专利名称:对基于即时通讯业务接收到的文件进行处理的方法及装置的制作方法
技术领域:
本申请涉及互联网信息安全处理技术领域,尤其涉及一种对基于即时通讯业务接收到的文件进行处理的方法及装置。
背景技术:
随着计算机及互联网技术的迅速发展,各种业务数据的电子传输方式已经在整个社会中占据了主导地位。即时通讯(IM, Instant messaging)业务,是一种能够即时发送和接收互联网消息的业务。近几年随着互联网技术的发展,即时通信业务不再是单纯的聊天工具,其功能日益丰富,成为了包含电子邮件、博客、音乐、电视、游戏和搜索等多种功能集成在一起的综合业务,并且被发展成集交流、资讯、娱乐、搜索、电子商务、办公协作和企业客户服务等为一体的综合化信息平台。通过即时通讯技术进行文件传输,已经成为终端通过网络进行业务数据电子传输的重要手段之一。由于目前即时通讯·业务都具备文件传输功能,使用同一种即时通讯业务的终端之间可以传输一个或多个文件。然而存在一些的使用者,通过即时通讯业务传输带有病毒、木马、脚本等对终端系统安全具有威胁的文件,这些文件如果在终端上被打开或者运行,会对终端系统的安全造成破坏,从而使存储在终端上的信息丢失,甚至直接造成终端用户的经济损失。因此如何保证通过即时通讯业务传输的文件在被终端接收后能够被安全打开是提高网络安全的必须选择。现有技术中将通过即时通讯业务传输的文件被接收后安全打开的方法有第一种方法针对接收到的文件,获取该文件的属性信息,如果接收到的文件的后缀名为可执行类文件,则采取将可执行类的文件后缀名自动重命名的方法,将接收到的可执行文件改名为非可执行的文件,从而不允许终端执行或者打开这些文件;第二种方法利用杀毒软件对接收到的文件进行病毒和木马扫描,在终端系统中嵌入杀毒模块,对接收到的文件进行扫描,查看该文件是否承载了破坏终端系统安全的代码。上述第一种方法,在终端没有接收到任何指令的情况下自动修改接收到的文件的文件属性,可能导致最终找不到接收到的文件或者不知道如何打开该文件,在后续操作中,如果想要运行该文件,必须将文件类型重新更改回原来的类型,然后再运行,这时很可能依然会导致承载在该文件当中的代码被执行,从而对终端系统安全造成破坏。并且如果文件是以压缩包的形式进行传输的,就不能够采用重命名的方式保证终端系统的安全。上述第二种方法,依赖于杀毒模块的病毒库和特征码,杀毒模块需要及时更新,由于代码的生命周期很短,如果杀毒模块的更新不够及时,则对接收到的文件进行病毒扫描时,不能够及时判断出接收到的文件是否会对终端系统的安全造成影响,尤其是对于一些通过压缩形式传输的文件(特别是已经加密过的压缩包),杀毒模块不一定能够扫描到文件内容,从而无法识别文件的安全性。由此可见,现有技术中对通过即时通讯业务进行传输的文件,如果该文件为带有病毒或恶意脚本程序等不良内容的文件,并不能较好地控制该接收的文件被终端打开后对终端系统的安全性造成的破坏。
发明内容
本申请实施例提供一种对基于即时通讯业务接收到的文件进行处理的方法及装置,用以较好地控制通过即时通讯业务传输的文件在被终端打开后,不会对终端系统的安全性造成的破坏。本申请实施例技术方案如下一种对基于即时通讯业务接收到的文件进行处理的方法,包括判断接收到的通过即时通讯业务传输的文件是否为可疑文件;如果判断结果是可疑文件,则将接收到的文件存储到第一文件存储区域,所述第一文件存储区域为文件隔离运行区域,文件在所述第一文件存储区域中运行时不会对终端的系统安全造成影响;并在接收到用于指示打开第一文件存储区域中存储的文件的指令时,将指示打开的文件在所述第一文件存储区域中模拟打开;根据文件模拟打开的执行结果,在确定出该被模拟打开的文件不是安全文件时,将该被模拟打开的文件做删除或隔离处理。