一種文件行為的監(jiān)控方法及用戶設(shè)備的制作方法
【專利摘要】本發(fā)明提供了一種文件行為的監(jiān)控方法及用戶設(shè)備。方法包括：監(jiān)控到第一文件的行為，計算所述第一文件的特征值；將所述第一文件的特征值與第一病毒庫中特征值進行比較，得到第一比較結(jié)果，所述第一病毒庫為本地殺毒軟件的病毒庫；如果所述第一比較結(jié)果為合法，將所述第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，所述第二病毒庫為從云服務器下載到本地的病毒庫；如果所述第二比較結(jié)果為合法，對所述第一文件的行為進行放行；如果所述第二比較結(jié)果為不合法，對所述第一文件的行為進行攔截。用戶設(shè)備包括：處理器，用于執(zhí)行上述方法。
【專利說明】一種文件行為的監(jiān)控方法及用戶設(shè)備

【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及安全【技術(shù)領(lǐng)域】，尤其涉及一種文件行為的監(jiān)控方法及用戶設(shè)備。

【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的迅速發(fā)展，病毒、木馬等惡意軟件的傳播速度越來越快，對于用戶設(shè)備(User Equipment，簡稱為:UE)的破壞能力也越來越強。為了有效抑制惡意軟件，常用的UE如智能手機、個人電腦等都會安裝殺毒軟件。通常情況下，殺毒軟件在安裝時會預置有病毒庫，并在后續(xù)的使用過程中通過不斷更新病毒庫來識別不斷變化的病毒、木馬等。
[0003]病毒庫直接影響到殺毒軟件對于UE的保護是否有效。如果UE上的殺毒軟件病毒庫不夠全、更新不夠及時，一些非法的文件行為很可能會被殺毒軟件識別為合法，并做放行處理。


【發(fā)明內(nèi)容】

[0004]本發(fā)明的目的在于提供一種文件行為的監(jiān)控方法及用戶設(shè)備，為UE提供更為有效的保護。
[0005]為達到上述目的，一方面，本發(fā)明提供了一種文件行為的監(jiān)控方法，包括:
[0006]監(jiān)控到第一文件的行為，計算所述第一文件的特征值；
[0007]將所述第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，所述第一病毒庫為本地殺毒軟件的病毒庫；
[0008]如果所述第一比較結(jié)果為合法，將所述第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，所述第二病毒庫為從云服務器下載到本地的病毒庫；
[0009]如果所述第二比較結(jié)果為合法，對所述第一文件的行為進行放行；
[0010]如果所述第二比較結(jié)果為不合法，對所述第一文件的行為進行攔截。
[0011]另一方面，本發(fā)明提供了一種用戶設(shè)備，包括:處理器，用于:
[0012]監(jiān)控到第一文件的行為，計算所述第一文件的特征值；
[0013]將所述第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，所述第一病毒庫為本地殺毒軟件的病毒庫；
[0014]如果所述第一比較結(jié)果為合法，將所述第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，所述第二病毒庫為從云服務器下載到本地的病毒庫；
[0015]如果所述第二比較結(jié)果為合法，對所述第一文件的行為進行放行；
[0016]如果所述第二比較結(jié)果為不合法，對所述第一文件的行為進行攔截。
