[发明专利]文件安全处理方法、设备及系统

说明书

技术领域

本发明涉及互联网应用技术和通信技术，尤其涉及一种云计算环境下文件安全处理方法、设备及系统。

背景技术

随着各行各业信息化进程的深入发展，互联网在各领域的应用越来越广泛。随着网络技术的发展及网络经济的繁荣，人们在利用互联网获取各类软件资源及有用信息的同时，也有人利用这些资源在互联网上的计算机之间传播各类病毒，包括各类文件型病毒、网络蠕虫等，以达到其窃取有用数据或信息、破坏服务或数据、耗费系统资源等不可告人的目的。

目前，针对网络蠕虫已有根据网络流量进行检测和识别的方法。而文件型病毒却因为寄生于用户有用程序中，而且病毒变种繁多，检测困难，病毒发作时直接影响用户终端的使用，给用户造成极大的不便，也给其隐私及利益带来很大的风险。

现有的大多数病毒查杀软件是基于病毒特征码结合人工的方式进行查杀。在用户终端上存储有病毒特征库，当防病毒引擎进行病毒查杀时，将程序体中与特征库中的特征码进行比对，判断是否感染病毒。如果程序文件感染病毒，则根据感染不同情况对感染文件进行处理，如感染不太复杂的病毒，则可通过删除病毒代码恢复原有程序文件；如感染的病毒代码较复杂，则只能删除整个程序文件或隔离该文件。

对于现有技术中的文件型病毒查杀技术方案，至少存在以下四种缺陷：

(1)需要频繁升级病毒特征库：终端对病毒的检测与查杀依赖于程序体中的病毒代码与本地预先储存的病毒特征库，因此随着病毒代码更新频繁，用于防病毒比对的病毒代码库也需要频繁升级；

(2)难以识别未知病毒：防病毒引擎工作最核心的部分是代码比对，而对于在预置的病毒特征库里没有对应的代码的病毒发生感染时，防病毒引擎则只能根据程序体中的实际病毒代码进行一些尝试性查杀；对病毒变种日趋多样化的今天，传统的杀毒软件疲于应付；

(3)容易造成感染的文件不可用：由于病毒的复杂性和加密性，通常防病毒软件即使识别出程序体中的病毒代码，但由于病毒代码采用的加密技术复杂而难以解密出恢复程序文件所需的有效数据；通常防病毒软件为了防止病毒再次感染，只能采用隔离或删除整个原有文件的方式进行处理；

(4)占用系统资源大：由于病毒的检测、比对、分析与处理均在用户终端上完成，因此消耗用户终端CPU及RAM资源大。

发明内容

本发明的目的是提出一种文件安全处理方法、设备及系统，能够基于云计算环境对文件型病毒进行查杀，以及对感染的文件进行修复，而无须频繁升级病毒特征库，对未知病毒也可以进行查杀，并且可以修复感染文件，占用较少的用户终端的资源。

为实现上述目的，本发明提供了一种文件安全处理方法，包括：

在终端启动防病毒功能时，采集本地的目标可移植可执行PE文件的文件属性信息，并计算目标PE文件的文件特征码；

终端将所述目标PE文件的特征信息发送到服务器，所述特征信息包括文件特征码、文件属性信息和文件属性变更记录；

所述服务器将接收的特征信息与预置的标准文件特征库进行比对，判断所述目标PE文件是否被病毒感染，并根据判断结果生成不同的处理策略，并派发到所述终端；

所述终端根据接收到的所述处理策略进行目标PE文件的处理。

为实现上述目的，本发明提供了一种基于云计算环境的终端，包括：

属性信息采集模块，用于在所述终端启动防病毒功能时，采集本地的目标PE文件的文件属性信息；

特征码计算模块，用于计算目标PE文件的文件特征码；

特征信息发送模块，用于将所述目标PE文件的特征信息发送到服务器，所述特征信息包括文件特征码、文件属性信息和文件属性变更记录；

策略接收模块，用于接收所述服务器返回的处理策略；

策略处理模块，用于根据接收到的所述处理策略进行目标PE文件的处理。

为实现上述目的，本发明提供了一种基于云计算环境的服务器，包括：

特征信息接收模块，用于接收终端发送的目标PE文件的特征信息，所述特征信息包括文件特征码、文件属性信息和文件属性变更记录；

标准文件特征库，用于保存互联网中通用的PE文件及PE文件的特征码和文件属性信息；

特征信息比对模块，用于将接收的特征信息与预置的标准文件特征库进行比对，判断所述目标PE文件是否被病毒感染；

处理策略派发模块，用于根据判断结果生成不同的处理策略，并派发到所述终端。

为实现上述目的，本发明提供了一种基于云计算环境的探针设备，包括：