文件检测方法、文件检测系统及文件检测装置制造方法及图纸

本发明专利技术提供了一种文件检测方法、文件检测系统及文件检测装置。其中，该文件检测方法包括：服务端接收终端发送的待检测文件，其中，服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果，以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件，历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的；服务端基于第一检测样本库，利用服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测，得到第一文件检测结果；服务端向终端发送根据第一文件检测结果得到的最终文件检测结果，能够在降低安装部署成本的同时提高检测效率，并提高检测准确性。并提高检测准确性。并提高检测准确性。

【技术实现步骤摘要】
文件检测方法、文件检测系统及文件检测装置


[0001]本专利技术涉及网络安全
，具体涉及一种文件检测方法、文件检测系统及文件检测装置。

技术介绍

[0002]随着计算机技术和互联网的飞速发展，网络安全已经成为不可忽视的问题，为了改善不断恶化的网络环境，可以在终端安装安全防护软件对文件进行检测。
[0003]传统的文件检测方法是通过集成多个不同类型的文件检测引擎对文件进行多次检测，但是单纯的叠加文件检测引擎会增加终端的资源消耗，且效率不高；而传统的优化方式是分别在多个终端上部署多个文件检测引擎，再将多个终端连接在一起，从而在一定程度上控制了每台终端的资源占用，但是这种方式安装和部署成本较高。