[0017]本發(fā)明提供的文件行為的監(jiān)控方法及用戶設(shè)備，采用的是兩級病毒庫比對的方式，在本地病毒庫認為文件行為合法的情況下，將文件的特征值與從云服務器下載的黑/白名單進行比較，如果比較結(jié)果仍然為合法，才會將文件行為放行，如果比較結(jié)果為不合法，尊重從云服務器下載的黑/白名單的判斷，對文件行為進行攔截。由于云服務器下載的黑/白名單的權(quán)威性，有效保證了監(jiān)控文件行為的有效性。

【專利附圖】

【附圖說明】
[0018]通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本發(fā)明的其它特征、目的和優(yōu)點將會變得更明顯:
[0019]圖1為本發(fā)明實施例一提供的文件行為的監(jiān)控方法流程圖；
[0020]圖2為本發(fā)明實施例二提供的用戶設(shè)備的結(jié)構(gòu)示意圖；
[0021]圖3為本發(fā)明實施例三提供的用戶設(shè)備的結(jié)構(gòu)示意圖；
[0022]圖4為本發(fā)明實施例四提供的用戶設(shè)備的結(jié)構(gòu)示意圖。

【具體實施方式】
[0023]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明的實施例作詳細描述。
[0024]下面詳細描述本發(fā)明的實施例，所述實施例的示例在附圖中示出，其中自始至終相同或類似的標號表示相同或類似的元件或具有相同或類似功能的元件。下面通過參考附圖描述的實施例是示例性的，僅用于解釋本發(fā)明，而不能理解為對本發(fā)明的限制。相反，本發(fā)明的實施例包括落入所附加權(quán)利要求書的精神和內(nèi)涵范圍內(nèi)的所有變化、修改和等同物。
[0025]在本發(fā)明的描述中，需要理解的是，術(shù)語“第一”、“第二”等僅用于描述目的，而不能理解為指示或暗示相對重要性。在本發(fā)明的描述中，需要說明的是，除非另有明確的規(guī)定和限定，術(shù)語“相連”、“連接”應做廣義理解，例如，可以是固定連接，也可以是可拆卸連接，或一體地連接；可以是機械連接，也可以是電連接；可以是直接相連，也可以通過中間媒介間接相連。對于本領(lǐng)域的普通技術(shù)人員而言，可以具體情況理解上述術(shù)語在本發(fā)明中的具體含義。此外，在本發(fā)明的描述中，除非另有說明，“多個”的含義是兩個或兩個以上。
[0026]流程圖中或在此以其他方式描述的任何過程或方法描述可以被理解為，表示包括一個或更多個用于實現(xiàn)特定邏輯功能或過程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實施方式的范圍包括另外的實現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時的方式或按相反的順序，來執(zhí)行功能，這應被本發(fā)明的實施例所屬【技術(shù)領(lǐng)域】的技術(shù)人員所理解。
[0027]首先請參考圖1，圖1為本發(fā)明實施例一提供的文件行為的監(jiān)控方法流程圖，該方法包括:
[0028]步驟1、UE監(jiān)控到第一文件的行為，計算該第一文件的特征值。
[0029]對于步驟I中需要說明的是，監(jiān)控文件行為的動作可以由安裝在UE上的殺毒軟件來執(zhí)行，也可以是UE上的特定程序來執(zhí)行，此處不做限定，也并不用以限制本發(fā)明的保護范圍。第一文件為一種泛指，用以指代UE中的任意一個文件。第一文件的特征值可以但不限于是消息摘錄算法(Message Digest Algorithm,簡稱為:MD)5、循環(huán)冗余校驗碼(CyclicRedundancy Check,簡稱為:CRC)校驗、數(shù)字簽名、哈希(HASH)值等等。第一文件的行為可以但不限于包括:執(zhí)行、讀、寫。這里需要說明的是，第一文件的行為可以理解為涵蓋了第一文件的自主行為或者第一文件的被動行為。比如，第一文件去讀、寫、執(zhí)行其他文件，這是自主行為；第一文件被其他文件讀、寫，這是被動行為。
