一種文件鑒定裝置及方法
【專(zhuān)利摘要】本發(fā)明提供了一種文件鑒定裝置及方法����,所述裝置包括:靜態(tài)檢測(cè)模塊,對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)�����,并根據(jù)檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊�,否則執(zhí)行統(tǒng)計(jì)模塊��;動(dòng)態(tài)檢測(cè)模塊���,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)����,記錄并監(jiān)控文件行為���;統(tǒng)計(jì)模塊���,用于匯總檢測(cè)結(jié)果,并反饋給用戶����。本發(fā)明還相應(yīng)提供了文件鑒定方法,通過(guò)本發(fā)明的裝置及方法�,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下,進(jìn)行文件鑒定,同時(shí)不占用網(wǎng)絡(luò)設(shè)備自身資源��,具有較高的工作及檢測(cè)效率�����。
【專(zhuān)利說(shuō)明】一種文件鑒定裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】���,尤其涉及一種文件鑒定裝置及方法�����。
【背景技術(shù)】
[0002]現(xiàn)有網(wǎng)絡(luò)設(shè)備一般都需要鑒定通過(guò)的文件是否有威脅�����,通常的做法是將待檢測(cè)文件上報(bào)給反病毒廠商����,反病毒廠商通過(guò)動(dòng)靜態(tài)檢測(cè)技術(shù)鑒定文件是否有威脅�,并將鑒定結(jié)果反饋給用戶。將威脅文件上傳給反病毒廠商雖然可以解決文件鑒定問(wèn)題�,但是對(duì)于有一些威脅對(duì)象的網(wǎng)絡(luò)設(shè)備,其本身不具備將文件上傳給反病毒廠商的條件����。例如�����,涉密的網(wǎng)絡(luò)設(shè)備或物理隔絕的網(wǎng)絡(luò)設(shè)備�����,由于數(shù)據(jù)的敏感性,是不能將數(shù)據(jù)上傳給反病毒廠商進(jìn)行文件鑒定的��,因此在這種情況下將無(wú)法進(jìn)行文件鑒定��。
【發(fā)明內(nèi)容】
[0003]本發(fā)明提供了一種文件鑒定裝置及方法��,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無(wú)法將文件上傳給反病毒廠商��,但又需要進(jìn)行對(duì)文件鑒定的需求�����,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力�����。
[0004]一種文件鑒定裝置,包括:
靜態(tài)檢測(cè)模塊����,用于對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置�����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊�,否則執(zhí)行統(tǒng)計(jì)模塊;
動(dòng)態(tài)檢測(cè)模塊����,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè),記錄并監(jiān)控文件行為��;
統(tǒng)計(jì)模塊����,用于匯總檢測(cè)結(jié)果,并反饋給用戶��。
[0005]所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中。
[0006]所述裝置中�,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行�。
[0007]本發(fā)明還提供一種文件鑒定方法,適用于上述的文件鑒定裝置����,包括:
a.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中;
b.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流�;
c.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測(cè);
d.根據(jù)反病毒引擎檢測(cè)結(jié)果及用戶配置�,判斷是否需要進(jìn)行文件鑒定��,如果是�����,則執(zhí)行步驟e�,否則執(zhí)行步驟g;
e.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置,對(duì)所述文件進(jìn)行靜態(tài)檢測(cè)����,并根據(jù)檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�,如果是�,則執(zhí)行步驟f.�����,否則執(zhí)行步驟g ;
f.對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)����,記錄并監(jiān)控文件行為;
g.匯總檢測(cè)結(jié)果����,并反饋給用戶。
[0008]所述的方法中�����,對(duì)所述文件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)為�,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行。
