[发明专利]基于云安全的文件处理方法及装置

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种基于云安全的文件处理方法及装置。

背景技术

目前，随着恶意程序的不断增长，传统的基于特征码查杀和定期更新病毒库的杀毒方式已经无法应对这种局面，这就促使了大量客户端跟踪、查杀恶意程序的云安全技术的兴起。

现有技术中的云安全技术大多采用客户端本地引擎与云安全服务器侧相结合的方式，具体通过如下方式对恶意程序进行查杀：

客户端本地引擎根据其内置的扫描位置进行扫描，并把本地无法识别的未知程序文件特征发送给云安全服务器，由云安全服务器对接收到的程序文件特征进行对比并判断是否为恶意程序，若为恶意程序，再由客户端本地引擎根据其预置的恶意程序处理方法对该恶意程序进行相应处理。

然而，恶意程序的作者在对抗安全软件时，恶意软件为了躲避安全防护软件的检测，会找到操作系统中新的可利用点或者找到安全软件所忽视的点，从而绕过安全软件的检测和查杀。这就需要安全厂商需要针对新兴的恶意程序样本进行分析，以对客户端安全软件进行更新。但是，在对安全软件升级的程中，恶意程序已经广泛蔓延。可见，现有技术的方法，并不能及时地对恶意程序进行检测和查杀。

发明内容

鉴于上述问题，本发明提供一种基于云安全的文件处理方法及装置，以便克服上述问题或者至少部分地解决上述问题。

依据本发明的一个方面，提供了一种基于云安全的文件处理方法，该方法包括：

根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识；

发送查询请求至服务器端，查询未知程序文件是否是恶意程序，其中，查询请求携带有未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

接收来自服务器端的反馈消息，并根据反馈消息对未知程序文件进行后续处理，其中，服务器端根据签名标识以及文件特征生成反馈消息。

可选地，按照如下步骤获得签名相关信息以及文件特征，包括：

扫描未知程序文件，获取文件特征；

从文件特征中提取签名相关信息。

可选地，文件特征包括下列至少之一：

MD5(Message Digest Algorithm 5，消息摘要算法)、SHA1(Secure Hash Algorithm，哈希算法)、从文件中抽取部分内容计算出的特征值。

可选地，根据本地下载的未知程序文件的签名相关信息，生成与未知程序文件唯一对应的签名标识，包括：

获取可移植的执行体PE文件的可计算字段，可计算字段为PE文件中除去PE校验段、签名段以及签名内容剩余部分；

对可计算字段进行计算，将计算结果作为签名标识。

可选地，根据反馈消息进行后续处理，包括：

签名标识在服务器端匹配成功时，接收服务器端反馈的、与签名标识相对应的查杀方法。

可选地，接收服务器端反馈的查杀方式之后，包括：

从服务器端下载预设的、针对未知程序文件的信息参数的检测条件，判断未知程序文件是否满足检测条件；

将判断结果上传服务器端，并根据服务器端的指令执行后续处理。

可选地，检测条件包括下列至少一项：

PE加载的特定文件是否具有特定公司的有效签名；

PE加载的特定文件的内部名称、产品名称及公司名称是否为指定的名称；

系统中是否挂有特定的钩子；

特定的进程中是否具有特定的填充数据Shellcode；

系统中是否有特定驱动模块或者设备对象存在；

特定的注册表是否指向特定的文件或者特定的唯一标识CLSID或者匹配特定的模式；

PE加载的进程链中是否存在安全性未知的文件。

可选地，根据服务器端的指令执行后续处理，包括：

接收来自服务器端的未知程序文件可能感染恶意程序的提醒消息；和/或

接收来自服务器端的对未知程序文件进行查杀的查杀命令时，对未知程序文件进行查杀；和/或在接收到用户界面触发的查杀指令时，通过服务端对未知程序文件进行查杀。

可选地，查杀方法包括：扫描/判定动作和/或修复动作。

依据本发明的一个方面，还提供了一种基于云安全的文件处理方法，该方法包括：

接收来自客户端的查询请求，其中，查询请求包括未知程序文件的签名标识以及未知程序文件的部分或全部文件特征；

根据签名标识以及文件特征生成反馈消息；