[0030]步驟2、UE將第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，其中的第一病毒庫為UE在本地安裝的殺毒軟件的病毒庫。
[0031]殺毒軟件可以根據(jù)病毒的特征來判斷文件是否為病毒和是否已經(jīng)感染病毒，而這些病毒的特征值會被記錄在一個文件中，這個文件就可以理解為病毒庫。
[0032]步驟3、如果步驟2中得到的第一比較結(jié)果為合法，將第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，其中的第二病毒庫為從云服務器下載到UE本地的病毒庫。
[0033]如果第二比較結(jié)果為合法，執(zhí)行步驟4 ；
[0034]如果第二比較結(jié)果為不合法，執(zhí)行步驟5。
[0035]云服務器可以理解為位于云端，具有最高權(quán)威性的服務器。從實體角度可以為一臺計算機，也可以為多臺計算機組成。通常情況下，云服務器中會收錄新出現(xiàn)的、頻繁出現(xiàn)的、常見的、甚至不常見的病毒文件，通過云服務器的分析整理形成最具權(quán)威性的黑/白名單。UE可以從云服務器中下載這些黑/白名單，以有效保證本地對于文件行為的監(jiān)控能力。
[0036]步驟4、對第一文件的行為進行放行。
[0037]步驟5、對第一文件的行為進行攔截。
[0038]本發(fā)明實施例提供的文件行為的監(jiān)控方法，采用的是兩級病毒庫比對的方式，在本地病毒庫認為文件行為合法的情況下，將文件的特征值與從云服務器下載的黑/白名單進行比較，如果比較結(jié)果仍然為合法，才會將文件行為放行，如果比較結(jié)果為不合法，尊重從云服務器下載的黑/白名單的判斷，對文件行為進行攔截。由于云服務器下載的黑/白名單的權(quán)威性，有效保證了監(jiān)控文件行為的有效性。
[0039]在上述實施方式的基礎(chǔ)上，該方法還可以包括:
[0040]步驟O、UE接收云服務器發(fā)送的更新消息，該更新消息中包括第二病毒庫的更新黑/白名單，根據(jù)更新黑/白名單對第二病毒庫進行更新。更新黑/白名單中可以但不限于包括:云服務器首次獲得的病毒文件的文件特征值，和/或，云服務器接收到的查詢頻率和/或查詢次數(shù)排列在前N位的病毒文件的文件特征值，和/或，某一個非病毒文件轉(zhuǎn)換為了病毒文件時，該文件的文件特征值；和/或，某一個病毒文件轉(zhuǎn)換為非病毒文件時，該文件的文件特征值。
[0041]為了保證在本地的第二病毒庫是最新的，就需要不斷的更新第二病毒庫。云服務器可以在滿足一定的觸發(fā)條件時向UE發(fā)送更新消息，這里所說的觸發(fā)條件可以但不限于包括以下一種或幾種:
[0042]1、到達了預設(shè)時間，即云服務器自主的在預設(shè)時間向UE發(fā)送更新消息，這個預設(shè)時間可以是一個時間，也可以是多個時間。
[0043]2、云服務器接收到了 UE的更新請求，即在UE端由用戶觸發(fā)或UE自動發(fā)送更新請求。
[0044]3、云服務器檢測到更新黑/白名單的大小大于或等于預設(shè)大小，即云服務器在生成更新黑/白名單的過程中，發(fā)現(xiàn)更新黑/白名單的大小已經(jīng)等于或者大于了預設(shè)大小，這時候可以將已生成的部分更新黑/白名單發(fā)送給UE。
[0045]4、緊急事件的發(fā)生，由云服務器的管理員手動觸發(fā)。
[0046]本發(fā)明實施例并不限制步驟O與步驟I?5之間的發(fā)生順序，也就是說，步驟O是可以隨時發(fā)生的，并不以步驟I?5中任意步驟的發(fā)生為前提，也并不需要步驟I?5中任意步驟進行承接。
[0047]在上述實施方式的基礎(chǔ)上，步驟O中提出的更新消息中還可以包括時間信息，該時間信息可以但不限于包括系統(tǒng)時間戳和/或病毒庫版本號，那么在步驟O之后，該方法還可以包括:
[0048]步驟0-A、UE對時間信息進行記錄。
[0049]時間信息的主要作用在于為UE提供參考，以根據(jù)時間信息判斷本地的第二病毒庫是否為最新。
[0050]在此基礎(chǔ)上，在步驟O-A之后，該方法還可以包括:
[0051]步驟0_B、UE檢測步驟0_A中記錄的時間/[目息，當時間/[目息為系統(tǒng)時間戮，且系統(tǒng)時間戳所代表的時間距離當前的檢測時間超過預設(shè)的時間長度，向云服務器發(fā)送更新請求；當時間信息為病毒庫版本號，且病毒庫版本號不是最新的病毒庫版本號，向云服務器發(fā)送更新請求。
[0052]也就是說，UE可以根據(jù)檢測時間與系統(tǒng)時間戳所代表的第二病毒庫的更新時間之間的時間差，來判斷第二病毒庫是否為最新的病毒庫，或者UE可以根據(jù)病毒庫版本號是否為最新的病毒庫版本號，來判斷第二病毒庫是否為最新的病毒庫。如果不是最新的病毒庫，需要主動向云服務器發(fā)送更新請求，有效保證了第二病毒庫在更新時間上的權(quán)威性。是否為最新的病毒庫版本號可以是根據(jù)預先設(shè)定的規(guī)則進行判斷，如間隔多長時間升級一次版本號等等。
[0053]在上述實施方式的基礎(chǔ)上，步驟4之后，該方法還可以包括:
[0054]步驟6、將第一文件的特征值加入到第一病毒庫的不可信名單中。
[0055]也就是說，第一病毒庫中對于該第一文件的判斷與第二病毒庫的判斷是不同的，而第二病毒庫作為權(quán)威數(shù)據(jù)庫，UE需要尊重第二病毒庫的判斷。也就是說，第一病毒庫中關(guān)于第一文件的記錄是不可信的，為了在后續(xù)的文件行為的監(jiān)控過程中更加便捷，可以建立第一病毒庫的不可信名單，出現(xiàn)在第一病毒庫的不可信名單中的文件的特征值，可以不用再與第一病毒庫相匹配。
[0056]基于上述考慮，在步驟2之前，該方法還可以包括:
[0057]步驟1-A、查詢第一病毒庫的不可信名單；
[0058]如果第一病毒庫的不可信名單中不包括第一文件的特征值，則執(zhí)行步驟2 ；
[0059]如果第一病毒庫的不可信名單中包括第一文件的特征值，則執(zhí)行步驟3。
[0060]需要說明的是，第一文件本身是一種代指，可以指任意文件，因此在本步驟中提到的第一文件與步驟6中提到的第一文件可以不是同一個文件，以避免可能引起的邏輯上的問題。
[0061]在上述實施例的基礎(chǔ)上，在步驟5之后，如果第一文件的行為對用戶設(shè)備造成了破壞，則該方法還可以包括:
[0062]步驟7、將第一文件上報給云服務器。
[0063]也就是說，第一文件很可能是一種新的病毒文件或者感染了新的病毒，需要上報給云服務器進行分析等動作。
[0064]本發(fā)明提供的文件行為的監(jiān)控方法可以使用可編程邏輯器件結(jié)合來實現(xiàn)，也可以實施為計算機程序軟件，例如根據(jù)本發(fā)明的實施例可以是一種計算機程序產(chǎn)品，運行該程序產(chǎn)品使計算機執(zhí)行用于所示范的方法。所述計算機程序產(chǎn)品包括計算機可讀存儲介質(zhì)，該介質(zhì)上包含計算機程序邏輯或代碼部分，用于實現(xiàn)所述移動終端的消息的內(nèi)容的處理方法。所述計算機可讀存儲介質(zhì)可以是被安裝在計算機中的內(nèi)置介質(zhì)或者可從計算機主體拆卸的可移動介質(zhì)(例如熱拔插技術(shù)存儲設(shè)備)。所述內(nèi)置介質(zhì)包括但不限于可重寫的非易失性存儲器，例如RAM、ROM、快閃存儲器和硬盤。所述可移動介質(zhì)包括但不限于:光存儲媒體(例如CD-ROM和DVD)、磁光存儲媒體(例如MO)、磁存儲媒體(例如盒帶或移動硬盤)、具有內(nèi)置的可重寫的非易失性存儲器的媒體(例如存儲卡)和具有內(nèi)置ROM的媒體(例如ROM盒)。