一种对基于即时通讯业务接收到的文件进行处理的装置,包括可疑文件判断单元,用于判断接收到的通过即时通讯业务传输的文件是否为可疑文件;文件存储单元,用于在可疑文件判断单元判断出所述文件是可疑文件时,将接收到的文件存储到第一文件存储区域,所述第一文件存储区域为文件隔离运行区域,文件在所述第一文件存储区域中运行时不会对终端的系统安全造成影响;文件模拟打开执行单元,用于在接收到用于指示打开第一文件存储区域中存储的文件的指令时,将指示打开的文件在所述第一文件存储区域中模拟打开;安全文件判断单元,用于根据文件模拟打开执行单元对文件模拟打开的执行结果,确定该被模拟打开的文件是否为安全文件;执行单元,用于在安全文件判断单元判断出被模拟打开的文件不是安全文件时,将该被模拟打开的文件做删除或隔离处理。本申请的有益效果 如下本申请实施例提出的对基于即时通讯业务接收到的文件进行处理的方法及装置,通过对接收到的通过即时通讯业务传输的可疑文件模拟打开的方法,确定该接收到的文件是否为安全文件,如果是安全文件,则存储至用于存储安全文件的第二文件存储区域,如果不是安全文件,则做删除或隔离处理,从而较好地控制通过即时通讯业务传输的文件在被终端打开后,不会对终端系统的安全性造成的破坏。
图1为本申请实施例一中,提出的对基于即时通讯业务接收到的文件进行处理的系统架构图;图2为本申请实施例二中,提出的对基于即时通讯业务接收到的文件进行处理的方法流程图。
具体实施例方式针对现有技术中存在的对接收到的通过即时通讯业务进行传输的文件,如果该文件为带有病毒的文件,不能较好地控制该接收到的文件被终端打开后对终端系统的安全性造成的破坏的问题,本申请实施例提出一种对基于即时通讯业务接收到的文件进行处理的方法及装置,通过对接收到的通过即时通讯业务传输的可疑文件模拟打开的方法,确定该接收到的文件是否为安全文件,如果是安全文件,则存储至用于存储安全文件的第二文件存储区域,如果不是安全文件,则做删除或隔离处理,从而较好地控制通过即时通讯业务传输的带有病毒的文件被终端打开后,对终端系统的安全性造成的破坏。下面将结合各个附图对本申请实施例技术方案的主要实现原理具体实施方式
及其对应能够达到的有益效果进行详细地阐述。实施例一如图1所示,其为本申请实施例一中提出的对基于即时通讯业务接收到的文件进行处理的系统架构图。其中本申请权利要求保护的对基于即时通讯业务接收到的文件进行处理的装置就可以基于该系统架构来实现,具体地,该系统架构包括文件接收沙箱、第一文件存储区域、第二文件存储区域、文件存储单元、文件模拟打开执行单元、安全文件判断单元、执行单元和人机交互界面,其中文件接收沙箱,包括可疑文件判断单元,用来判断接收到的通过即时通讯业务传输的文件是否为可疑文件。其中可疑文件是指可能带有恶意程序、病毒等不良内容的文件。其中,可疑文件判断单元判断接收到的通过即时通讯业务传输的文件是否为可疑文件,可以但不限于通过以下五种方式进行第一种方式根据接收到的通过即时通讯业务传输的文件的文件后缀名,判断该文件是常态类型文件还是非常态类型文件,如果是常态类型文件,则确定该接收到的文件不是可疑文件,如果是非常态类型文件,则确定该接收到的文件是可疑文件。