基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)，首先通過查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，對(duì)目標(biāo)程序進(jìn)行查重判定，對(duì)于無記錄的目標(biāo)程序進(jìn)行格式識(shí)別，對(duì)于包裹文件進(jìn)行解壓縮，計(jì)算非包裹文件或者包裹文件及其解包后得到的子文件的散列值，并生成散列表，將其更新到服務(wù)端或者云端的白名單列表中，隨后將該散列表分發(fā)至客戶端，用于客戶端的白名單列表的更新。從而，避免了客戶端將程序及其子文件發(fā)送至服務(wù)端或者云端進(jìn)行查詢，減輕了服務(wù)端或者云端的處理壓力。
【專利說明】基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】，尤其涉及基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)。
【背景技術(shù)】
[0002]目前的殺毒軟件，當(dāng)用戶客戶端進(jìn)行軟件安裝的時(shí)候，通常采用查詢黑名單和白名單的方法對(duì)安裝時(shí)產(chǎn)生的新文件進(jìn)行檢測(cè)。對(duì)于一個(gè)新的并且安全的安裝程序包，在進(jìn)行安裝的時(shí)候，會(huì)形成新的一批需要被加入白名單的文件，該部分白名單文件并不存在于現(xiàn)有的黑白名單列表中。在現(xiàn)有的云查殺系統(tǒng)中，較為傳統(tǒng)的辦法都是依靠用戶客戶端對(duì)新產(chǎn)生的文件進(jìn)行采集之后發(fā)送相關(guān)文件到服務(wù)端或者云端，服務(wù)端或者云端進(jìn)行分析和判斷之后將判定結(jié)果反饋給客戶端。此時(shí)，如果客戶端數(shù)量較多，需要部署程序的客戶端都將相關(guān)文件上發(fā)至服務(wù)端或者云端，服務(wù)端或者云端的壓力很大，通過上傳、判定、再反饋，所花費(fèi)的時(shí)間也相對(duì)增長(zhǎng)，效率大大降低。

【發(fā)明內(nèi)容】

[0003]針對(duì)上述技術(shù)問題，本發(fā)明提供了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)，該方法通過自解壓技術(shù)和格式識(shí)別技術(shù)，在服務(wù)端或者云端完成白名單列表的更新，并分發(fā)至客戶端，從而減輕了服務(wù)端或者云端的處理壓力，并且提高了程序的部署效率。
[0004]本發(fā)明采用如下方法來實(shí)現(xiàn):基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法，包括:
步驟1、獲取目標(biāo)程序，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在目標(biāo)程序的記錄:
如果無記錄，則繼續(xù)執(zhí)行步驟2 ;否則終止執(zhí)行；
步驟2、在服務(wù)端或者云端對(duì)目標(biāo)程序進(jìn)行格式識(shí)別:
如果目標(biāo)程序?yàn)榘募?，則執(zhí)行步驟3 ;否則對(duì)于非包裹文件執(zhí)行步驟4 ；
步驟3、對(duì)包裹文件進(jìn)行解壓處理，隨后對(duì)于包裹文件本身及其解壓后得到的子文件執(zhí)行步驟4 ；
步驟4、計(jì)算文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中；
步驟5、將所述散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表?？蛻舳丝梢允褂么藭r(shí)的客戶端的白名單列表對(duì)目標(biāo)程序及其解包后得到的子文件進(jìn)行判定。
[0005]如果無法確定目標(biāo)程序的安全性，在執(zhí)行步驟4所述的計(jì)算文件的散列值之前，還包括:利用反病毒引擎對(duì)所述文件進(jìn)行檢測(cè)，判定文件是否可信:
如果可信，則對(duì)可信的文件執(zhí)行步驟4 ;否則，則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行。所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。[0006]反病毒引擎可以采用本地特征庫進(jìn)行檢測(cè)或者采用云檢測(cè)。
[0007]基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的系統(tǒng)，包括:
查重模塊，用于獲取目標(biāo)程序，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在目標(biāo)程序的記錄:
如果無記錄，則將目標(biāo)程序發(fā)送至格式識(shí)別模塊；否則終止執(zhí)行；
格式識(shí)別模塊，用于接收來自查重模塊的目標(biāo)程序，在服務(wù)端或者云端對(duì)目標(biāo)程序進(jìn)行格式識(shí)別:
如果目標(biāo)程序?yàn)榘募瑒t將其發(fā)送至自解壓模塊；否則將非包裹文件發(fā)送至更新模塊；
自解壓模塊，用于接收來自格式識(shí)別模塊的包裹文件，對(duì)包裹文件進(jìn)行解壓處理，隨后將包裹文件本身及其解包后得到的子文件發(fā)送至更新模塊；
更新模塊，用于接收格式識(shí)別模塊或者自解壓模塊發(fā)送來的文件，計(jì)算文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中，并將散列表發(fā)送至分發(fā)模塊；
分發(fā)模塊，用于將來自更新模塊的散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表?？蛻舳丝梢允褂么藭r(shí)的客戶端的黑白名單數(shù)據(jù)庫中的白名單列表對(duì)目標(biāo)程序及其解包后得到的子文件進(jìn)行判定。