[0009]本發(fā)明的優(yōu)勢(shì)在于�,能夠通過(guò)本發(fā)明的裝置及方法,可以將文件鑒定通過(guò)增加模塊或虛擬機(jī)的形式���,增加到與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中�����,使無(wú)法上傳文件到反病毒廠商的網(wǎng)絡(luò)設(shè)備����,能夠通過(guò)局域網(wǎng)內(nèi)的其他設(shè)備,進(jìn)行文件鑒定����,同時(shí)不占用網(wǎng)絡(luò)設(shè)備本身資源。
[0010]本發(fā)明提供了一種文件鑒定裝置及方法��,所述裝置包括:靜態(tài)檢測(cè)模塊�,對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊,否則執(zhí)行統(tǒng)計(jì)模塊����;動(dòng)態(tài)檢測(cè)模塊,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)��,記錄并監(jiān)控文件行為;統(tǒng)計(jì)模塊��,用于匯總檢測(cè)結(jié)果�����,并反饋給用戶����。本發(fā)明還相應(yīng)提供了文件鑒定方法,通過(guò)本發(fā)明的裝置及方法����,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下,進(jìn)行文件鑒定�,同時(shí)不占用網(wǎng)絡(luò)設(shè)備自身資源,具有較高的工作及檢測(cè)效率�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0011]為了更清楚地說(shuō)明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹���,顯而易見(jiàn)地�����,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講���,在不付出創(chuàng)造性勞動(dòng)的前提下�,還可以根據(jù)這些附圖獲得其他的附圖��。
[0012]圖1為本發(fā)明一種文件鑒定裝置結(jié)構(gòu)示意圖��;
圖2為本發(fā)明一種文件鑒定方法流程圖���。
【具體實(shí)施方式】
[0013]為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案�����,并使本發(fā)明的上述目的���、特征和優(yōu)點(diǎn)能夠更加明顯易懂�����,下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說(shuō)明。
[0014]本發(fā)明提供了一種文件鑒定裝置及方法����,能夠解決現(xiàn)有網(wǎng)絡(luò)設(shè)備無(wú)法將文件上傳給反病毒廠商,但又需要進(jìn)行對(duì)文件鑒定的需求�,使網(wǎng)絡(luò)設(shè)備具備了文件鑒定的能力。
[0015]一種文件鑒定裝置����,如圖1所示,包括:
靜態(tài)檢測(cè)模塊101��,用于對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)���,并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊��,否則執(zhí)行統(tǒng)計(jì)模塊;
動(dòng)態(tài)檢測(cè)模塊102���,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)���,記錄并監(jiān)控文件行為;
統(tǒng)計(jì)模塊103���,用于匯總檢測(cè)結(jié)果�,并反饋給用戶���。
[0016]所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中�����。通過(guò)網(wǎng)絡(luò)設(shè)備如防火墻等��,與部署本發(fā)明文件檢定裝置的設(shè)備通信��,實(shí)現(xiàn)對(duì)文件的鑒定�,同時(shí)不占用網(wǎng)絡(luò)設(shè)備資源��。
[0017]所述裝置中����,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行��。
[0018]本發(fā)明還提供一種文件鑒定方法���,適用于上述的文件鑒定裝置�����,如圖2所示����,包括:
S201.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中���; 5202.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流�;
5203.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測(cè)�;
5204.根據(jù)反病毒引擎檢測(cè)結(jié)果及用戶配置,判斷是否需要進(jìn)行文件鑒定��,如果是���,則執(zhí)行步驟S205�,否則執(zhí)行步驟S208 ;
5205.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置����,對(duì)所述文件進(jìn)行靜態(tài)檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置���;
S206:判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)����,如果是�,則執(zhí)行步驟S207,否則執(zhí)行步驟S208 �����;
5207.對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)��,記錄并監(jiān)控文件行為��;
5208.匯總檢測(cè)結(jié)果����,并反饋給用戶。
