[发明专利]一种对待运行文件进行安全防御的方法

说明书

技术领域

本发明属于安全防御技术领域，尤其涉及一种对待运行文件进行安全防御的方法。

背景技术

传统的病毒防御技术,会根据已有的特征库以及动态检测技术，对病毒威胁进行主动防御，但是由于病毒样本的日新月异、更新变化快，新的病毒样本层出不穷，在匹配完特征库以及主动防御后，仍然存在未能确认为安全文件的样本，当这些未能经过安全确认的文件进入到用户端以后，很可能会对系统造成威胁。

所以，现有的关于对病毒进行安全防御的技术中，由于不能完全确认进入系统的文件的安全性，使得系统存在受病毒威胁的隐患。

发明内容

有鉴于此，本发明的一个目的是提出一种对待运行文件进行安全防御的方法，以解决现有的安全防御技术，由于不能完全确认进入系统中文件的安全性，导致系统存在受病毒威胁的隐患的问题。为了对披露的实施例的一些方面有一个基本的理解，下面给出了简单的概括。该概括部分不是泛泛评述，也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念，以此作为后面的详细说明的序言。

在一些可选的实施例中，该方法用于用户终端侧，包括：a、将进入用户终端的待运行文件与管理终端中安全管理系统的文件库中存储的已知文件类型的已知文件进行身份匹配；b、对于身份匹配成功的待运行文件，根据与其匹配的已知文件的文件类型对所述待运行文件进行相应的安全防御处理；c、对于身份匹配不成功的待运行文件，将其作为未知文件发送至所述安全管理系统，等待所述安全管理系统对其进行文件类型鉴定后将其作为新增加的已知文件更新至所述文件库中，之后采用更新后的文件库重新执行步骤a和步骤b。

其中，文件类型包括：安全类型和威胁类型。进入用户终端的待运行文件包括以下至少一种文件：下载至用户终端的文件；共享至用户终端的文件；通过存储设备传输至用户终端的文件；通过邮件发送至用户终端的文件。

进一步，步骤b具体包括：b1、若与待运行文件相匹配的已知文件的文件类型为安全类型，则将该待运行文件确定为安全文件，允许该待运行文件进入后续的运行过程；或，b2、若与待运行文件相匹配的已知文件的文件类型为威胁类型，则将该待运行文件确定为威胁文件，禁止该待运行文件进入后续的运行过程，并清除该待运行文件。

进一步，在步骤a之前还包括：采用MD5码对进入用户终端的待运行文件的身份进行编辑，并将每一个待运行文件的MD5码作为其身份认证的唯一认证标准。

进一步，在步骤c中，对于身份匹配不成功的待运行文件，将其作为未知文件发送至安全管理系统的过程具体包括：采用超文本传输协议HTTP协议和加密的方式将所述身份匹配不成功的待运行文件作为未知文件发送至所述安全管理系统。

在一些可选的实施例中，该方法用于管理终端侧，包括：d、接收用户终端发送的待运行文件中的未知文件，将所述未知文件进行存储，并将所述未知文件发送至鉴定服务器进行文件类型的鉴定；e、将鉴定后确定文件类型的未知文件作为新增加的已知文件更新至用于存储已知文件的文件库中，以便用户终端根据更新后的文件库对所述未知文件进行安全防御处理。

其中，文件类型包括：安全类型和威胁类型。

进一步，在步骤d和步骤e之间还包括：实时对鉴定服务器中的鉴定结果进行查询。

在一些可选的实施例中，该方法还包括：鉴定后确定未知文件的文件类型为威胁类型时，对该未知文件进行追溯，向所有存储该未知文件的用户终端发送清除该未知文件的指令。

与现有技术相比，本发明的有益效果为：

本发明提供一种对待运行文件进行安全防御的方法，该方法中，用户终端可以根据管理终端的文件库对进入其中的待运行文件进行身份匹配，从而对进入其中的待运行文件进行安全防御处理，对无法实现匹配的文件，用户终端会将其传送到管理终端，管理终端的安全管理系统会将无法匹配的待运行文件传送到鉴定服务器进行文件类型的鉴定，并将鉴定后确定文件类型的文件更新储存至文件库中，对文件库进行实时的更新，以使得用户终端可以采用实时更新的文件库对进入其中的待运行文件进行匹配，匹配后确认该文件为安全文件，允许该文件进入后续的运行过程，或者确认该文件为威胁文件，禁止其继续运行，并将该文件删除，并通知所有储存过该文件的用户终端均对其进行清除，所以，采用该方法，可以确定每一个进入用户终端运行的文件的安全性，彻底地消除使用该安全管理系统的设备受病毒威胁的安全隐患，安全防御效果更好。