一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法
【專利摘要】本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法����,所述裝置包括:數(shù)據(jù)處理模塊捕獲網(wǎng)絡(luò)數(shù)據(jù)流,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件�����;引擎檢測(cè)模塊對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)�,并根據(jù)檢測(cè)結(jié)果及用戶配置�����,判斷是否需要進(jìn)行文件鑒定��,如果是��,則將所述文件發(fā)送到文件鑒定模塊,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊��;文件鑒定模塊對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定�,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊;統(tǒng)計(jì)模塊�,匯總檢測(cè)結(jié)果,并反饋給用戶����。通過(guò)本發(fā)明的方法,能夠使網(wǎng)絡(luò)設(shè)備具備文件鑒定的能力����,解決了由于網(wǎng)絡(luò)設(shè)備無(wú)法上傳文件導(dǎo)致無(wú)法對(duì)文件進(jìn)行鑒定的問(wèn)題。
【專利說(shuō)明】一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】�,尤其涉及一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法。
【背景技術(shù)】
[0002]現(xiàn)有網(wǎng)絡(luò)設(shè)備一般都需要鑒定通過(guò)的文件是否有威脅�,通常的做法是將待檢測(cè)文件上報(bào)給反病毒廠商,反病毒廠商通過(guò)動(dòng)靜態(tài)檢測(cè)技術(shù)鑒定文件是否有威脅���,并將鑒定結(jié)果反饋給用戶����。將威脅文件上傳給反病毒廠商雖然可以解決文件鑒定問(wèn)題�����,但是對(duì)于有一些威脅對(duì)象的網(wǎng)絡(luò)設(shè)備,其本身不具備將文件上傳給反病毒廠商的條件��。例如���,涉密的網(wǎng)絡(luò)設(shè)備或物理隔絕的網(wǎng)絡(luò)設(shè)備����,由于數(shù)據(jù)的敏感性����,是不能將數(shù)據(jù)上傳給反病毒廠商進(jìn)行文件鑒定的,因此在這種情況下將無(wú)法進(jìn)行文件鑒定�。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無(wú)法將文件上傳給反病毒廠商����,但又需要進(jìn)行對(duì)文件鑒定的需求����,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力。
[0004]一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置��,包括:
數(shù)據(jù)處理模塊,用于捕獲網(wǎng)絡(luò)數(shù)據(jù)流�����,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件����;
引擎檢測(cè)模塊,用于對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)��,并根據(jù)檢測(cè)結(jié)果及用戶配置��,判斷是否需要進(jìn)行文件鑒定�,如果是,則將所述文件發(fā)送到文件鑒定模塊�,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊;
文件鑒定模塊�,用于對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊�����;
統(tǒng)計(jì)模塊�����,用于匯總檢測(cè)結(jié)果,并反饋給用戶�。
[0005]所述的裝置中,所述文件鑒定模塊還包括:
靜態(tài)檢測(cè)模塊�����,用于對(duì)引擎檢測(cè)模塊發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)��,并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè),如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊����,否則將靜態(tài)檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊;
動(dòng)態(tài)檢測(cè)模塊�����,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)��,監(jiān)控文件行為��,并將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊�����。
[0006]所述的裝置中�����,所述文件鑒定模塊還可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中�����。
[0007]所述的裝置中���,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為���,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0008]一種網(wǎng)絡(luò)設(shè)備文件鑒定方法����,包括:
a.捕獲網(wǎng)絡(luò)數(shù)據(jù)流,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件����;
b.對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定����,如果是,則執(zhí)行步驟C��,否則執(zhí)行步驟d ;所述用戶配置�,為用戶根據(jù)反病毒引擎可能存在的檢測(cè)結(jié)果或危險(xiǎn)等級(jí)等,預(yù)先設(shè)定的是否需要進(jìn)行文件鑒定的條件�����;
C.對(duì)所述文件進(jìn)行文件鑒定����;
d.匯總檢測(cè)結(jié)果,并反饋給用戶�����。
[0009]所述的方法中���,對(duì)所述文件進(jìn)行文件鑒定為:
Cl.對(duì)所述文件進(jìn)行靜態(tài)檢測(cè)�,并根據(jù)檢測(cè)結(jié)果及用戶配置��,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè),如果是則執(zhí)行c2���,否則執(zhí)行步驟d ;
c2.對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)����,監(jiān)控文件行為。
[0010]所述的方法中����,所述的對(duì)所述文件進(jìn)行文件鑒定的過(guò)程可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中。
[0011]所述的方法中�,對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行����。
[0012]本發(fā)明的優(yōu)勢(shì)在于,能夠通過(guò)本發(fā)明的裝置及方法���,可以將文件鑒定通過(guò)增加模塊或虛擬機(jī)的形式��,增加到網(wǎng)絡(luò)設(shè)備中�����,使網(wǎng)絡(luò)設(shè)備具備文件鑒定能力��,解決了無(wú)法上傳文件的網(wǎng)絡(luò)設(shè)備對(duì)文件鑒定的需求��。