[0008]如果無法確定目標(biāo)程序的安全性，系統(tǒng)還包括檢測(cè)模塊，在更新模塊接收發(fā)送來的文件，計(jì)算文件的散列值之前，所述檢測(cè)模塊利用反病毒引擎對(duì)所述文件進(jìn)行檢測(cè)，判定文件是否可/[目:
如果可信，則將可信的文件發(fā)送至更新模塊；否則，則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行。
[0009]所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
[0010]反病毒引擎可以采用本地特征庫進(jìn)行檢測(cè)或者采用云檢測(cè)。
[0011]綜上所述，本發(fā)明提供了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)，首先在服務(wù)端或者云端對(duì)目標(biāo)程序進(jìn)行查重處理，對(duì)于在服務(wù)端或者云端的黑白名單數(shù)據(jù)庫中無記錄的目標(biāo)程序進(jìn)行格式識(shí)別，對(duì)于包裹文件進(jìn)行解壓縮，計(jì)算非包裹文件或者包裹文件及其解包后得到的子文件的散列值，生成散列表，并將其更新至服務(wù)端或者云端的白名單列表和客戶端的白名單列表中。通過上述方案更新了客戶端的白名單列表后，省去了將文件上傳至服務(wù)端或者云端進(jìn)行判定的步驟，即可在本地客戶端進(jìn)行判斷，從而減輕了服務(wù)器端或者云端的處理壓力，并且節(jié)省了將相關(guān)文件進(jìn)行上傳、判定和反饋所需的時(shí)間，進(jìn)而提高了目標(biāo)程序的部署效率。
【專利附圖】

【附圖說明】
[0012]為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0013]圖1為本發(fā)明提供的基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法流程圖； 圖2為本發(fā)明提供的基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的系統(tǒng)結(jié)構(gòu)圖?！揪唧w實(shí)施方式】
[0014]本發(fā)明給出了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)，為了使本【技術(shù)領(lǐng)域】的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法，這里以安裝包為例，如圖1所示，包括:
SlOl獲取安裝包，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在安裝包的記錄:
如果無記錄，則繼續(xù)執(zhí)行S102 ;否則，則終止執(zhí)行；
服務(wù)端或者云端的黑白名單數(shù)據(jù)庫與客戶端的黑白名單數(shù)據(jù)庫中存儲(chǔ)的內(nèi)容一致，為黑名單列表與白名單列表；所述無記錄，即為通過查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫的黑名單列表與白名單列表后，并沒有發(fā)現(xiàn)該安裝包的相關(guān)記錄；所述有記錄，即通過查詢黑名單列表與白名單列表后，發(fā)現(xiàn)了該安裝包的相關(guān)記錄；
S102在服務(wù)端或者云端對(duì)安裝包進(jìn)行格式識(shí)別，查看是否為包裹文件:如果是，則執(zhí)行 S103 ；
如果否，則對(duì)于非包裹文件執(zhí)行S104 ；
S103對(duì)包裹文件進(jìn)行解壓處理，隨后對(duì)于包裹文件本身及其解包后得到的子文件執(zhí)行 S104 ；
S104利用反病毒引擎對(duì)文件進(jìn)行檢測(cè)，檢測(cè)文件是否為可信的文件:
如果可信，則繼續(xù)執(zhí)行S105 ；
否則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行；所述反病毒引擎可以采用本地特征庫進(jìn)行檢測(cè)或者采用云檢測(cè)；
S105計(jì)算所述文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中；所述文件包括:非包裹文件或者包裹文件及其解包后得到的子文件。
[0015]S106將所述散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表。
[0016]其中，S104為可選的步驟，當(dāng)無法確定安裝包是否是安全的情況下，則需要執(zhí)行S104 ;如果可以確定安裝包的合法來源，則不需要執(zhí)行S104。
[0017]本發(fā)明還提供了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的系統(tǒng)，同樣以安裝包為例，如圖2所示,包括:
查重模塊201，用于獲取安裝包，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在安裝包的記錄:
如果無記錄，則將安裝包發(fā)送至格式識(shí)別模塊202 ;否則終止執(zhí)行；
格式識(shí)別模塊202，用于接收來自查重模塊201的安裝包，在服務(wù)端或者云端對(duì)安裝包進(jìn)行格式識(shí)別:
如果安裝包為包裹文件，則將其發(fā)送至自解壓模塊203 ；
否則將非包裹文件發(fā)送至檢測(cè)模塊204 ；
自解壓模塊203，用于接收來自格式識(shí)別模塊202的包裹文件，對(duì)包裹文件進(jìn)行解壓處理，隨后將包裹文件本身及其解包后得到的子文件發(fā)送至檢測(cè)模塊204 ；
