[发明专利]用于创建和更新批准文件和受信任域数据库的方法和系统

说明书

背景技术

现有的防病毒技术日益变得无法保护计算资源免受诸如病毒或其 它类型的恶意软件(malware)之类的恶意文件和程序的攻击，引发了 对替代技术的研究。一个有前途的研发领域是文件“记入白名单 (whitelisting)”，一种其中仅有包含在所定义的项目列表内的应用、 文件或程序才可以被计算系统访问或执行，而防止所有其它文件或程 序在所述计算系统上运行的系统。

传统的白名单系统依赖于手工创建的白名单或网络爬取 (web-spidering，通常被称作网络抓取)技术来识别合法的(或潜在合 法的)文件。然而，假设以每天为基础创建和发布(通常是经由因特 网)新应用的速度，实际上不可能手工创建合法文件的全面白名单。

此外，由于网络爬取技术中的各种限制，传统的网络爬取技术典 型地仅识别部分已知的合法文件，估计只有10％。例如，网络爬取技 术难以对仅在用户填写在线表格和/或经由电子交易购买文件之后才可 访问的文件进行访问和分析。传统的网络爬取技术还倾向于将非法文 件错误地识别为合法的，反之亦然，进一步限制了白名单的生存能力。

发明内容

根据至少一个实施例，一种计算机实现的用于创建或更新批准文 件数据库的方法可包括：截取第一文件；识别与所述第一文件相关联 的源域(source domain)；识别受信任域数据库；确定在受信任域数据 库内是否存在与所述第一文件相关联的源域的数据库记录；如果在所 述受信任域数据库内存在与所述第一文件相关联的源域的数据库记 录，则为所述第一文件创建哈希(hash)值；以及将所述第一文件的哈 希值存储在第一批准文件数据库中。截取所述第一文件可以包括当响 应于自动请求或来自客户终端的请求而从第一域传送所述第一文件时 对其进行截取。

所述第一文件的哈希值可包括所述第一文件的内容表示。此外， 创建所述第一文件的哈希值可以包括使用安全哈希算法来创建所述第 一文件的安全哈希值。所述第一文件可以包括可执行文件、存档文件 和安装包中的至少一个。

所述方法还可以进一步包括创建所有被截取文件的报告，其中所 述报告包括多个被截取文件中的每个被截取文件的文件名、多个被截 取文件中的每个被截取文件的功能分类、多个被截取文件中的每个被 截取文件的软件发布者、细化每个文件被截取次数的流行度信息或者 多个被截取文件中的每个被截取文件的源域。所述方法还可以包括准 许对所述报告进行访问或传送所述报告。

在某些实施例中，所述方法可以包括识别包含多个文件的多个哈 希值的第二批准文件数据库，并且通过将存储在所述第一批准文件数 据库中的哈希值与存储在所述第二批准文件数据库中的哈希值进行聚 合来创建聚合的批准文件数据库。此外，所述方法可以包括接收访问 所述第一批准文件数据库的请求、验证访问所述第一批准文件数据库 的所述请求以及准许访问所述第一批准文件数据库。

识别与所述第一文件相关联的源域可以包括：从客户端计算设备 所发布的HTTP请求中提取域信息以检索所述第一文件；使用托管所述 第一文件的服务器的IP地址来执行反向域查找操作；从受信任的第三方 服务器请求源域信息，或者解析所述第一文件来定位所嵌入的源域/发 布者信息。所述方法还可以进一步包括创建批准文件数据库的本地副 本，以及周期性地将所述本地副本与所述批准文件数据库进行同步。 此外，所述方法可以进一步包括：在存储所述第一文件的哈希值之前， 确定在所述批准文件数据库内是否存在先前为所述第一文件创建的哈 希值。

在某些实施例中，一种用于验证文件合法性的方法包括：从第一 计算设备接收第一请求来验证第一文件的合法性；确定在批准文件数 据库内是否存在所述第一文件的哈希值的数据库记录；以及如果在所 述批准文件数据库内存在所述第一文件的哈希值的数据库记录，则向 所述第一计算设备传送指示所述第一文件是合法的响应。所述方法还 可以进一步包括：如果在所述批准文件数据库内不存在所述第一文件 的哈希值的数据库记录，则向所述第一计算设备传送指示所述第一文 件是不合法的响应。