其中,常态文件类型的文件后缀名可以但不限于为txt、MP3、AV1、JPEG、MPEG等,非常态文件类型的文件后缀名可以但不限于为exe、SCR、 JS、VBS等。第二种方式根据接收到的通过即时通讯业务传输的文件的文件内容,判断该接收到的文件是否承载了有关病毒的代码,如果承载了有关病毒的代码,则确定该接收到的文件是带有病毒的可疑文件,如果没有承载有关病毒的代码,则确定该接收到的文件不是带有病毒的可疑文件。例如,可以通过查看接收到的通过即时通讯业务传输的文件的文件头或者文件尾,判断该接收到的文件是否是恶意伪装成安全文件类型的文件或者是该文件中是否嵌入了其他文件的恶意代码。例如,对于通过即时通讯业务传输的文件类型为“ΕΧΕ”和“DLL”的文件,在文件头存在“MZ”或“MZP”的标识,在标识之后文件会存在特定的结构,用于存储相关的执行文件信息,如代码段位置、代码段长度和入口地址等信息。第三种方式在接收到的通过即时通讯业务传输的文件是以压缩包形式传送的文件时,通过对接收到的压缩包进行解压缩或通过查看接收到的压缩包内的文件列表信息,查看压缩包内的文件内容,获得接收到的压缩包中包含的文件的文件类型,判断获得的文件类型是常态类型还是非常态类型,如果是常态类型,则确定该接收到的文件不是带有病毒的可疑文件,如果是非常态类型,则确定该接收到的文件是可能带有病毒的可疑文件。其中,常态文件类型的文件后缀名可以但不限于为txt、MP3、AV1、JPEG、MPEG等,非常态文件类型的文件后缀名可以但不限于为exe、SCR、JS、VBS等。第四种方式根据接收到的通过即时通讯业务传输的文件的文件内容,判断该文件是否具有公认安全的数字签名,如果具有公认安全的数字签名,则确定该接收到的文件不是可疑文件,如果不具有公认安全的数字签名,则确定该接收到的文件是可疑文件。其中,公认安全的数字签名可以但不限于为接收到的文件的文件内容中包含一些制作该文件的企业标识,如果该企业标识是比较知名的企业标识,则可以将该企业标识认为是公认安全的数字签名。第五种方式在接收到通过即时通讯业务传输的文件时,采用哈希函数对接收到的文件的内容进行计算,将计算得到的计算结果与预先存储的对应安全文件或不安全文件的计算结果分别进行比对,如果比对结果相同,则确定该接收到的文件是安全文件或者是不安全文件,如果比对结果不相同,则确定该接收到的文件是可疑文件。具体地,判断接收到的通过即时通讯业务传输的文件是否为可疑文件时,可以采用上述五种方式中的至少一种判断方式或者采用至少两种方式的组合。例如,可以综合利用第二种判断方式和第四种判断方式对接收到的文件进行判断,根据接收到的通过即时通讯业务传输的文件的文件内容,判断出该接收到的文件是可疑文件,但是该接收到的文件的文件内容具有公认安全的数字签名,那么可以直接判断该文件是安全文件。综合利用上述五种判断方式,能够较好的节省终端的处理资源。第一文件存储区域,具体包括文件存储沙箱和执行环境沙箱,其中文件存储沙箱,具体用于存储文件接收沙箱中的可 疑文件判断单元判断出的通过即时通讯业务传输的文件为可疑文件。第二文件存储区域,是用来存储安全文件的区域,用户可以对存储在第二文件存储区域的文件进行操作,并且可以指定文件存储在第二文件存储区域中的任一存储位置。文件存储单元,用于在文件接收沙箱中的可疑文件判断单元判断出通过即时通讯业务接收到的文件不是可疑文件时,则将接收到的文件存储至用于存储安全文件的第二文件存储区域。以及在可疑文件判断单元判断出该接收到的文件是可疑文件时,则将接收到的文件存储到第一文件存储区域中的文件存储沙箱中。