檢測(cè)模塊204，接收來自格式識(shí)別模塊202的非包裹文件或者來自自解壓模塊203的包裹文件本身及其解包后得到的子文件，利用反病毒引擎對(duì)所述文件進(jìn)行檢測(cè):
如果文件為可信的文件，則將文件發(fā)送至更新模塊205 ；
否則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行；
更新模塊205，用于接收發(fā)送來的文件，計(jì)算文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中，并將散列表發(fā)送至分發(fā)模塊206 ；
分發(fā)模塊206，用于將來自更新模塊205的散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表。
[0018]其中，檢測(cè)模塊204在本系統(tǒng)中為可選的，當(dāng)無法確定安裝包是否是安全的情況下，則需要包括檢測(cè)模塊204;如果可以確定該安裝包的合法來源，則不需要包括檢測(cè)模塊204。
[0019]如上所述，本發(fā)明給出了基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法及系統(tǒng)，其與傳統(tǒng)方法的區(qū)別在于，對(duì)于傳統(tǒng)方法來說，為了判定客戶端接收的文件是否為新加入的白名單文件，要進(jìn)行采集并發(fā)送到服務(wù)端或云端進(jìn)行查詢，本技術(shù)方案將待部署的安裝包在服務(wù)端或者云端進(jìn)行格式識(shí)別，對(duì)于包裹文件進(jìn)行解壓縮，計(jì)算所得到文件的散列值，將文件的散列表更新至服務(wù)端或者云端的白名單列表中，并分發(fā)至客戶端，此時(shí)，可以在客戶端對(duì)所述文件進(jìn)行判斷，所以節(jié)省了將文件發(fā)送至服務(wù)端或者云端的步驟，減輕了服務(wù)端或者云端的處理壓力，節(jié)省了時(shí)間。
[0020]以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
【權(quán)利要求】
1.基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的方法，其特征在于: 步驟1、獲取目標(biāo)程序，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在目標(biāo)程序的記錄: 如果無記錄，則繼續(xù)執(zhí)行步驟2 ;否則終止執(zhí)行； 步驟2、在服務(wù)端或者云端對(duì)目標(biāo)程序進(jìn)行格式識(shí)別: 如果目標(biāo)程序?yàn)榘募?，則執(zhí)行步驟3 ;否則對(duì)于非包裹文件執(zhí)行步驟4 ； 步驟3、對(duì)包裹文件進(jìn)行解壓處理，隨后對(duì)于包裹文件本身及其解包后得到的子文件執(zhí)行步驟4 ； 步驟4、計(jì)算文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中； 步驟5、將所述散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表。
2.如權(quán)利要求1所述的方法，其特征在于，在執(zhí)行步驟4之前，還包括:利用反病毒引擎對(duì)所述文件進(jìn)行檢測(cè)，判定文件是否可信: 如果可信，則對(duì)可信的文件執(zhí)行步驟4 ;否則，則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行。
3.如權(quán)利要求2所述的方法，其特征在于，所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
4.基于自解壓技術(shù)的黑白名單自動(dòng)化動(dòng)態(tài)維護(hù)的系統(tǒng)，其特征在于，包括: 查重模塊，用于獲取目標(biāo)程序，查詢服務(wù)端或者云端的黑白名單數(shù)據(jù)庫，判定是否已經(jīng)存在目標(biāo)程序的記錄: 如果無記錄，則將目標(biāo)程序發(fā)送至格式識(shí)別模塊；否則終止執(zhí)行； 格式識(shí)別模塊，用于接收來自查重模塊的目標(biāo)程序，在服務(wù)端或者云端對(duì)目標(biāo)程序進(jìn)行格式識(shí)別: 如果目標(biāo)程序?yàn)榘募瑒t將其發(fā)送至自解壓模塊； 否則將非包裹文件發(fā)送至更新模塊； 自解壓模塊，用于接收來自格式識(shí)別模塊的包裹文件，對(duì)包裹文件進(jìn)行解壓處理，隨后將包裹文件本身及其解包后得到的子文件發(fā)送至更新模塊； 更新模塊，用于接收格式識(shí)別模塊或者自解壓模塊發(fā)送來的文件，計(jì)算文件的散列值，得到文件的散列表，將散列表更新到服務(wù)端或者云端的白名單列表中，并將散列表發(fā)送至分發(fā)模塊； 分發(fā)模塊，用于將來自更新模塊的散列表分發(fā)到各個(gè)客戶端，更新客戶端的白名單列表。
5.如權(quán)利要求4所述的系統(tǒng)，其特征在于，還包括檢測(cè)模塊，在更新模塊接收發(fā)送來的文件，計(jì)算文件的散列值之前，所述檢測(cè)模塊利用反病毒引擎對(duì)所述文件進(jìn)行檢測(cè)，判定文件是否可/[目: 如果可信，則將可信的文件發(fā)送至更新模塊；否則，則上報(bào)檢測(cè)結(jié)果，并終止執(zhí)行。
6.如權(quán)利要求5所述的系統(tǒng)，其特征在于，所述文件包括:非包裹文件或者包裹文件本身及其解包后得到的子文件。
【文檔編號(hào)】H04L29/06GK103532730SQ201210233283
【公開日】2014年1月22日 申請(qǐng)日期:2012年7月6日 優(yōu)先權(quán)日:2012年7月6日
【發(fā)明者】肖新光, 沈長(zhǎng)偉, 李石磊 申請(qǐng)人:哈爾濱安天科技股份有限公司