[0065]圖2為本發(fā)明實施例八提供的用戶設(shè)備的結(jié)構(gòu)示意圖，該用戶設(shè)備可以為電腦、手機等常用的用戶終端，執(zhí)行上述方法實施例的方法步驟，因此，具體的方法實現(xiàn)可以參考方法實施例，此處不做贅述。如圖2所示，該用戶設(shè)備包括:處理器6，該處理器6用于:
[0066]監(jiān)控到第一文件的行為，計算第一文件的特征值；
[0067]將第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，第一病毒庫為本地殺毒軟件的病毒庫；
[0068]如果第一比較結(jié)果為合法，將第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，第二病毒庫為從云服務器下載到本地的病毒庫；
[0069]如果第二比較結(jié)果為合法，對第一文件的行為進行放行；
[0070]如果第二比較結(jié)果為不合法，對第一文件的行為進行攔截。
[0071]其中，第一文件的行為包括但不限于:讀、寫、執(zhí)行等。
[0072]在上述實施方式的基礎(chǔ)上，如圖3所示，該用戶設(shè)備還可以包括接收器7，用于:接收云服務器發(fā)送的更新消息，更新消息中包括第二病毒庫的更新黑/白名單；
[0073]則處理器6還可以用于根據(jù)更新黑/白名單對第二病毒庫進行更新。
[0074]進一步的，該接收器7具體可以用于接收云服務器在滿足觸發(fā)條件時發(fā)送的更新消息，該觸發(fā)條件包括但不限于:到達預設(shè)時間；和/或，云服務器接收到用戶設(shè)備的更新請求；和/或，云服務器檢測到更新黑/白名單的大小大于或等于預設(shè)大小。
[0075]在上述實施方式的基礎(chǔ)上，接收器7接收到的更新消息中還可以包括:系統(tǒng)時間戳，則處理器6還可以用于:根據(jù)系統(tǒng)時間戳記錄第二病毒庫的更新時間。
[0076]進一步的，處理器6還可以用于檢測第二病毒庫的更新時間，則如圖4瑣事，該用戶設(shè)備還可以包括:發(fā)送器8，用于如果第二病毒庫的更新時間距離當前的檢測時間超過預設(shè)的時間長度，向云服務器發(fā)送更新請求。
[0077]上述提到的更新黑/白名單中包括:云服務器首次獲得的病毒文件特征值；和/或，云服務器接收到的查詢頻率和/或查詢次數(shù)排列在前N位的病毒文件特征值；和/或，由非病毒文件轉(zhuǎn)換為病毒文件的文件特征值；和/或，由病毒文件轉(zhuǎn)換為非病毒文件的文件特征值。
[0078]發(fā)送器8還可以用于:如果處理器對第一文件的行為進行放行后，第一文件的行為對用戶設(shè)備造成了破壞，將第一文件上報給云服務器。
[0079]本領(lǐng)域技術(shù)人員應當理解，任何具有適當編程裝置的計算機系統(tǒng)都將能夠執(zhí)行包含在程序產(chǎn)品中的本發(fā)明的方法的諸步驟。盡管本說明書中描述的多數(shù)【具體實施方式】都側(cè)重于軟件程序，但是作為固件和硬件實現(xiàn)本發(fā)明提供的方法的替代實施例同樣在本發(fā)明要求保護的范圍之內(nèi)。
[0080]以上所揭露的僅為本發(fā)明的一些較佳實施例而已，當然不能以此來限定本發(fā)明之權(quán)利范圍，因此依本發(fā)明權(quán)利要求所作的等同變化，仍屬本發(fā)明所涵蓋的范圍。
【權(quán)利要求】
