专利名称::文件防护处理方法、装置及系统的制作方法
技术领域:
:本发明涉及计算机技术,特别涉及一种文件防护处理方法、装置及系统。
背景技术:
:随着计算机技术的快速发展,网络安全越来越受到人们的重视,对于恶意代码尤其是非滤过性恶意代码的防范更为重要。目前,对恶意代码的防范没有标准的方法,目前防范恶意代码通常采用特征代码检测法、校验和法及行为检测法,以校验和法为例,该方法通过对正常文件的内容,计算其校验和,将该校验和写入该文件中或写入其它的文件中保存。在该文件使用过程中,定期地或每次使用该文件前,检查该文件现在的内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染。但是上述三种方法都存在一些缺陷,例如校验和法不能识别恶意代码的种类和名称,因而无法防护网络中恶意文件的大规模扩散。
发明内容本发明实施例提供一种文件防护处理方法、装置及系统,以有效地防护网络中恶意文件的大规才莫扩散。本发明实施例提供一种文件防护处理方法,该方法包括获取用户请求访问的文件;提取所述文件的特征值;根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的4信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。本发明实施例提供一种文件防护处理装置,该装置包括获取模块,用于获取用户请求访问的文件;提取模块,用于提取所述文件的特征值;处理模块,用于根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。本发明实施例提供一种文件防护处理系统,该系统包括文件信誉服务设备,用于保存文件的信誉值;文件防护处理装置,用于获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。上述文件防护处理方法、装置及系统,通过获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理,>^人而有效地防护了网络中恶意文件的大规^莫扩散。图1本发明文件防护处理系统实施例的结构示意图;图2本发明文件信誉服务设备实施例的结构示意图;图3本发明文件防护处理装置实施例的结构示意图;图4为本发明文件防护处理方法实施例一的流程图;图5为本发明文件防护处理方法实施例二的流程图;图6为本发明文件防护处理方法应用场景一的结构示意图;图7为本发明文件防护处理方法应用场景二的结构示意图;图8为本发明文件防护处理方法应用场景三的结构示意图;图9为本发明文件防护处理方法应用场景四的结构示意图。具体实施例方式下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。如图1所示,本发明文件防护处理系统实施例的结构示意图,该系统包括文件信誉服务设备1和文件防护处理装置2,其中,文件信誉服务设备1用于提取网络中用户访问的文件的特征值;获取所述文件的信誉值,并存储所述特征值及其对应的信誉值;文件防护处理装置2用于获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备1中查询所述文件的信^i,当查询到的信誉值低于预置门卩艮值时,对用户请求访问的文件作防护处理。其中,所述预先设定值可以是具体情况或经验值预先设定;所述防护处理包括返回告警信息和在所述用户根据所述告警信息指示停止文件访问情况下,拦截所述文件,从而起到主动防护的作用。本发明实施例的文件防护处理系统中,文件防护处理装置可进一步在本地没有緩存信誉数据库的情况下,上传文件的样本信息给文件信誉服务设备,以便文件信誉服务设备对该文件进行信誉评价,获得该文件的信誉值。本发明实施例的文件防护处理系统中,文件信誉服务设备l可以包括提fa莫块ll、检测模块12和存储模块13;其中,提取模块ll,用于提取网络中用户访问的文件的特征值;如对文件内容利用哈希算法进行计算,得到文件的特征值,即获取该文件唯一性的属性,如哈希结果。提取模块11提取特征值的文件中可能没有当前用户访问的文件,如果提取模块11提取特征值的文件中没有当前用户访问的文件,则文件防护处理装置查询不到当前用户访问的文件所对应的信誉值,此时文件防护处理装置可将当前用户访问的文件的样本信息上报给文件信誉服务设备;文件信誉服务设备可对该上报的文件的样本信息进行信誉评估。文件信誉服务设备的检测模块12,用于获取上述文件的样本信息,对上述获取的文件的样本信息进行检测,并根据检测结果评定所述文件的信誉值;如当检测模块12检测到文件中包含有恶意代码时,给该文件评定一个较低的信誉值;当检测模块12检测到文件中没有恶意代码时,给该文件评定一个较高的信誉数值。存储模块13,用于存储所述文件的信誉值,以备文件防护处理装置2查询文件的信誉值。