进一步地,文件存储单元可以对通过即时通讯业务传输的可疑文件设置密码并进行压缩处理,然后将压缩后的文件存储在文件存储沙箱中的特定目录下,并且,压缩后的文件可以但不限于维护文件的名称、类型以及路径等信息。其中,文件存储单元对可疑文件进行压缩处理时,使用的压缩算法可以但不限于为LZ77算法和/或LZMA算法等。进一步地,文件存储沙箱还用于存储解压缩后的文件,然后将解压缩后的文件存储在文件存储沙箱的临时目录下。其中,第一文件存储区域中还包括执行环境沙箱,用于将指示打开的文件在执行环境沙箱中模拟打开,由于文件存储沙箱中存储有带有可疑文件,因此可以选择将文件存储沙箱中存储的可疑文件在执行环境沙箱中模拟打开,其中执行环境沙箱相当于一个文件隔离运行区域,文件在该执行环境沙箱中运行时不会对终端的系统安全造成破坏和影响。文件模拟打开执行单元,用于在接收到用于指示打开第一文件存储区域中存储的文件的指令时,在第一文件存储区域中的文件存储沙箱中查找到指示打开的文件,然后将该查找到的文件在执行环境沙箱中模拟打开;进一步地,文件模拟打开执行单元还可以创建一个独立的窗口站,使指示打开的文件在执行环境沙箱中模拟打开的过程中,在该创建的窗口站中创建或者访问终端系统的窗口资源。其中,文件模拟打开执行单元还可以具体包括进程创建子单元和执行子单元。其中,进程创建子单元,用于针对指示打开的文件在执行环境沙箱中创建一个进程,用于打开存储在文件存储沙箱中被指示打开的文件,或者用于执行打开存储在文件存储沙箱中该被指示打开的文件的程序。执行子单元,用于使用进程创建子单元创建的进程,将指示打开的文件在第一文件存储区域中的执行环境沙箱中模拟打开。进一步地,文件模拟打开执行单元还可以将存储在文件存储沙箱中的被指示打开的压缩文件做解压缩处理,并将解压缩后的文件存储在文件存储沙箱中的临时目录下,然后利用进程创建子单元创建一个进程,用于打开存储在所述临时目录下的文件,或者用于执行打开存储在所述临时目录下的文件的程序,之后执行子单元使用创建的进程,将指示打开的文件在执行环境沙箱中模拟打开。可选地,在创建该进程之前还可以运行病毒扫描软件对存储在临时目录下的解压缩后的文件进行病毒扫描处理。更进一步地,进程创建子单元创建的进程,可以通过Windows API函数将所述进程赋予较低的权限,例如,禁止写磁盘、禁止修改注册表、禁止访问网络、禁止更改浏览器资源以及禁止访问系统公共资源等,从而可以较好的控制被模拟打开的文件中可能携带的病毒、恶意脚本程序等对终端系统安全造成破坏的问题。更进一步地,执行子单元在使用进程创建子单元创建的进程将指示打开的文件在执行环境沙箱中模拟打开的过程中,可以创建一个独立的窗口站,使指示打开的文件在执行环境沙箱中被模拟打开的过程中,在所述创建的窗口站中创建或者访问终端系统的窗口等Π资源。可选地,执行子单元将文件在独立窗口站中创建或者访问终端系统的窗口等Π资源的行为在人机交互界面上显示,使用户可以直接看到所述被模拟打开的文件的运行结果O安全文件判断单元,用于根据文件模拟打开执行单元对文件模拟打开的执行结果,确定该被模拟打开的文件是否为安全文件;
进一步地,安全 文件判断单元可以在执行环境沙箱中将文件模拟打开的过程中,记录与终端系统安全有关的应用程序编程接口 API函数被调用的模式,当记录的API函数被调用的模式与预先设定的模式不一致时,则可以判断该被模拟打开的文件不是安全文件,否则判断该被模拟打开的文件是安全文件。所述API函数被调用的模式可以但不限于为以下几种API函数被单独调用的次数、调用的时间等模式,至少一个API函数被调用的次数、调用的时间的组合模式。下面以X和Y两个API函数调用次数为例,阐述基于API函数被调用的次数是否大于预先设定的阈值来进而判断被模拟打开的文件是否为安全文件。X和Y预先设定的模式如下述表格I所示表I