1.一種文件行為的監(jiān)控方法，其特征在于，包括: 監(jiān)控到第一文件的行為，計算所述第一文件的特征值； 將所述第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，所述第一病毒庫為本地殺毒軟件的病毒庫； 如果所述第一比較結(jié)果為合法，將所述第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，所述第二病毒庫為從云服務器下載到本地的病毒庫； 如果所述第二比較結(jié)果為合法，對所述第一文件的行為進行放行； 如果所述第二比較結(jié)果為不合法，對所述第一文件的行為進行攔截。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，還包括: 接收云服務器發(fā)送的更新消息，所述更新消息中包括所述第二病毒庫的更新黑/白名單； 根據(jù)所述更新黑/白名單對所述第二病毒庫進行更新。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述接收云服務器發(fā)送的更新消息包括: 接收所述云服務器在滿足觸發(fā)條件時發(fā)送的更新消息； 所述觸發(fā)條件包括:到達預設(shè)時間；和/或，所述云服務器接收到用戶設(shè)備的更新請求；和/或，所述云服務器檢測到所述更新黑/白名單的大小大于或等于預設(shè)大小。
4.根據(jù)權(quán)利要求2或3所述的方法，其特征在于，所述更新消息中還包括:時間信息，所述時間信息為系統(tǒng)時間戳和/或病毒庫版本號；則所述接收云服務器發(fā)送的更新消息之后，所述方法還包括:對所述時間信息進行記錄。
5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述方法還包括: 檢測所述時間信息； 當所述時間信息為系統(tǒng)時間戳，且所述系統(tǒng)時間戳所代表的時間距離當前的檢測時間超過預設(shè)的時間長度，向所述云服務器發(fā)送更新請求； 當所述時間信息為病毒庫版本號，且所述病毒庫版本號不是最新的病毒庫版本號，向所述云服務器發(fā)送更新請求。
6.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述更新黑/白名單中包括:所述云服務器首次獲得的病毒文件特征值；和/或，所述云服務器接收到的查詢頻率和/或查詢次數(shù)排列在前N位的病毒文件特征值；和/或，由非病毒文件轉(zhuǎn)換為病毒文件的文件特征值；和/或，由病毒文件轉(zhuǎn)換為非病毒文件的文件特征值。
7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述對所述第一文件的行為進行放行后，如果所述第一文件的行為對用戶設(shè)備造成了破壞，所述方法還包括: 將所述第一文件上報給所述云服務器。
8.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一文件的行為包括:讀、寫、執(zhí)行。
9.一種用戶設(shè)備，其特征在于，包括:處理器，用于: 監(jiān)控到第一文件的行為，計算所述第一文件的特征值； 將所述第一文件的特征值與第一病毒庫中的特征值進行比較，得到第一比較結(jié)果，所述第一病毒庫為本地殺毒軟件的病毒庫； 如果所述第一比較結(jié)果為合法，將所述第一文件的特征值與第二病毒庫中的黑/白名單進行比較，得到第二比較結(jié)果，所述第二病毒庫為從云服務器下載到本地的病毒庫； 如果所述第二比較結(jié)果為合法，對所述第一文件的行為進行放行； 如果所述第二比較結(jié)果為不合法，對所述第一文件的行為進行攔截。
10.根據(jù)權(quán)利要求9所述的用戶設(shè)備，其特征在于，還包括:接收器，用于:接收云服務器發(fā)送的更新消息，所述更新消息中包括所述第二病毒庫的更新黑/白名單； 所述處理器還用于:根據(jù)所述更新黑/白名單對所述第二病毒庫進行更新。
【文檔編號】G06F21/51GK104424429SQ201310370364
【公開日】2015年3月18日 申請日期:2013年8月22日 優(yōu)先權(quán)日:2013年8月22日
【發(fā)明者】武廣柱, 馮曉龍, 趙禪 申請人:安一恒通（北京）科技有限公司