[0013]本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法�����,所述裝置包括:數(shù)據(jù)處理模塊捕獲網(wǎng)絡(luò)數(shù)據(jù)流�����,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件��;引擎檢測(cè)模塊對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)��,并根據(jù)檢測(cè)結(jié)果及用戶配置�����,判斷是否需要進(jìn)行文件鑒定�,如果是,則將所述文件發(fā)送到文件鑒定模塊����,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊����;文件鑒定模塊對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定�����,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊����;統(tǒng)計(jì)模塊��,匯總檢測(cè)結(jié)果��,并反饋給用戶����。通過(guò)本發(fā)明的方法,能夠使網(wǎng)絡(luò)設(shè)備具備文件鑒定的能力���,解決了由于網(wǎng)絡(luò)設(shè)備無(wú)法上傳文件導(dǎo)致無(wú)法對(duì)文件進(jìn)行鑒定的問(wèn)題�����。
【專利附圖】
【附圖說(shuō)明】
[0014]為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案�,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖�。
[0015]圖1為一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置結(jié)構(gòu)示意圖;
圖2為一種網(wǎng)絡(luò)設(shè)備文件鑒定方法流程圖��。
【具體實(shí)施方式】
[0016]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案��,并使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂����,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明����。
[0017]本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無(wú)法將文件上傳給反病毒廠商����,但又需要進(jìn)行對(duì)文件鑒定的需求����,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力�����。
[0018]一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置��,如圖1所示��,包括: 數(shù)據(jù)處理模塊101�,用于捕獲網(wǎng)絡(luò)數(shù)據(jù)流����,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件;
引擎檢測(cè)模塊102�,用于對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置���,判斷是否需要進(jìn)行文件鑒定���,如果是����,則將所述文件發(fā)送到文件鑒定模塊�����,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊�����;
文件鑒定模塊103�����,用于對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定����,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊;
統(tǒng)計(jì)模塊104�,用于匯總檢測(cè)結(jié)果,并反饋給用戶�。
[0019]所述的裝置中,所述文件鑒定模塊還包括:
靜態(tài)檢測(cè)模塊103-1���,用于對(duì)引擎檢測(cè)模塊發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)�����,并根據(jù)檢測(cè)結(jié)果及用戶配置�,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè),如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊��,否則將靜態(tài)檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊����;
動(dòng)態(tài)檢測(cè)模塊103-2,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)�,監(jiān)控文件行為,并將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊���。
[0020]所述的裝置中�����,所述文件鑒定模塊還可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中。
[0021]所述的裝置中�����,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為���,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行���。
[0022]一種網(wǎng)絡(luò)設(shè)備文件鑒定方法�,如圖2所示���,包括:
5201:捕獲網(wǎng)絡(luò)數(shù)據(jù)流����,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件�����;
5202:對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)��,并根據(jù)檢測(cè)結(jié)果及用戶配置��,判斷是否需要進(jìn)行文件鑒定�,如果是,則執(zhí)行S203�,否則執(zhí)行S204 ;所述用戶配置,為用戶根據(jù)反病毒引擎可能存在的檢測(cè)結(jié)果或危險(xiǎn)等級(jí)等��,預(yù)先設(shè)定的是否需要進(jìn)行文件鑒定的條件;如:反病毒引擎檢測(cè)所述文件安全�,則用戶配置為不進(jìn)行文件鑒定;反病毒引擎檢測(cè)到所述文件有威脅��,則用戶配置為需要進(jìn)行文件鑒定�。
[0023]S203:對(duì)所述文件進(jìn)行文件鑒定;
S204:匯總檢測(cè)結(jié)果���,并反饋給用戶���。
[0024]所述的方法中,S203對(duì)所述文件進(jìn)行文件鑒定為:
S203-1對(duì)所述文件進(jìn)行靜態(tài)檢測(cè)���,并根據(jù)檢測(cè)結(jié)果及用戶配置�,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)����,如果是則執(zhí)行S203-2,否則執(zhí)行S204 �����;
S203-2對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)�,監(jiān)控文件行為。
[0025]所述的方法中�,所述的對(duì)所述文件進(jìn)行文件鑒定的過(guò)程可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中。即網(wǎng)絡(luò)設(shè)備廠商可以將文件鑒定虛擬機(jī)部署于網(wǎng)絡(luò)設(shè)備內(nèi)部����。
[0026]所述的方法中,對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)為���,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行��。
