[发明专利]文件信息收集方法与装置

说明书

技术领域

本申请涉及计算机技术领域，特别是涉及一种未知文件的文件信息收集方法与装置。

背景技术

杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除、和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等）的重要组成部分。

目前，在使用杀毒软件进行系统防御和病毒查杀时，一方面，杀毒软件根据自身存储的病毒特征数据库中的病毒特征匹配待查杀文件，若匹配一致，则认为待查杀文件为病毒文件，进行病毒查杀处理；若匹配不一致，则认为待查杀文件为正常文件，进行放行；另一方面，上述查杀过程仅在本地进行。

然而，对于某些可疑的未知文件，因其不属于现有杀毒软件病毒库中的病毒文件，病毒库中不具有相应的病毒特征，现有的杀毒软件将其放行，因而现有的杀毒软件无法对可疑的未知文件进行有效检测，无法进行有效的可疑未知文件防御；而本地查杀比较局限，无法使用查杀结果影响其它机器的病毒查杀。

发明内容

鉴于上述现有杀毒软件无法对未知文件进行有效检测和防御，且查杀结果影响受限的问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的文件信息收集方法与装置。

依据本发明的一个方面，提供了一种文件信息收集方法，包括：企业内网控制服务器从终端获取待检测文件的文件特征，其中，待检测文件为终端中新增加的文件和/或进行了修改的文件；控制服务器判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配；若待检测文件的文件特征与正常可执行文件的文件特征和所述病毒文件的文件特征均不匹配，则控制服务器确定待检测文件为未知文件；控制服务器向终端返回待检测文件为未知文件的消息，并通知终端上传未知文件的文件信息；控制服务器接收并收集终端上传的未知文件的文件信息。

可选地，待检测文件的文件特征为对待检测文件的文件内容使用MD5算法后的MD5值；在企业内网控制服务器从终端获取待检测文件的文件特征的步骤之前，还包括：控制服务器获取正常可执行文件的文件内容和病毒文件的文件内容；分别对正常可执行文件的文件内容和病毒文件的文件内容使用MD5算法，获取正常可执行文件的MD5值和病毒文件的MD5值；将正常可执行文件的MD5值保存为正常可执行文件的文件特征，将病毒文件的MD5值保存为病毒文件的文件特征。

可选地，控制服务器从终端获取待检测文件的文件特征的步骤包括：控制服务器接收终端使用HTTP协议封装的待检测文件的MD5值。

可选地，控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括：控制服务器接收并收集终端通过终端后台直接上传的未知文件的文件信息，其中，未知文件的文件信息使用HTTP协议封装。

可选地，在控制服务器接收并收集终端上传的未知文件的文件信息的步骤之后，还包括：控制服务器对未知文件的文件信息进行分析，确定未知文件是否为安全文件；若确定未知文件不为安全文件，则记录未知文件的MD5值，禁止未知文件运行。

可选地，控制服务器接收并收集终端上传的未知文件的文件信息的步骤包括：控制服务器接收并收集终端上传的未知文件的MD5值，以及以下信息至少之一：未知文件的数字签名、文件版本号、文件名、未知文件所属的产品名、产品版本号、未知文件所属的公司版权信息。

可选地，终端中新增加的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的新文件；进行了修改的文件为终端通过企业内网确认的、企业内网的所有终端中当前均不存在的修改后的文件。

根据本发明的另一方面，提供了一种文件信息收集装置，设置于企业内网的控制服务器端，该文件信息收集装置包括：获取模块，用于从企业内网的终端获取待检测文件的文件特征，其中，待检测文件为终端中新增加的文件和/或进行了修改的文件；判断模块，用于判断待检测文件的文件特征与控制服务器中的文件特征数据库中存储的正常可执行文件的文件特征和病毒文件的文件特征是否匹配；确定模块，用于若判断模块判断待检测文件的文件特征与正常可执行文件的文件特征和病毒文件的文件特征均不匹配，则确定待检测文件为未知文件；收集模块，用于向终端返回待检测文件为未知文件的消息，并通知终端上传未知文件的文件信息；接收并收集终端上传的未知文件的文件信息。