[0019]所述的方法中�����,對(duì)所述文件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)為,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行��。
[0020]本發(fā)明的優(yōu)勢(shì)在于��,能夠通過(guò)本發(fā)明的裝置及方法���,可以將文件鑒定通過(guò)增加模塊或虛擬機(jī)的形式,增加到與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中���,使無(wú)法上傳文件到反病毒廠商的網(wǎng)絡(luò)設(shè)備����,能夠通過(guò)局域網(wǎng)內(nèi)的其他設(shè)備��,進(jìn)行文件鑒定�,同時(shí)不占用網(wǎng)絡(luò)設(shè)備本身資源。
[0021]本發(fā)明提供了一種文件鑒定裝置及方法���,所述裝置包括:靜態(tài)檢測(cè)模塊�����,對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)���,并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè)�����,如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊����,否則執(zhí)行統(tǒng)計(jì)模塊;動(dòng)態(tài)檢測(cè)模塊�����,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)����,記錄并監(jiān)控文件行為;統(tǒng)計(jì)模塊�,用于匯總檢測(cè)結(jié)果,并反饋給用戶�。本發(fā)明還相應(yīng)提供了文件鑒定方法���,通過(guò)本發(fā)明的裝置及方法,能夠使網(wǎng)絡(luò)設(shè)備在不需要將文件上傳到反病毒廠商的情況下����,進(jìn)行文件鑒定,同時(shí)不占用網(wǎng)絡(luò)設(shè)備自身資源��,具有較高的工作及檢測(cè)效率����。
[0022]雖然通過(guò)實(shí)施例描繪了本發(fā)明����,本領(lǐng)域普通技術(shù)人員知道,本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神���,希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神�。
【權(quán)利要求】
1.一種文件鑒定裝置����,其特征在于,包括: 靜態(tài)檢測(cè)模塊����,用于對(duì)網(wǎng)絡(luò)設(shè)備發(fā)送來(lái)的文件進(jìn)行靜態(tài)檢測(cè)����,并根據(jù)檢測(cè)結(jié)果及用戶配置�,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè),如果是則將所述文件發(fā)送到動(dòng)態(tài)檢測(cè)模塊��,否則執(zhí)行統(tǒng)計(jì)模塊����; 動(dòng)態(tài)檢測(cè)模塊,用于對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)��,記錄并監(jiān)控文件行為��; 統(tǒng)計(jì)模塊��,用于匯總檢測(cè)結(jié)果��,并反饋給用戶�����; 所述文件鑒定裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中。
2.如權(quán)利要求1所述裝置�����,其特征在于��,對(duì)所述對(duì)文件進(jìn)行動(dòng)態(tài)檢測(cè)為��,將所述文件投放入預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行��。
3.一種文件鑒定方法����,適用于權(quán)利要求1所述的文件鑒定裝置��,其特征在于��,包括: a.將所述裝置部署于與網(wǎng)絡(luò)設(shè)備平行的其他設(shè)備中����; b.網(wǎng)絡(luò)設(shè)備捕獲并還原網(wǎng)絡(luò)數(shù)據(jù)流; c.將還原的文件發(fā)送到反病毒引擎進(jìn)行檢測(cè)��; d.根據(jù)反病毒引擎檢測(cè)結(jié)果及用戶配置�,判斷是否需要進(jìn)行文件鑒定,如果是,則執(zhí)行步驟e��,否則執(zhí)行步驟g; e.將文件發(fā)送到網(wǎng)絡(luò)設(shè)備文件鑒定裝置�,對(duì)所述文件進(jìn)行靜態(tài)檢測(cè),并根據(jù)檢測(cè)結(jié)果及用戶配置����,判斷是否需要進(jìn)行動(dòng)態(tài)檢測(cè),如果是�����,則執(zhí)行步驟f.���,否則執(zhí)行步驟g ; f.對(duì)所述文件進(jìn)行動(dòng)態(tài)檢測(cè)����,記錄并監(jiān)控文件行為��; g.匯總檢測(cè)結(jié)果����,并反饋給用戶。
4.如權(quán)利要求3所述的方法��,其特征在于,對(duì)所述文件進(jìn)行動(dòng)態(tài)監(jiān)測(cè)為��,將所述文件投放如預(yù)先準(zhǔn)備的虛擬機(jī)環(huán)境中執(zhí)行���。
【文檔編號(hào)】H04L29/06GK103905419SQ201310641203
【公開(kāi)日】2014年7月2日 申請(qǐng)日期:2013年12月4日 優(yōu)先權(quán)日:2013年12月4日
【發(fā)明者】童志明, 沈長(zhǎng)偉, 肖新光 申請(qǐng)人:哈爾濱安天科技股份有限公司