[0027]本發(fā)明的優(yōu)勢(shì)在于�����,能夠通過(guò)本發(fā)明的裝置及方法�,可以將文件鑒定通過(guò)增加模塊或虛擬機(jī)的形式�,增加到網(wǎng)絡(luò)設(shè)備中,使網(wǎng)絡(luò)設(shè)備具備文件鑒定能力�����,解決了無(wú)法上傳文件的網(wǎng)絡(luò)設(shè)備對(duì)文件鑒定的需求����。
[0028]本發(fā)明提供了一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置及方法,所述裝置包括:數(shù)據(jù)處理模塊捕獲網(wǎng)絡(luò)數(shù)據(jù)流,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件���;引擎檢測(cè)模塊對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)��,并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行文件鑒定�����,如果是�����,則將所述文件發(fā)送到文件鑒定模塊�����,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊��;文件鑒定模塊對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定�����,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊�;統(tǒng)計(jì)模塊,匯總檢測(cè)結(jié)果�,并反饋給用戶。通過(guò)本發(fā)明的方法�����,能夠使網(wǎng)絡(luò)設(shè)備具備文件鑒定的能力����,解決了由于網(wǎng)絡(luò)設(shè)備無(wú)法上傳文件導(dǎo)致無(wú)法對(duì)文件進(jìn)行鑒定的問(wèn)題。
[0029]通過(guò)以上的實(shí)施方式的描述可知���,本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)����。本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述�����,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可���,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處��。尤其�����,對(duì)于系統(tǒng)實(shí)施例而言�,由于其基本相似于方法實(shí)施例,所以描述的比較簡(jiǎn)單�����,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可���。
[0030]雖然通過(guò)實(shí)施例描繪了本發(fā)明�,本領(lǐng)域普通技術(shù)人員知道����,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)設(shè)備文件鑒定裝置,其特征在于����,包括: 數(shù)據(jù)處理模塊,用于捕獲網(wǎng)絡(luò)數(shù)據(jù)流�,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件�����; 引擎檢測(cè)模塊���,用于對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)�,并根據(jù)檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定��,如果是�,則將所述文件發(fā)送到文件鑒定模塊,否則將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊��; 文件鑒定模塊�,用于對(duì)引擎檢測(cè)模塊發(fā)送的文件進(jìn)行文件鑒定,并將鑒定結(jié)果發(fā)送到統(tǒng)計(jì)模塊����; 統(tǒng)計(jì)模塊,用于匯總檢測(cè)結(jié)果����,并反饋給用戶。
2.如權(quán)利要求1所述的裝置��,其特征在于,所述文件鑒定模塊還包括: 靜態(tài)檢測(cè)模塊�,用于對(duì)引擎檢測(cè)模塊發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置���,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊��,否則將靜態(tài)檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊�����; 動(dòng)態(tài)檢測(cè)模塊�,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè),監(jiān)控文件行為��,并將檢測(cè)結(jié)果發(fā)送到統(tǒng)計(jì)模塊����。
3.如權(quán)利要求1或2所述的裝置,其特征在于���,所述文件鑒定模塊還可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中��。
4.如權(quán)利要求3所述的裝置��,其特征在于�,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行�。
5.一種網(wǎng)絡(luò)設(shè)備文件鑒定方法,其特征在于�,包括: a.捕獲網(wǎng)絡(luò)數(shù)據(jù)流����,并將所述網(wǎng)絡(luò)數(shù)據(jù)流還原為文件; b.對(duì)數(shù)據(jù)處理模塊還原的文件進(jìn)行檢測(cè)���,并根據(jù)檢測(cè)結(jié)果及用戶配置�����,判斷是否需要進(jìn)行文件鑒定�����,如果是����,則執(zhí)行步驟C,否則執(zhí)行步驟d �����; c.對(duì)所述文件進(jìn)行文件鑒定����; d.匯總檢測(cè)結(jié)果,并反饋給用戶���。
6.如權(quán)利要求5所述的方法���,其特征在于,對(duì)所述文件進(jìn)行文件鑒定為: Cl.對(duì)所述文件進(jìn)行靜態(tài)檢測(cè)����,并根據(jù)檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�,如果是則執(zhí)行c2,否則執(zhí)行步驟d ����; c2.對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè),監(jiān)控文件行為。
7.如權(quán)利要求5或6所述的方法�,其特征在于,所述的對(duì)所述文件進(jìn)行文件鑒定的過(guò)程可以以虛擬機(jī)形式存儲(chǔ)于任意網(wǎng)絡(luò)設(shè)備中��。
8.如權(quán)利要求7所述的方法���,其特征在于�,對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)為���,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行��。
【文檔編號(hào)】H04L29/06GK103905417SQ201310557501
【公開(kāi)日】2014年7月2日 申請(qǐng)日期:2013年11月12日 優(yōu)先權(quán)日:2013年11月12日
【發(fā)明者】王明華, 劉陽(yáng), 李佳, 李高超, 李銳光, 賀敏, 肖新光, 童志明, 沈長(zhǎng)偉 申請(qǐng)人:國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心, 哈爾濱安天科技股份有限公司