权利要求
1.一种对基于即时通讯业务接收到的文件进行处理的方法,其特征在于,包括 判断接收到的通过即时通讯业务传输的文件是否为可疑文件; 如果判断结果是可疑文件,则将接收到的文件存储到第一文件存储区域,所述第一文件存储区域为文件隔离运行区域,文件在所述第一文件存储区域中运行时不会对终端的系统安全造成影响;并 在接收到用于指示打开第一文件存储区域中存储的文件的指令时,将指示打开的文件在所述第一文件存储区域中模拟打开; 根据文件模拟打开的执行结果,在确定出该被模拟打开的文件不是安全文件时,将该被模拟打开的文件做删除或隔离处理。
2.如权利要求1所述的方法,其特征在于,还包括 在判断出接收到的通过即时通讯业务传输的文件不是可疑文件时,将接收到的文件存储至用于存储安全文件的第二文件存储区域; 在确定出该被模拟打开的文件是安全文件时,将该被模拟打开的文件由第一文件存储区域转存至第二文件存储区域。
3.如权利要求1所述的方法,其特征在于,判断接收到的通过即时通讯业务传输的文件是否为可疑文件,包括 根据接收到的通过即时通讯业务传输的文件的文件后缀名,判断该文件是常态类型文件还是非常态类型文件,如果是常态类型文件,则确定该接收到的文件不是可疑文件,如果是非常态类型文件,则确定该接收到的文件是可疑文件;或者 根据接收到的通过即时通讯业务传输的文件的文件内容,判断该接收到的文件是否承载了有关病毒的代码,如果承载了有关病毒的代码,则确定该接收到的文件是可疑文件,如果没有承载有关病毒的代码,则确定该接收到的文件不是可疑文件;或者 在接收到的通过即时通讯业务传输的文件是以压缩包形式传送的文件时,获得接收到的压缩包中包含的文件的文件类型,判断获得的文件类型是常态类型还是非常态类型,如果是常态类型,则确定该接收到的文件不是可疑文件,如果是非常态类型,则确定该接收到的文件是可疑文件;或者 根据接收到的通过即时通讯业务传输的文件的文件内容,判断该文件是否具有公认安全的数字签名,如果具有公认安全的数字签名,则确定该接收到的文件不是可疑文件,如果不具有公认安全的数字签名,则确定该接收到的文件是可疑文件;或者 在接收到通过即时通讯业务传输的文件时,采用哈希函数对接收到的文件的内容进行计算,将计算得到的计算结果与预先存储的对应安全文件和不安全文件的计算结果进行比对,如果比对结果相同,则确定该接收到的文件是安全文件或者是不安全文件,如果比对结果不相同,则确定该接收到的文件是可疑文件。
4.如权利要求1所述的方法,其特征在于,将接收到的文件存储到第一文件存储区域,包括 对接收到的通过即时通讯业务传输的文件进行设置密码及其压缩处理;并 将压缩后的文件存储到第一文件存储区域。
5.如权利要求1所述的方法,其特征在于,将指示打开的文件在所述第一文件存储区域中模拟打开,包括针对指示打开的文件创建一个进程,所述进程用于打开存储在第一文件存储区域的该被指示打开的文件,或者用于执行打开存储在第一文件存储区域的该被指示打开的文件的程序; 使用创建的进程,将指示打开的文件在所述第一文件存储区域中模拟打开。