技术实现思路

[0004]有鉴于此，本专利技术实施例提供了一种文件检测方法、文件检测系统及文件检测装置，能够在降低安装部署成本的同时提高检测效率，并提高检测准确性。
[0005]根据本专利技术实施例的第一方面，提供一种文件检测方法，包括：服务端接收终端发送的待检测文件，其中，服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果，以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件，历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的；服务端基于第一检测样本库，利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测，得到第一文件检测结果；服务端向终端发送根据第一文件检测结果得到的最终文件检测结果。
[0006]在本专利技术的一个实施例中，上述方法还包括：服务端向云端发送待检测文件，以便于云端基于第二检测样本库，利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测，得到第二文件检测结果；服务端接收云端发送的第二文件检测结果；其中，上述服务端向终端发送根据第一文件检测结果得到的最终文件检测结果，包括：服务端根据第一文件检测结果和第二文件检测结果，确定最终文件检测结果，并向终端发送最终文件检测结果。
[0007]在本专利技术的一个实施例中，上述服务端根据第一文件检测结果和第二文件检测结果，确定最终文件检测结果，包括：当第一文件检测结果和第二文件检测结果均表示待检测文件为恶意文件时，确定最终文件检测结果为恶意文件；或者当第一文件检测结果和第二文件检测结果均表示待检测文件为安全文件时，确定最终文件检测结果为安全文件；或者当第一文件检测结果和第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时，服务端对待检测文件进行文件行为检测，得到最终文件检测结果，文件行为检测用于分析待检测文件的进程执行先后的行为。
[0008]在本专利技术的一个实施例中，上述服务端对待检测文件进行文件行为检测，得到最
终文件检测结果，包括：服务端对待检测文件的进程日志进行进程执行先后的行为分析，得到进程异常类型；服务端根据进程异常类型和待检测文件的文件来源，确定最终文件检测结果。
[0009]在本专利技术的一个实施例中，多个第二检测引擎包括：云沙箱检测引擎、云病毒检测引擎和云网页后门检测引擎中的至少一种。
[0010]在本专利技术的一个实施例中，上述方法还包括：服务端向云端发送待检测文件和第一文件检测结果，以便于云端基于第二检测样本库，利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测，得到第二文件检测结果，并根据第一文件检测结果和第二文件检测结果确定最终文件检测结果；服务端接收云端发送的最终检测结果。
[0011]在本专利技术的一个实施例中，上述方法还包括：服务端向云端发送最终文件检测结果；服务端接收云端实时或定期发送的历史检测结果；服务端向终端发送历史检测结果。
[0012]在本专利技术的一个实施例中，上述方法还包括：服务端获取云端发送的第一检测样本库，其中，第一检测样本库包括与云端连接的多个服务端的检测样本。
[0013]在本专利技术的一个实施例中，上述方法还包括：服务端获取待检测文件的告警日志；服务端保存告警日志，以便于利用告警日志进行溯源分析。
[0014]在本专利技术的一个实施例中，上述方法还包括：服务端解析待检测文件的文件头信息，得到待检测文件的文件类型；服务端根据文件类型从多个第一检测引擎中选择第一目标检测引擎，其中第一目标检测引擎的检测范围包括文件类型，其中，上述利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测，包括：利用第一目标检测引擎对待检测文件进行文件检测。
[0015]在本专利技术的一个实施例中，多个第一检测引擎包括：系统配置文件检测引擎、病毒检测引擎、网页后门检测引擎和可执行文件检测引擎中的至少一种。
[0016]根据本专利技术实施例的第二方面，提供一种文件检测方法，包括：终端获取待检测文件和历史检测结果，其中历史检测结果是基于与云端连接的多个服务端的文件检测结果得到的，并且是通过服务端从云端接收的；终端在历史检测结果中未记录待检测文件的检测结果时，将待检测文件发送至服务端，以便服务端对待检测文件进行文件检测。
[0017]根据本专利技术实施例的第三方面，提供一种文件检测方法，包括：云端接收多个服务端上报的文件检测结果；云端根据文件检测结果确定历史检测结果，历史检测结果包括多个服务端的文件检测结果；云端通过服务端向终端发送历史检测结果，以便终端确定历史检测结果中未记录待检测文件的文件检测结果时向服务端发送待检测文件。
[0018]在本专利技术的一个实施例中，上述方法还包括：云端接收服务端发送的待检测文件和第一文件检测结果，其中，第一文件检测结果是服务端基于第一检测样本库，利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测所得到的；云端基于第二检测样本库，利用云端部署的一个或多个第二检测引擎对待检测文件进行文件检测，得到第二文件检测结果；云端根据第一文件检测结果和第二文件检测结果确定最终文件检测结果；云端通过服务端将最终文件检测结果发送至终端。
[0019]根据本专利技术实施例的第四方面，提供一种文件检测系统，包括终端、服务端和云端，其中，服务端获取云端的历史检测结果和第一检测样本库，并将历史检测结果发送至终端，第一检测样本库包括与云端连接的多个服务端的检测样本，历史检测结果包括与云端
连接的多个服务端的历史检测记录；终端用于当历史检测结果中未记录待检测文件的文件检测结果时，将待检测文件发送至服务端；服务端基于第一检测样本库，利用服务端部署的一个或多个第一检测引擎对待检测文件进行文件检测，获取第一文件检测结果；服务端还用于将待检测文件发送至云端；云端基于第二检测样本库，利用一个或多个第二检测引擎对待检测文件进行文件检测，获取第二文件检测结果；服务端或云端根据第一文件检测结果和第二文件检测结果，获得最终文件检测结果，并将最终文件检测结果发送至终端。
[0020]根据本专利技术实施例的第五方面，提供一种文件检测装置，包括：接收模块，用于服务端接收终端发送的待检测文件，其中，服务端被配置为从云端接收历史检测结果并向终端发送历史检测结果，以便终端确定历史检测结果中未记录待检测文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种文件检测方法，其特征在于，包括：服务端接收终端发送的待检测文件，其中，所述服务端被配置为从云端接收历史检测结果并向所述终端发送所述历史检测结果，以便所述终端确定所述历史检测结果中未记录所述待检测文件的文件检测结果时向所述服务端发送所述待检测文件，所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到的；所述服务端基于第一检测样本库，利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测，得到第一文件检测结果；所述服务端向所述终端发送根据所述第一文件检测结果得到的最终文件检测结果。2.根据权利要求1所述的文件检测方法，其特征在于，还包括：所述服务端向所述云端发送所述待检测文件，以便于所述云端基于第二检测样本库，利用所述云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测，得到第二文件检测结果；所述服务端接收所述云端发送的所述第二文件检测结果；其中，所述服务端向所述终端发送根据所述第一文件检测结果得到的最终文件检测结果，包括：所述服务端根据所述第一文件检测结果和所述第二文件检测结果，确定所述最终文件检测结果，并向所述终端发送所述最终文件检测结果。3.根据权利要求2所述的文件检测方法，其特征在于，所述服务端根据所述第一文件检测结果和所述第二文件检测结果，确定所述最终文件检测结果，包括：当所述第一文件检测结果和所述第二文件检测结果均表示所述待检测文件为恶意文件时，确定所述最终文件检测结果为恶意文件；或者当所述第一文件检测结果和所述第二文件检测结果均表示所述待检测文件为安全文件时，确定所述最终文件检测结果为安全文件；或者当所述第一文件检测结果和所述第二文件检测结果中的至少一个无法确定文件检测结果或检测结果不一致时，所述服务端对所述待检测文件进行文件行为检测，得到所述最终文件检测结果，所述文件行为检测用于分析所述待检测文件的进程执行先后的行为。4.根据权利要求3所述的文件检测方法，其特征在于，所述服务端对所述待检测文件进行文件行为检测，得到所述最终文件检测结果，包括：所述服务端对所述待检测文件的进程日志进行进程执行先后的行为分析，得到进程异常类型；所述服务端根据所述进程异常类型和所述待检测文件的文件来源，确定所述最终文件检测结果。5.根据权利要求1所述的文件检测方法，其特征在于，还包括：所述服务端向所述云端发送所述待检测文件和所述第一文件检测结果，以便于所述云端基于第二检测样本库，利用所述云端部署的一个或多个第二检测引擎对所述待检测文件进行文件检测，得到第二文件检测结果，并根据所述第一文件检测结果和所述第二文件检测结果确定所述最终文件检测结果；所述服务端接收所述云端发送的所述最终检测结果。6.根据权利要求1至5中任一项所述的文件检测方法，其特征在于，还包括：
所述服务端向所述云端发送所述最终文件检测结果；所述服务端接收所述云端实时或定期发送的所述历史检测结果；所述服务端向所述终端发送所述历史检测结果。7.根据权利要求1至5中任一项所述的文件检测方法，其特征在于，还包括：所述服务端获取所述云端发送的所述第一检测样本库，其中，所述第一检测样本库包括与所述云端连接的多个服务端的检测样本。8.根据权利要求1至5中的任一项所述的文件检测方法，其特征在于，还包括：所述服务端获取所述待检测文件的告警日志；所述服务端保存所述告警日志，以便于利用所述告警日志进行溯源分析。9.根据权利要求1至5中的任一项所述的文件检测方法，其特征在于，还包括：所述服务端解析所述待检测文件的文件头信息，得到所述待检测文件的文件类型；所述服务端根据所述文件类型从所述多个第一检测引擎中选择第一目标检测引擎，其中所述第一目标检测引擎的检测范围包括所述文件类型，其中，所述利用所述服务端部署的一个或多个第一检测引擎对所述待检测文件进行文件检测，包括：利用所述第一目标检测引擎对所述待检测文件进行文件检测。10.一种文件检测方法，其特征在于，包括：终端获取待检测文件和历史检测结果，其中所述历史检测结果是基于与所述云端连接的多个服务端的文件检测结果得到...

【专利技术属性】
技术研发人员：刘弋龙，陈杰，薛锋，赵林林，童兆丰，
申请(专利权)人：北京微步在线科技有限公司，
类型：发明
国别省市：