其中,该文件信誉服务设备评定文件的信誉值主要是采用对网络中用户所访问过的文件进行样本搜集,并对文件所包含内容进行检测分析,识别是否具备恶意性,根据识别结果为文件赋予信誉值。如图2所示,文件信誉服务设备通过文件样本搜集模块在网络上搜集用户访问过的文件,然后把文件的内容存在文件样本库中,各个分析引擎如分析引擎1、分析引擎2、分析引擎3等则不停的读取从文件下载下来的数据,包括一些小的附件,对这些数据采用下载可执行模块特征检测、文件挂马检测、脚本病毒检测等。然后根据检测结果进行评价,获得信誉值,并记录到文件信誉数据库中。上述系统实施例中,文件信誉服务设备存储的文件的特征值及对应的信誉值可统称为信誉数据。信誉数据可包含如表1所示的信息。表1信誉数据结构<table>tableseeoriginaldocumentpage7</column></row><table>其中,文件名称表示传播文件的名称,文件大小表示该文件的大小,初发现时表示该文件最初发现时间,近发现时表示该文件最近发现的时间,哈希结果表示对该文件内容利用哈希算法进行了特定的计算并记录,次数统计表示该文件在网络传播被发现的次数,信誉值表示该文件经过安全评估后的信誉数值;如图3所示,本发明文件防护处理装置实施例的结构示意图,该文件防护处理装置包括获取模块21、提取模块22和处理模块23;其中,获取模块21,用于获取用户请求访问的文件;提取模块22,用于提取所述文件的特征值,如对获取模块21获取的文件内容进行哈希计算,获得该文件的特征值。处理模块23,用于根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。其中,上述文件信誉数据库可以存放于本地緩存中;信誉数值详见上述系统实施例;预置门限值可根据需要进行设置,处理模块在查询到信誉值低于上述预置门限值时,作防护处理。另外,处理模块可以包括返回单元,用于返回告警信息;拦截单元,用于在所述用户根据所述告警信息指示停止文件访问情况下,拦截所述文件;>(人而可以实现对恶意文件的防护处理。上述文件防护处理装置可进一步包括上传单元,用于在预置的信誉数据库中没有查询到与用户请求访问的文件所对应的信誉值时,上传所述文件的样本信息用以评价该文件的信誉值。且上述文件防护处理装置可以位于各种网关设备中。基于上述文件防护处理装置的文件防护处理方法如图4所示,该方法包括步骤IOI、获取用户请求访问的文件;步骤102、提取上述文件的特征值;获取用户请求访问的各种文件之后,对文件内容利用哈希算法进行计算获得文件的哈希值;步骤103、根据上述特征值查询文件信誉数据库;上述文件信誉数据库保存在文件信誉服务设备即文件信誉中心的緩存中,通过文件信誉中心对外部提供文件的信誉查询服务;步骤104、判断文件信誉数据库中是否有与上述文件对应的信誉值,若有,则执行步骤105,否则执行步骤106;步骤105、判断上述文件信誉值是否低于预置的门限值,若低于,则允许上述文件通过,否则,拦截上述文件;在网关拦截上述文件之后,还可以向用户发送告警页面,由用户判断是否继续浏览;步骤106、对在预置的文件信誉数据库中没有查询与用户请求访问的文件所对应的信誉值时,将该文件进行样本收集,并将文件的样本信息上报给文件信誉中心以评价该文件的信誉值。其中,可以将文件的样本信息上报给用以评价文件信誉的文件信誉中心。上述文件防护处理方法,通过获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理,从而有效地防护了网络中恶意文件的大规模扩散。如图5所示,为本发明文件防护处理方法实施例二的流程图,该方法包括步骤201、获取用户请求访问的文件;步骤202、提取所述文件的特征值,并根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值;步骤203、当查询到的信誉值低于预置门卩艮值时,对用户请求访问的文件作防护处理。本实施例通过查询用户的信誉值,并在用于的信誉值较低的情况下进行阻拦,保证了所有用户访问的文件都能够通过查询其信誉值,并根据其预置的门限值进行阻断或放行,有效解决了恶意文件的大规模扩散问题。本发明实施例提供的文件防护处理方法可应用于如图6、图7、图8及图9所示的部署场景。图6为本发明实施例文件防护处理方法所应用的文件信誉过滤旁路部署场景示意图,在该场景中,业务监控系统设置在旁路,该业务监控系统包括分流平台a、业务监控网关(SIG)b和文件信誉服务(FileReputationService,FRS)c。图7为本发明实施例文^f牛防护处理方法所应用的文件信誉过滤直路接入部署场景示意图,在该场景中,d为网关设备。理(TSM)终端应用场景示意图,在该场景中,e为虚拟专用网络(VPN)网关,f为域管理服务器,g为防病毒服务器,h为补丁服务器。