6.如权利要求4所述的方法,其特征在于,将指示打开的文件在所述第一文件存储区域中模拟打开,包括 将存储在第一文件存储区域的被指示打开的压缩文件做解压缩处理,并将解压缩后的文件存储在第一文件存储区域的临时目录下; 创建一个进程,所述进程用于打开存储在所述临时目录下的文件,或者用于执行打开存储在所述临时目录下的文件的程序; 使用创建的进程,将指示打开的文件在所述第一文件存储区域中模拟打开。
7.如权利要求1、5或6所述的方法,其特征在于,将指示打开的文件在所述第一文件存储区域中模拟打开的过程中,还包括 创建一个独立的窗口站,使指示打开的文件在所述第一文件存储区域中模拟打开的过程中,在所述创建的窗口站中创建或者访问终端系统的窗口资源。
8.如权利要求5或6所述的方法,其特征在于,所述创建的进程,被赋予的权限包括下述中的至少一项 禁止与磁盘; 禁止修改注册表; 禁止访问网络资源; 禁止更改浏览器资源; 禁止访问系统公共资源。
9.如权利要求6所述的方法,其特征在于,将解压缩后的文件存储在第一文件存储区域的临时目录下之后,创建一个进程之前,还包括 运行病毒扫描软件对存储在第一文件存储区域的临时目录下的解压缩后的文件做病毒扫描处理。
10.如权利要求1所述的方法,其特征在于,根据文件模拟打开的执行结果,确定该被模拟打开的文件是否为安全文件,包括 在文件模拟打开过程中,记录与终端系统安全有关的应用程序编程接口 API函数被调用的模式,当记录的API函数被调用的模式与预先设定的模式不一致时,判断该被模拟打开的文件不是安全文件,否则判断该被模拟打开的文件是安全文件。
11.如权利要求1所述的方法,其特征在于,将该被模拟打开的该文件做删除或隔离处理之后,还包括 将该被模拟打开的文件是带有病毒的文件和/或将该被模拟打开的文件做删除或隔离处理的信息上报。
12.—种对基于即时通讯业务接收到的文件进行处理的装置,其特征在于,包括 可疑文件判断单元,用于判断接收到的通过即时通讯业务传输的文件是否为可疑文件; 文件存储单元,用于在可疑文件判断单元判断出所述文件是可疑文件时,将接收到的文件存储到第一文件存储区域,所述第一文件存储区域为文件隔离运行区域,文件在所述第一文件存储区域中运行时不会对终端的系统安全造成影响; 文件模拟打开执行单元,用于在接收到用于指示打开第一文件存储区域中存储的文件的指令时,将指示打开的文件在所述第一文件存储区域中模拟打开; 安 全文件判断单元,用于根据文件模拟打开执行单元对文件模拟打开的执行结果,确定该被模拟打开的文件是否为安全文件; 执行单元,用于在安全文件判断单元判断出被模拟打开的文件不是安全文件时,将该被模拟打开的文件做删除或隔离处理。
全文摘要
本申请公开了一种对基于即时通讯业务接收到的文件进行处理的方法,包括判断接收到的通过即时通讯业务传输的文件是否为带有病毒的可疑文件;如果是带有病毒的可疑文件,则将接收到的文件存储到第一文件存储区域,文件在所述第一文件存储区域中运行时不会对终端的系统安全造成影响;并在接收到用于指示打开第一文件存储区域中存储的文件的指令时,将指示打开的文件在所述第一文件存储区域中模拟打开;根据文件模拟打开的执行结果,在确定出该被模拟打开的文件不是安全文件时,将该被模拟打开的文件做删除或隔离处理。从而较好地控制通过即时通讯业务传输的带有病毒的文件被终端打开后,对终端系统的安全性造成的破坏。
文档编号H04L12/58GK103067246SQ20111031716
公开日2013年4月24日 申请日期2011年10月18日 优先权日2011年10月18日
发明者邵有石 申请人:阿里巴巴集团控股有限公司