控对象是否安全。
[0054]其中,所述路径相关信息包括但不限于以下至少任一项:
[0055]I)所述监控对象的路径信息