图9为本发明实施例文件防护处理方法所应用的文件信誉服务无线应用场景示意图,在该场景中,网关通用分组无线业务(GPRS)支持节点(GGSN)i和GPRS服务支持节点(SGSN)j相连。当本发明实施例提供的文件防护处理方法应用于图6-图9所示场景时,上述步骤202可分别由SIG、网关i殳备、SecospaceSA、GGSN监听用户向因特网发起的文件访问请求,提取文件的特征值,并发送至文件信誉服务设备如文件信誉中心进行信誉查询,文件信誉中心判断后返回信誉值;上述步骤203中可分别由SIG、网关设备、SecospaceSA、GGSN对文件信誉中心返回的信誉数值进行判断,进行防护处理。如对信誉数值低于策略设定值的文件直接进行阻拦,或者进一步伪造回应页面对用户进行告警;又或者,还进一步由用户根据告警进行判断是否继续浏览;若用户返回继续浏览的指示,则对此次访问请求不再处理,即对该文件放行;若用户返回不浏览的指示,则对文件进行阻拦。上述实施例中,文件信誉服务设备通过预先对文件进行检测并设定相应的信誉值供业务监控网关(SIG)、SecospaceSC、GGSN等网关设备查询,保证了所有的网关设备都能够根据文件信誉服务设备中存储的信誉数据对文件进行阻拦或放行,避免了恶意网页的侵害。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括ROM、RAM、》兹碟或者光盘等各种可以存储程序代码的介质。最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明才支术方案的精神和范围。权利要求1、一种文件防护处理方法,其特征在于,包括获取用户请求访问的文件;提取所述文件的特征值;根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。2、根据权利要求1所述的文件防护处理方法,其特征在于,所述文件信誉数据库存放于本地緩存中。3、根据权利要求1所述的文件防护处理方法,其特征在于,所述当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理包括返回告警信息;在所述用户根据所述告警信息指示停止文件访问情况下,拦截所述文件。4、才艮据权利要求1所述的文件防护处理方法,其特征在于,还包括当在预置的信誉数据库中没有查询到与用户请求访问的文件所对应的信誉值时,上传所述文件的样本信息用以评价该文件的信誉值。5、一种文件防护处理装置,其特征在于,包括获取模块,用于获取用户请求访问的文件;提取模块,用于提取所述文件的特征值;处理才莫块,用于根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。6、根据权利要求5所述的文件防护处理装置,其特征在于,所述文件信誉数据库存放于本地緩存中。7、根据权利要求5所述的文件防护处理装置,其特征在于,所述处理模块包括返回单元,用于返回告警信息;拦截单元,用于在所述用户根据所述告警信息指示停止文件访问情况下,拦截所述文件。8、根据权利要求5所述的文件防护处理装置,其特征在于,还包括上传单元,用于在预置的信誉数据库中没有查询到与用户请求访问的文件所对应的信誉值时,上传所述文件的样本信息用以评价该文件的信誉值。9、一种文件防护处理系统,其特征在于,包括文件信誉服务设备,用于提取网络中用户访问的文件的特征值;获取所述文件的信誉值,并存储所述特征值及其对应的信誉值;文件防护处理装置,用于获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。10、根据权利要求9所述的文件防护处理系统,其特征在于,所述文件信誉服务设备包括提取模块,用于提取网络中用户访问的文件的特征值;检测模块,用于获取所述文件的样本信息,对所述获取的文件的样本信息进行检测,并根据检测结果评定所述文件的信誉值;存储模块,用于存储所述特征值及其对应的信誉值。全文摘要本发明实施例涉及一种文件防护处理方法、装置及系统,其中,上述文件防护处理方法包括获取用户请求访问的文件;提取所述文件的特征值;根据所提取的特征值在预置的文件信誉数据库中查询所述文件所对应的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理。上述文件防护处理方法、装置及系统,通过获取用户请求访问的文件,提取所述文件的特征值,根据所提取的特征值在所述文件信誉服务设备中查询所述文件的信誉值,当查询到的信誉值低于预置门限值时,对用户请求访问的文件作防护处理,从而有效地防护了网络中恶意文件的大规模扩散。文档编号G06F21/22GK101576947SQ20091008649公开日2009年11月11日申请日期2009年6月5日优先权日2009年6月5日发明者武蒋申请人:成都市华为赛门铁克科技有限公司